據說今晚8點會有另一波(變種)...看來要小心了
 |
|
據說今晚8點會有另一波(變種)...看來要小心了
使用相同漏洞的變種 有修補的應該不用怕最初由 TomX 發表
據說今晚8點會有另一波(變種)...看來要小心了
沒修補的會比較慘..
疾風病毒及其變種最新說明---使用不同的方法
1. 疾風病毒至今有 Lovesan,Lovsan, Blaster,Msblast and Poza 的名字 各家AV命名不同
其他廠商對此病毒的不同稱呼如下:
DcomRPC.exploit,
W32.Blaster.Worm (Symantec) ,
W32/Blaster (CERT),
W32/Lovsan.worm (McAfee),
W32/Msblast.A (F-Secure) ,
Win32/Poza.Worm ,
WORM_MSBLAST.A (Trend)
2. 如何判斷已中疾風病毒
a. 在你電腦 X:\Windows\Systems32\的目錄下 有下列的檔案之一 Msblast.exe, Teekids.exe or Penis32.exe
b. 有重開機的訊息或畫面
c. 使用MS Word, Excel or Outlook. 有錯誤的訊息
d. svchost.exe 有錯誤的訊息
e. RPC Service Failure RPC錯誤的訊息
3. 疾風病毒攻擊的作業系統
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition
4. 因為一直重開機 不能下載 Microsoft修正檔修正法
a. 移除網路線
b. 你需要一支 TFTP.EXE 的檔案 這檔案原始的在 \Windows\System32\dllcache 目錄中 將它 COPY至 \Windows\System32\的目錄中
c. 接上網路線
d. 下載 Microsoft修正檔
Poza 開始掃瞄所有子網域,以尋找 TCP 135 埠為開啟狀態的電腦,接著隨機掃瞄幾個選擇的 B 級子網域 (255.255.0.0)。如果找到可開啟 TCP 135 埠的電腦,Poza 會利用之前提到的安全漏洞進行電腦,並在被感染的電腦上建立一個遠端控制的命令層。一旦成功入侵,Poza 會嚐試連結遠端電腦的 TCP 4444 埠。順利連結之後,Poza 會指示被感染電腦到遠端電腦下載透過 TFTP.EXE 執行 FTP 服務的 MSBLAST.EXE 檔案(檔案大小:6,176 bytes,採 UPX 自解壓縮方式封裝檔)。接著送出指令,執行被感染電腦中的 MSBLAST.EXE。
註:TFTP.EXE 是一項在 Windows 2000 之後版本的 Windows 作業系統中,預設安裝的一項工具軟體。此病毒蟲也會保持同時連結至其他 20 台被感染的電腦。
5. 如果你已經中疾風病毒
下載下列清除檔 清除後 再下載Microsoft修正檔
Microsoft修正檔
http://www.microsoft.com/taiwan/sec...ns/MS03-026.asp
http://support.microsoft.com/?kbid=331953
疾風毒自動掃瞄移除工具---不止疾風病毒含其他蠕蟲病毒
及變種
此程式FOR所有版本 NT/2000/XP/2003
程式
ftp://ftp.kaspersky.com/utils/clrav.com
用法:
1. copy clrav.com 到你的windows\system32目錄下
2. 開始--->執行----->鍵入clrav.com /s----> 確定
用法說明及參數
****************************************************************************
Utility for cleaning infection by:
I-Worm.BleBla.b
I-Worm.Navidad
I-Worm.Sircam
I-Worm.Goner
I-Worm.Klez.a,e,f,g,h
Win32.Elkern.c
I-Worm.Lentin.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p
I-Worm.Tanatos.a,b
Worm.Win32.Opasoft.a,b,c,d,e,f,g,h
I-Worm.Avron.a,b,c,d,e
I-Worm.LovGate.a,b,c,d,e,f,g,h,i,j,k,l
I-Worm.Fizzer
I-Worm.Magold.a,b,c,d,e
Worm.Win32.Lovesan
Version 10.0.5.2 Copyright (C) Kaspersky Lab 2000-2003. All rights reserved.
****************************************************************************
Command line:
/s[n] - to force scaning of hard drives. Program will scan hard
drive for I-Worm.Klez.a(e,f,g,h) infection in any case.
n - include scaning of mapped network drives.
/y - end program without pressing any key.
/i - show command line info.
/nr - do not reboot system automatically in any cases.
/Rpt[ao][=<Report file path>] - create report file
a - add report file
o - report only (do not cure/delete infected files)
Return codes:
0 - nothing to clean
1 - virus was deleted and system restored
2 - to finilize removal of virus you shold reboot system
3 - to finilize removal of virus you shold reboot system and start
program the second time
4 - programm error.
