最新60秒关机病毒的解决方法！

Admin

昨天有好多朋友给我打电话，跟我说电脑被中了木马，开机玩不了多长时间就让你重新启动！
其实是一种木马病毒，利用135端口工作，手工清除方法：请查system或者system32中是否存在一个名为：msblast.exe的文件，如果存在，则证明已经中了该病毒，需要做以下操作：首先在任务栏上右击，打开任务管理器，找到名为：“msblast.exe”的进程，然后将之终止，然后把那个exe文件删除；最后利用注册表编辑工具，在运行里执行regedit 寻找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，删除掉 “windows auto update”键值即可完全清除该病毒。

Admin

请下载这个补丁http://download.microsoft.com/do ... B823980-x86-CHS.exe，给windowsxp,运行后重新启动机器！

nokey

近日会有蠕虫病毒爆发，用NT和XP的网友务必进来看看
近日会有蠕虫病毒爆发，用NT和XP的网友务必进来看看
影响系统: Windows 2000, Windows XP / Windows 2003
CVE参考: CAN-2003-0352
McAfee 命名为：W32/Lovsan.worm

简单描述：
W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫，传播能力很强。
详细描述请参照Microsoft Security Bulletin MS03-026
(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
感染蠕虫可能导致系统不稳定，有可能造成系统崩溃 ，它扫描端口号是TCP/135,
传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.
这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您
及时地得到这个漏洞的补丁

CCERT正在分析蠕虫的传播机理。


网络控制方法：

如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞TCP port 4444 ,
和下面的端口:

TCP 4444 蠕虫开设的后门端口，用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软：DCOM RPC


计算机处理办法：

蠕虫攻击不成功可能导致系统出现了不正常，比如拷贝、粘贴功能不工作，RPC 服务停止；
建议你重新启动计算机，立刻打补丁；

如果你的系统被感染了，系统可能出现如下特征：

1. 被重启动；
2. 用netstat 可以看到大量tcp 135端口的扫描；
3. 系统中出现文件： %Windir%\system32\msblast.exe
4. 系统工作不正常，比如拷贝、粘贴功能不工作，IIS服务启动异常等；


手动删除办法：


1. 检查、并删除文件: %Windir%\system32\msblast.exe

2. 打开任务管理器，停止以下进程 msblast.exe .


3. 进入注册表（“开始->运行：regedit)

找到键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

在右边的栏目, 删除下面键值:

"windows auto update"="msblast.exe"

4. 给系统打补丁（否则很快被再次感染）

CCERT因访问量大，可能很慢)
Windows 2000补丁:http://202.112.50.180/dcom/win20 ... B823980-x86-CHS.exe
Windows XP: http://202.112.50.180/dcom/winxp/WindowsXP-KB823980-x86-CHS.exe

更多补丁信息请参见： http://www.microsoft.com/technet/security/bulletin/MS03-026.asp


请关注CCERT主页和邮件列表:
http://www.ccert.edu.cn
advisory@ccert.edu.cn


其他参考信息


1、http://www.securityfocus.com/news/6689

2、http://www.microsoft.com/technet ... =/technet/security/
bulletin/MS03-026.asp


3、http://www.securityfocus.com/columnists/174

4、http://isc.sans.org/diary.html?date=2003-08-11

中国教育和科研计算机网紧急响应组（CCERT）
2003 年8月12日

bppo

[18:22:28] 218.5.74.162试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:22:31] 218.4.55.140试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:22:34] 218.4.55.140试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:24:46] 218.5.133.252试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:24:57] 202.96.134.147试图连接本机的30598端口，
           TCP标志：S，
           该操作被拒绝。

[18:25:00] 202.96.134.147试图连接本机的30598端口，
           TCP标志：S，
           该操作被拒绝。

[18:30:44] 218.5.153.77试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:32:34] 219.130.12.85 尝试用Ping 来探测本机，
           该操作被拒绝。

