冲击波病毒求治

冲击波病毒　　 【病毒名称】冲击波 ( Worm.Blaster )
　　【警惕程度】★★★★
　　【病毒类型】蠕虫病毒
　　【依赖系统】 WINDOWS 2000/XP
　　【传播途径】网络/RPC漏洞
　　【病毒症状】
　　“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒！漏洞存在于Windows NT、Windows 2000、Windows XP和微软最新主要操作系统Windows Server 2003。
　　受感染的机器将会出现下列症状：
　　1、莫名其妙地死机或重新启动计算机或显示60秒倒计时关机；
　　2、IE浏览器不能正常地打开链接；
　　3、不能复制粘贴；
　　4、有时出现应用程序，比如Word异常；
　　5、网络变慢；
　　6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！^[1]
　　【病毒危害】
　　系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。
　　【感染步骤】
　　病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统。
　　【杀毒方法】
　　1. 病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁，补丁地址：
　　 http://www.pc558.net/down/html/96.html
　　2. 病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“msblast”的进程，用户可以用任务管理器将该病毒进程终止。
　　3. 病毒运行时会将自身复制为：%systemdir%\msblast.exe,用户可以手动删除该病毒文件。
　　注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录.
　　4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入："windows auto update"="msblast.exe"，进行自启动，用户可以手工清除该键值。
　　5. 病毒会用到135、4444、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能，禁止这些端口。

下面为网络收集↘

冲击波病毒感染症状及解决方法
冲击波病毒感染症状
1、莫名其妙地死机或重新启动计算机；
2、IE浏览器不能正常地打开链接；
3、不能复制粘贴；
4、有时出现应用程序，比如Word异常；
5、网络变慢；
6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！
7、SVCHOST.EXE产生错误会被WINDOWS关闭，您需要重新启动程序
8、在WINNT\SYSTEM32\WINS\下有DLLhost.exe和svchost.exe

检测你的计算机是否被"冲击波杀手"病毒感染：

1)检查系统的system32\Wins目录下是否存在DLLHOST.EXE文件（大小为20K）和SVCHOST.EXE文件,（注意：系统目录里也有一个DLLHOST.EXE文件，但它是正常文件，大小只有8KB左右）如果存在这两个文件说明你的计算机已经感染了"冲击波杀手"病毒；

2) 在任务管理器中查看是否有三个或三个以上DLLHOST.EXE的进程，如果有此进程说明你的计算机已经感染了此病毒。

解决方法：

第一步：终止恶意程序

打开Windows任务管理器，按CTRL+ALT+DELETE然后单击进程选项卡 ，在运行的程序清单中*, 查找如下进程:MSBLAST.EXE DLLhost.exe和svchost.exe 选择恶意程序进程，然后按“终止任务”或是“中止进程”按钮。 为确认恶意程序进程是否中止，请关闭任务管理器并再次打开看进程是否已经终止。

第二步：删除注册表中的自启动项目

删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行注册表管理器，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 在右边的列表中查找并删除以下项目Windows auto update" = MSBLAST.EXE DLLhost.exe和svchost.exe

重启系统


第三步：安装微软提供的冲击波补丁

Microsoft Security Bulletin MS03-026

点这里下载Win2000简体中文版冲击波补丁

点这里下载WinXP简体中文版冲击波补丁

点这里下载Win2000英文版冲击波补丁

点这里下载WinXP英文版冲击波补丁

装WIN2000系统的机器不论是服务器版还是个人版的都要顺序打上从SP2到Sp4，更改计算机系统时间到2004年后，重启计算机。这时病毒将自动清除自己，检查一下是否还有病毒；


怎么知道是不是已经打上了这个补丁？

根据微软的定义，这个安全修补程序的代号为kb823980，我们要检查的就是这一项。

打开注册表编辑器。不知道怎么打开？在开始菜单上执行“运行”命令，输入“regedit"(不要引号)。

在注册表编辑器的窗口里又分左右两个窗格，我们先看左窗格。这个东西和资源管理器是非常相像的，只不过它有一些类似HKEY_。。。这样的条目，我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了，就不罗索了)。

展开这一条，找到里面的SOFTWARE，然后再展开，找到Microsoft，依次分别：

1、对于WindowsNT4.0： 找到 Updates，Windows NT， SP6，看看里面有没有kb823980

2、对于Windows2000： 找到 Updates，Windows 2000，SP5，看看里面有没有kb823980

3、对于WindowsXP： 找到 Updates，Windows XP， SP1，看看里面有没有kb823980 4、对于WindowsXP SP1：找到 Updates，Windows XP， SP2，看看里面有没有kb823980,如果找到，那就说明已经打上补丁了。如果没有，那就只有再来一次啦。

希望能帮您解决问题！