Board logo

標題: 唔知做咩事又有啦 [打印本頁]

作者: 跳來舞    時間: 2006-4-28 10:46 PM     標題: 唔知做咩事又有啦

唔知做咩冇啦啦仲左60s病毒呀....

仲有唔知點解有洗機程式呀...我隻洗機碟洗唔到機囉....唔知咩事呀....help
作者: austin666    時間: 2006-4-28 11:55 PM

唔知做咩冇啦啦仲左60s病毒呀....
(去microsoft update)


仲有唔知點解有洗機程式呀...我隻洗機碟洗唔到機囉....唔知咩事呀....help
(唔明)
作者: gergermen    時間: 2006-4-29 04:35 PM

Originally posted by 跳來舞 at 2006-4-28 22:46:
唔知做咩冇啦啦仲左60s病毒呀....

仲有唔知點解有洗機程式呀...我隻洗機碟洗唔到機囉....唔知咩事呀....help
據此可能中了“振蕩波”或另一篇文所講ram錯誤(唔夠資源/RAM)

用WORD轉繁體
※振荡波专题※

W32.Sasser.Worm以及其变种W32.Sasser.[B-F].Worm是一类利用微软安全公告MS04-011中

描述的LSASS漏洞进行攻击的蠕虫病毒,它通过扫描随机选择的IP地址进行传播.(其中变种

G以更名为变种E,ft).

影响系统:Windows2000,WindowsXP

[A-C,E,F]变种不感染Windows95/98/Me但是可在其上执行并传染其它计算机,

[D]变种只能运行于WindowsXP但是可以入侵Windows2000但不执行。

病毒简介:

1.将病毒自身复制到%WinDir%\avservefilter-031[W32.Sasser.Worm]

%WinDir%\avserve2filter-031[W32.Sasser.B/C.Worm]

%WinDir%\skynetavefilter-031[W32.Sasser.D]

%WinDir%\lsasssfilter-031[W32.Sasser.E.Worm]

%WinDir%\napatchfilter-031[W32.Sasser.F.Worm]

其中%WinDir%代表Windows2000系统的WINNT目录或WindowsXP系统的WINDOWS目录;

2.在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

位置添加键值

"avservefilter-031"="%Windir%\avservefilter-031"[W32.Sasser.Worm]

"avserve2filter-031"="%Windir%\avserve2filter-031"[W32.Sasser.B/C.Worm]

"skynetavefilter-031"="%Windir%\skynetavefilter-031"[W32.Sasser.D]

"lsasssfilter-031"="%Windir%\lsasssfilter-031"[W32.Sasser.E.Worm]

"napatchfilter-031"="%Windir%\napatchfilter-031"[W32.Sasser.F.Worm]

3.利用系统的API接口AbortSystemShutdown使计算机出现倒计时关机或者重新启动,

可能会遇到LSAShell错误或者lsass错误的提示;

变种E在激活后的2小时内每秒钟调用一次系统关机,并出现含有下列文本的消息:

1.YourcomputerisaffectedbytheMS04-011vulnerability

2.Itcanbethatdangerouscomputervirusessimilar

theBlasterworminfectyourcomputer

3.PleaseupdateyourcomputerwiththeMS04-011LSASSpatch

fromthewww.microsoft.comwebsite

4.ThisisanmessagefromtheSkyNetTeamfor

maliciousactivityprevention

4.在系统的TCP端口5554[A-D,F]/1023[E]开启一个FTP服务;

5.该病毒会试图连接随机生成的IP地址的计算机的TCP端口445,如果成功建立连接,

病毒会通过代码使远程计算机在TCP端口9996[A,B,C,F]/9995[D]/1022[E]运行一个

远程应用程序,连接回本地已开启的FTP获取该病毒的一个副本并执行,这个病毒

的副本具有

"*_upfilter-031"[A-D,F]

"*_updatefilter-031"[E]

的形式,其中*代表介于1000和99999之间的数字;

6.在C盘根目录下生成

win.log[A]

win2.log[B-D,F]

ftplog.txt[E]

其中含有最近扫描的IP和已感染计算机数。

解决方法(杀毒前请先断网):

若系统不断提示60s关机,可通过"开始-->运行-->输入`shutdown-a`-->回车"强制取消

系统关机再执行以下步骤.

1.终止病毒进程WindowsNT/2000/XP中,按Ctrl+Alt+Delete,点击任务管理器,选择进

程标签,双击映像名称列来让进程按字母排序.查找以下进程avservefilter-031;avser

ve2filter-031;skynetavefilter-031;lsasssfilter-031;napatchfilter-031;*_upfilter-031;*_updatefilter-031

进程;如果发现则终止这些进程.

2.禁用系统还原(WindowsXP)

如果你使用WindowsXP,强烈建议你暂时关闭系统还原.

(如果你确认已经杀掉了病毒,你可以重新启用系统还原功能)

3.安装微软补丁KB837001,KB828741,KB835732

(包含windows2000.xp.2003相关中英文关键更新)

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/微软

补丁/

ftp://202.115.48.253/Sasser专区/微软补丁/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/微软补丁/

或使用望江楼Windows在线更新,http://202.115.32.69/,具体操作见页面介绍.

xp补丁安装过程中提示语言不同的问题,请在病毒版查看[补丁与系统语言包不同解

决]一文,或在以上三个FTP的Sasser专区根目录下下载该文文档.或者xp的话可在以上

3个ftp相应目录下载免语言检查版本补丁

4.升级杀毒软件病毒库

如果你使用Norton,可在以从地址下载最新升级包

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区

/Norton病毒库/

ftp://202.115.48.253/Sasser专区/Norton病毒库/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/Norton病毒库/m

其他杀毒软件病毒库暂无,请自行前往相关网站下载更新

5.下载专杀工具

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/专

杀/

ftp://202.115.48.253/Sasser专区/专杀/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/专杀/

推荐下载使用诺顿的震荡波专杀,文件名为FxSasserfilter-031.

6.查杀病毒

启动专杀工具或杀毒软件,选择完整系统扫描进行查杀.如果任何文件被查处感染了W3

2.Sasser病毒,删除之.

7.修改注册表(建议你在修改注册表之前备份一下)

开始-->运行-->regedit

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

位置下的

"avservefilter-031"="%Windir%\avservefilter-031"

"avserve2filter-031"="%Windir%\avserve2filter-031"

"skynetavefilter-031"="%Windir%\skynetavefilter-031"5个中只会有1个,对应相应变种

"lsasssfilter-031"="%Windir%\lsasssfilter-031"

"napatchfilter-031"="%Windir%\napatchfilter-031"





歡迎光臨 娛樂滿紛 26FUN (http://26fun.com./bbs/) Powered by Discuz! 7.0.0