[18:32:40] 218.242.149.227试图连接本机的NetBios-SSN[139]端口，
           TCP标志：S，
           该操作被拒绝。

[18:32:43] 218.242.149.227试图连接本机的NetBios-SSN[139]端口，
           TCP标志：S，
           该操作被拒绝。

[18:32:49] 218.242.149.227试图连接本机的NetBios-SSN[139]端口，
           TCP标志：S，
           该操作被拒绝。

[18:47:27] 218.5.66.194试图连接本机的Http[80]端口，
           TCP标志：S，
           该操作被拒绝。

[18:47:30] 218.5.66.194试图连接本机的Http[80]端口，
           TCP标志：S，
           该操作被拒绝。

[18:47:37] 218.5.66.194试图连接本机的Http[80]端口，
           TCP标志：S，
           该操作被拒绝。

[18:48:16] 211.162.45.152试图连接本机的4899端口，
           TCP标志：S，
           该操作被拒绝。

[18:48:19] 211.162.45.152试图连接本机的4899端口，
           TCP标志：S，
           该操作被拒绝。






平时都不用防火墙的，出现这样的情况才用的：（

hawayiyi

今天果然碰到了，还好天网比较强，进得来，出不去，按发上方法解决掉它了，爽！

TT2000

补丁用不了，怎么办？提示跟系统语言不符，用的是中文版XP，版本比较老

思念的距离

呵呵，偶是8月4日，5日就中毒了，差不多是第一批受害者了。那时候不知道是病毒，以为自己机器有问题，也不在意。到8月10日我BF的机器也出现同样的问题，才慌掉的，那时候上网查，还没有人说这是病毒。不过网上有文章说，封掉135端口就好了，我也是不能加补丁，但是有防火墙，然后更改RPC服务选项就好了

Nudel

最初由 TT2000 发表
[B]补丁用不了，怎么办？提示跟系统语言不符，用的是中文版XP，版本比较老 [/B]

如果系统提示，安装补丁的语言系统和系统语言系统不一致。
解决方法：
    安装ENU版本补丁，其原因是部分中文XP内核仍然为英文，所以安装中文版补丁会提示出错。

夏夏

[QUOTE]最初由 bppo 发表
[B][18:22:28] 218.5.74.162试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:22:31] 218.4.55.140试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:22:34] 218.4.55.140试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:24:46] 218.5.133.252试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:24:57] 202.96.134.147试图连接本机的30598端口，
           TCP标志：S，
           该操作被拒绝。

[18:25:00] 202.96.134.147试图连接本机的30598端口，
           TCP标志：S，
           该操作被拒绝。

[18:30:44] 218.5.153.77试图连接本机的135端口，
           TCP标志：S，
           该操作被拒绝。

[18:32:34] 219.130.12.85 尝试用Ping 来探测本机，
           该操作被拒绝。

[18:32:40] 218.242.149.227试图连接本机的NetBios-SSN[139]端口，
           TCP标志：S，
           该操作被拒绝。

[18:32:43] 218.242.149.227试图连接本机的NetBios-SSN[139]端口，
           TCP标志：S，
           该操作被拒绝。

[18:32:49] 218.242.149.227试图连接本机的NetBios-SSN[139]端口，
           TCP标志：S，
           该操作被拒绝。

[18:47:27] 218.5.66.194试图连接本机的Http[80]端口，
           TCP标志：S，
           该操作被拒绝。

[18:47:30] 218.5.66.194试图连接本机的Http[80]端口，
           TCP标志：S，
           该操作被拒绝。

[18:47:37] 218.5.66.194试图连接本机的Http[80]端口，
           TCP标志：S，
           该操作被拒绝。

[18:48:16] 211.162.45.152试图连接本机的4899端口，
           TCP标志：S，
           该操作被拒绝。

[18:48:19] 211.162.45.152试图连接本机的4899端口，
           TCP标志：S，
           该操作被拒绝。


我的机子也是的，就这样用天网就行了吗，没有什么解决办法吗？
可不可以关闭端口，怎么关呢？