****************************************************************************
I-Worm.BleBla.b
---------------
If program find HKEY_CLASSES_ROOT\rnjfile key in registry it:
delete registry keys
HKEY_CLASSES_ROOT\rnjfile
HKEY_CLASSES_ROOT\.lha
repair registry key to default value
HKEY_CLASSES_ROOT\.jpg to jpegfile
HKEY_CLASSES_ROOT\.jpeg to jpegfile
HKEY_CLASSES_ROOT\.jpe to jpegfile
HKEY_CLASSES_ROOT\.bmp to Paint.Picture
HKEY_CLASSES_ROOT\.gif to giffile
HKEY_CLASSES_ROOT\.avi to avifile
HKEY_CLASSES_ROOT\.mpg to mpegfile
HKEY_CLASSES_ROOT\.mpeg to mpegfile
HKEY_CLASSES_ROOT\.mp2 to mpegfile
HKEY_CLASSES_ROOT\.wmf to empty
HKEY_CLASSES_ROOT\.wma to wmafile
HKEY_CLASSES_ROOT\.wmv to wmvfile
HKEY_CLASSES_ROOT\.mp3 to mp3file
HKEY_CLASSES_ROOT\.vqf to empty
HKEY_CLASSES_ROOT\.doc to word.document.8 or wordpad.document.1
HKEY_CLASSES_ROOT\.xls to excel.sheet.8
HKEY_CLASSES_ROOT\.zip to winzip
HKEY_CLASSES_ROOT\.rar to winrar
HKEY_CLASSES_ROOT\.arj to archivefile or winzip
HKEY_CLASSES_ROOT\.reg to regfile
HKEY_CLASSES_ROOT\.exe to exefile
try to delete file
c:\windows\sysrnj.exe
I-Worm.Navidad
--------------
If program find HKEY_CURRENT_USER\Software\Navidad,
HKEY_CURRENT_USER\Software\xxxxmas or HKEY_CURRENT_USER\Software\Emanuel key
in registry it:
delete registry keys
HKEY_CURRENT_USER\Software\Navidad
HKEY_CURRENT_USER\Software\xxxxmas
HKEY_CURRENT_USER\Software\Emanuel
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win32BaseServiceMOD
repair registry key to default value
HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*
try to delete file
winsvrc.vxd
winfile.vxd
wintask.exe
I-Worm.Sircam
-------------
If program find HKEY_LOCAL_MACHINE\Software\SirCam key in registry,
"@win \recycled\sirc32.exe" in autoexec.bat or \windows\run32.exe and
\windows\rundll32.exe was created on Delphi it:
delete registry keys
HKEY_LOCAL_MACHINE\Software\SirCam
Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32
repair registry key to default value
HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*
try to delete file
%Windows drive%:\RECYCLED\SirC32.exe
%Windows directory%\ScMx32.exe
%Windows system directory%\SCam32.exe
%Windows startup directory%\"Microsoft Internet Office.exe"
%Windows drive%:\windows\rundll32.exe
try to rename files
%Windows drive%:\windows\Run32.exe to
%Windows drive%:\windows\RunDll32.exe
try to repair files
autoexec.bat
In case program can not delete or rename any files (it may be used at
that moment) it set these files to queue to delete or rename during bootup
process and offer user to reboot system.
I-Worm.Goner
------------
If gone.scr process exist in memory, program will try to stop it.
if file %Windows system directory%\gone.scr exist on hard drive,
program will try to delete it.
If program find %Windows system directory%\gone.scr key in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run of system
registry, it will delete this key.
I-Worm.Klez.a,e-h, Win32.Elkern.c, I-Worm.Lentin.a-p, I-Worm.Tanatos.a-b,
-------------------------------------------------------------------------
Worm.Win32.Opasoft.a-h, I-Worm.Avron.a-e, I-Worm.LovGate.a-l, I-Worm.Fizzer,
----------------------------------------------------------------------------
I-Worm.Magold.a-e, Worm.Win32.Lovesan
-------------------------------------
If program find next processes in memory:
Krn132.exe
WQK.exe
or any processes, infected by these viruses, it will try to
unhook virus hooks and patch needed processes to stop reinfection and then
stop them and delete/cure their files on hard drive and delete links to their
files from system registry and other startup places.
If program find that WQK.DLL library has been loaded by any processes
it will rename file of this library and will remove it after system reboot.
In case program find such library in memory of your PC you should reboot your
PC when program finish and start it the second time after reboot to clean your
system registry.
If program find any infected processes in memory it will start scan of
your hard drive (and all mapped network drives if you specify /netscan in
command line). It will check only infection by these viruses.
If you specify /s key in command line program will scan your hard drive
(and all mapped network drives if you specify /sn) in all cases.
If Win32.Elkern.c virus create memory mapping, program will disinfect
this memory area.
Program can restore next startup links used by viruses:
autoexec.bat
win %virus file path and name%
win.ini section [Windows]
run=<virus file>
registry keys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
values
AppInit_DLLs
Run
HKEY_CLASSES_ROOT\txtfile\shell\open\command (txt association)
restoring to link to notepad.exe program
HKEY_CLASSES_ROOT\exefile\shell\open\command (exe association)
restoring to "%1" %*
HKEY_CLASSES_ROOT\comfile\shell\open\command (com association)
restoring to "%1" %*
HKEY_CLASSES_ROOT\batfile\shell\open\command (bat association)
restoring to "%1" %*
HKEY_CLASSES_ROOT\piffile\shell\open\command (pif association)
restoring to "%1" %*
HKEY_CLASSES_ROOT\scrfile\shell\open\command (scr association)
restoring to "%1" %*
installed NT services
mIRC start scripts
<Program Files folder>\Mirc\script.ini
<Program Files folder>\Mirc32\script.ini
Pirch start scripts
<Program Files folder>\Pirch98\events.ini
原文於 08-16-2003 02:46 PM 經由 babayu 編輯過
刪掉那個目錄真的就可以了~~~^^最初由 lamina 發表
確認「服務」裡面的「Cryptographic Services」有沒有啟動
沒有的話,啟動他....
