浙江区的朋友们，小心病毒

游牧人

以下是转贴的文章，请大家注意防毒！
  
新型病毒出现NT构架用户注意
  
昨天晚上一种新型的蠕虫病毒迅速在网络上流传开来。截至目前为止多数没有安装防火墙且通霄达旦开机的NT构架用户，都已经遭受的此病毒的攻击。
  
新型病毒的名称为 W32.Blaster.Worm 之所以能够如此迅速的在网络上流传和感染，是由于此病毒利用了NT构架内Remote Procedure Call (RPC)服务的漏洞来进行攻击的。
  
目前为止，可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。
  
病毒利用的端口包括
  
TCP Port 135, \"DCOM RPC\"
UDP Port 69, \"TFTP\"
  
目前得到的各种系统的中毒症状如下。
  
Windows 2000：复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。
  
Windows XP：系统自动重新启动。
  
如果有上述症状建立立即安装如下补丁：
  
Win2000 中文版：
  
http://download.microsoft.com/do ... B823980-x86-CHS.exe
  
Win2000 英文版：
  
http://download.microsoft.com/do ... B823980-x86-ENU.exe
  
Windows XP 中文版：
  
http://download.microsoft.com/do ... B823980-x86-CHS.exe
  
Windows XP 英文版：
  
http://download.microsoft.com/do ... B823980-x86-ENU.exe
  
未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。
  
若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始＝》运行＝》shutdown -a
  
同时打开资源管理器检索一下是否有 msblast.exe 在运行，若有先在进程中删除再安装补丁。
  
请注意，以上措施只是挽救已将崩溃的系统，修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后，立即安装防毒软件或升级已安装病毒软件的最新病毒库，并全面检测你的系统以确保能够清楚残留在系统中的病毒。
  
手动清除方法：
  
1. 开始＝》运行＝》taskmgr，启动任务管理器。在其中查找 msblast.exe 进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
  
2. 检查系统的 %systemroot%system32 目录下（Win2K一般是C:WINNTSystem32）是否存在 msblast.exe 文件，如果有，删除它。
注意－必须先结束msblast.exe在系统中的进程才可以顺利的删除它。
  
3. 开始＝》运行＝》regedit，启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,  
删除其下的“windows auto update\"=\"msblast.exe”键值。
  
4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。
  
这样可以清除蠕虫病毒在系统中的驻留，不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测，以求万无一失。

ybin8

谢谢！大家尽量减少上网时间，以防中招。

游牧人

原来其他区已经有人发过了，请浙江区的朋友注意了。

jsxycsy

我还有一个提示   就是装好补丁以后还是不放心的话，可去www.rising.com.cn   上面下载一个专杀工具  很好用的

阿博

FT，就在几分钟之前，阿博的T21也中招了，幸好有个朋友给我发了个补丁。

cjh

手动清除方法：  
  
1. 开始＝》运行＝》taskmgr，启动任务管理器。在其中查找 msblast.exe 进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。  
  
2. 检查系统的 %systemroot%system32 目录下（Win2K一般是C:WINNTSystem32）是否存在 msblast.exe 文件，如果有，删除它。  
    注意－必须先结束msblast.exe在系统中的进程才可以顺利的删除它。  
  
3. 开始＝》运行＝》regedit，启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,  
    删除其下的“windows auto update"="msblast.exe”键值。  
  
4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。  
  
这样可以清除蠕虫病毒在系统中的驻留，不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测，以求万无一失。

cjh

这么快就转帖啦！
我再贴：
  
恶性`冲击波`病毒清除常见问题一问一答
一、我打不开补丁的链接：
  
　　 可以这么解决：方法1、先打开IE浏览器，把补丁链接复制到浏览器的地址栏里就可以下载了。如果不幸复制粘贴也不能用了，那只好照着上面的内容在地址栏里输入了；方法2、打开网络蚂蚁或网络快车，把上面的地址复制或输入到下载的任务里就行了。  
  
　　二、如果我的机器有问题，怎样打补丁
  
　　任何紧张和恐惧都是不解决问题的，虽然严重但也绝对没到删除所有文件，格式化硬盘的地步！使用以下几步就可以解决：  
  
　　1、第一步使用专杀工具
  
　　 “冲击波”病毒专杀工具下载：http://www.duba.net/download/othertools/Duba_Sdbot.EXE
  
　　2 、然后是给系统打补丁，防治病毒的再次入侵。  
  
　　 关于这个漏洞的介绍：http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
  
　　 下载补丁：
  
　　 Windows2000简体中文版http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
  
　　 WindowsXP简体中文版http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
  
　　 Windows2000英文版http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
  
　　 WindowsXP英文版http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe ;
  
　　3、升级反病毒软件，打开防火墙，彻底封死病毒入侵的可能性。  
  
　　三、我怎么知道我是不是已经打上了这个补丁？
  
　　 根据微软的定义，这个安全修补程序的代号为kb823980，我们要检查的就是这一项。
  
　　 打开注册表编辑器。不知道怎么打开？在开始菜单上执行“运行”命令，输入“regedit"(不要引号)。
  
　　 在注册表编辑器的窗口里又分左右两个窗格，我们先看左窗格。这个东西和资源管理器是非常相像的，只不过它有一些类似HKEY_。。。这样的条目，我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了，就不罗索了)。
  
　　 展开这一条，找到里面的SOFTWARE，然后再展开，找到Microsoft，依次分别：
  
　　 1、对于WindowsNT4.0： 找到 Updates，Windows NT， SP6，看看里面有没有kb823980
  
　　 2、对于Windows2000： 找到 Updates，Windows 2000，SP5，看看里面有没有kb823980
  
　　 3、对于WindowsXP： 找到 Updates，Windows XP， SP1，看看里面有没有kb823980
  
4、对于WindowsXP SP1：找到 Updates，Windows XP， SP2，看看里面有没有kb823980
  
　　 如果找到，那就说明已经打上补丁了。如果没有，那就只有再来一次啦。
  
　　四、我的机器是被攻击了吗？
  
　　1、莫名其妙地死机或重新启动计算机；
  
　　2、IE浏览器不能正常地打开链接；
  
　　3、不能复制粘贴；
  
　　4、有时出现应用程序，比如Word异常；
  
　　5、网络变慢；
  
　　6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！
  
　　以上这些情形，如果是最近两天才出现的现象，都很有可能是由于受到了“冲击波”病毒的攻击。尤其是第六条符合，那就肯定是已经被冲击波攻击成功了，必须立刻采取杀毒、打补丁的措施。
  
　　背景资料介绍：
  
　　一、提防“冲击波”病毒
  
　　“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒！受影响的系统包括：WindowsNT4.0、Windows2000、WindowsXP和Windows2003系列产品，有意思的是一直被人诟病的Windows98和WindowsME由于未采用RPC机制幸免于难。  
  
　　二、什么是RPC漏洞
  
　　Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行的程序无缝地在远程系统上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题，远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
  
　　此漏洞是由于不正确处理畸形消息所致，漏洞影响使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
  
　　通俗地说：利用这个漏洞，一个攻击者可以随意在远程计算机上执行任何指令！！！
  
手动清除方法：  
  
1. 开始＝》运行＝》taskmgr，启动任务管理器。在其中查找 msblast.exe 进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。  
  
2. 检查系统的 %systemroot%system32 目录下（Win2K一般是C:WINNTSystem32）是否存在 msblast.exe 文件，如果有，删除它。  
    注意－必须先结束msblast.exe在系统中的进程才可以顺利的删除它。  
  
3. 开始＝》运行＝》regedit，启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,  
    删除其下的“windows auto update"="msblast.exe”键值。  
  
4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。  
  
这样可以清除蠕虫病毒在系统中的驻留，不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测，以求万无一失。