如果已經啟動執行,卻還是無法安裝...
那請把 Windows\System32\CATROOT2 的目錄砍掉...
請問一下lamina大....
CATROOT2這個資料夾是幹什嘛的丫~~
為什麼會造成更新失敗咧??
肛溫丫~~
如果我一時手快把 Remote Procedure Call (RPC) 服務關閉現在很多服務都無法使用該怎麼辦??
別急著重灌唷∼趕快看看 ∮Ω奧米加空間∮內的【密技】Q&A 問答集
第 44 篇
Q48:Remote Prodcee Call 關了怎麼開啟,很多事情要靠它?
http://omega.idv.tw/kdb120/viewthrea...age=5#post6320
歡迎大家有空到我的論壇逛逛^^
∮Ω奧米加空間∮
以收集技術文件為目標,原創的教學久久會出一篇^^"~
註冊的話可以看到一些新或舊遊戲的抓圖唷~
讓您不會美美的廣告海報騙去^^~
還有輕鬆有趣的心理測驗+星座特區呢~
那是記錄你的系統的安裝資訊最初由 loveshino 發表
CATROOT2這個資料夾是幹什嘛的丫~~
為什麼會造成更新失敗咧??
如果檔案損毀的話, 那就無法 updata
而刪除只是讓系統重建而已
Help!Help!最初由 可愛滴小玉 發表
!! 怎樣確定自己的電腦已經中毒 ?
* 如果你的電腦動不動就跟你說要重新開機 (60 秒)
* 或是:
[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個
程式正在運作, 如果有, 也表示你已經中毒!
========================================================================
!! 中毒解毒程序: (確定這樣的解法沒有問題)
0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)
若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.
1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)
2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去.
微軟官方網站:
http://www.microsoft.com/technet/sec...n/MS03-026.asp
我已經 Mirror 一份到 http://w3.cis92.net/rpc/ 下面.
(在交大裡面, 只有 W2K 和 XP)
w2k 裡面的 CHT 表示中文版本, EN 表示英文版本
xp 也是一樣的.
3 . 拔掉網路線
4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,
按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.
5 . 開始->執行->regedit.exe , 並且到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面
將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式.
6 . 執行你剛剛所抓下來的 Patch
7 . 重新開機
8 . 接上網路線, 大功告成.
有問題請直說沒有關係
ps. 別忘了,若您的電腦沒有中毒,也請盡快灌 Patch
怎樣確定自己的電腦已經中毒 ?
* 如果你的電腦動不動就跟你說要重新開機 (60 秒)
* 或是:
[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個程式正在運作, 如果有, 也表示你已經中毒!
我昨天有出現要給我關機的警告標示(2次)
但我今天回來執行->Taskmgr.exe [ENTER]後
卻沒有看到MSBLAST.EXE 這個程式正在運作
那到底我現在有沒有中毒阿!?
中毒解毒程序的
1.刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)
我沒有看到阿!
4.用檔案總管, 到 Windows\System32這個目錄下面找到 MSBLAST.EXE
我也找不到...
各位大大救救我這電腦小白....
到底是我夠笨
還是我昨天中毒今天已經沒事了(有人是自動好的嗎?)
M$ 官網這次把疾風系列病毒的清除教學寫得很不錯, 圖文並茂喔.
(以前沒看過如此的教學, 不知道是不是太多電腦中標)
請到:
http://www.microsoft.com/taiwan/supp...W32Blaster.HTM
想請問一下
當青除以後
是有幾個SVCHOST呢
若強制關畢SVCHOST時還有60秒關機嗎?
有以下幾種情況
1.當按下電源後~~光碟機和軟碟機硬碟機還有電源燈的燈都會亮~~
和一般開機一樣~~但是RAM讀到一半或要抓硬碟時~~~燈全部熄了
電腦完全沒反應~~只剩下電源燈亮著~~此時只能按RESULT而已~~
2.按下電源後~~在硬碟還沒到讀WINDOWS或讀到一半時~~電腦關機@@
連電源燈都熄了~~此時在按開機鈕也沒用~~要關掉插座的後過一陣子
在打開~~電腦才能重新開機~~~
3.WINDOWS用到一半自動重開機或類似斷電那樣的關機~~
並沒有出現60秒後自動重開機的指示~
這些是啥問題呢??~~~和現在熱門的疾風有關係嘛@@~~
救命阿@@~~~~
發表文章規則
| XML | RSS 2.0 | RSS |
本討論區所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email:[email protected] 處理。
回覆時引用此文章
書籤