‹‹ 上一主题 | 下一主题 ››
 30 123
发新话题
打印

★★★新的蠕虫病毒导致电脑频繁重启!附解决方法!

♂azure^_*

荣誉会员

Rank: 2

主宰命运

帖子
4560 
精华
20 
积分
256 
威望
256 点 
金钱
78942 MZB 
性别
男 
注册时间
2002-3-29 

终身成就奖

1# 发表于 2003-8-20 05:21  只看该作者

★★★新的蠕虫病毒导致电脑频繁重启!附解决方法!

上不了梅州论坛.只保存了游木天空的地址,所以只能发到这里来了.
不知道有没有人发过了.没有看过的人来看一下..


建议:升级杀毒软件数据库,,,打好windows的补丁病毒解决办法  
问题:winXP不断报“RPC意外中止,系统重新启动”,win2000报svchost.exe出错
该问题是目前出现的win32.blaster.worm病毒针对微软的RPC漏洞进行攻击,在8月11日全球首次发现,symantec已更新病毒库可以查杀该病毒,没有安装norton杀毒软件的用户也可以在本页下面使用trendmicro公司的杀毒工具查杀病毒。此问题和新版客户端升级没有任何关系。

目前已经报告win98、winME发现同类问题,但是没有相关的patch,因此请相关用户先尝试杀毒,如果不成功,建议升级到win2000以上的操作系统,或最近暂停使用。

故障原因:w32.blaster.worm病毒专门攻击Win xp、Win 2000、Win NT和Win 2003的RPC安全漏洞。
故障现象:操作系统不断报“PRC意外中止,系统重新启动”,客户机频繁重启,所有网络服务均出现故障,如IE浏览器打不开,OUTLOOK无法使用等。

解决方法:

1、先在任务管理器中将 msblast.exe 进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe 删除(有可能无法删除,则直接执行第2步)。

2、点击开始--〉设置——〉控制面板——〉管理工具——〉服务

然后选择remote procedure call(RPC).并双击它(如图一)

[IMG]http://www.zhangsen.net/faq.files/135-1.jpg[/IMG]

选中Remote Procedure Call(RPC)服务,并将第一次失败、第二次失败、第三次失败的选项选择为不操作(XP下默认为重启计算机)。

][IMG]http://www.zhangsen.net/faq.files/135-2.jpg[/IMG]

3、下载本页下面的RPC漏洞补丁,断开网络,重启机器后安装微软补丁。该补丁需要win2000 ServicePack2以上版本,请到下面网址下载:

http://www.microsoft.com/china/windows2000/sp2.htm

注意:可能个别盗版win XP系统不能正常打上补丁,win2000操作系统必须升级SP2以上版本才可安装补丁

微软的操作系统RPC漏洞补丁:
中文2000补丁
http://218.29.0.250/Windows2000-KB823980-x86-CHS.exe

中文XP补丁
http://218.29.0.250/WindowsXP-KB823980-x86-CHS.exe

中文2003补丁
http://218.29.0.250/WindowsServer2003-KB823980-x86-CHS.exe

4、安装norton杀毒软件,升级norton最新的8月11日病毒库进行杀毒。

使用norton的用户请从下面下载最新的病毒库:
http://218.29.0.250/20030811-019-i32.exe

其他的用户可以从下面下载trendmicro公司于8月12日提供的杀毒工具,自解压后运行:
trendmicro杀毒工具
http://218.29.0.250/trendmicro.exe

微软网站关于该问题的说明

http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp

中国病毒响应中心关于RPC的说明

详细描述:

Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议
提供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行
代码。该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。

最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器
的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他
将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员
权限的帐户等。

要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.

影响系统:

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server? 2003
 

风险:高
危害描述:

远程进入系统执行任意代码


国家计算机病毒应急处理中心根据微软公司发布的通告,即关于RPC 接口中远程任意可执行代码漏洞(823980),向计算机用户发出预警。这个漏洞广泛存在所以Windows NT/2000/XP/2003都会受影响。如果成功利用此漏洞,攻击者就有可能获得对远程计算机的完全控制,并以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。

目前已发现利用此漏洞的新型蠕虫病毒,它的传播可能导致个人和企业用户的网络瘫痪。反病毒专家预计受此病毒影响的机器会有爆炸性的增长,甚至可以和前年大规模暴发的红色代码病毒的危害相比。

防范措施:

一、下载安装相应的补丁程序:
Windows 2000补丁下载:
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Windows XP补丁下载:
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074

二、在防火墙上封堵不必要的端口
使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM函数的服务端口,建议用户使用网络或是个人防火墙过滤以下端口:
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap

三、手动为计算机启用(或禁用)DCOM
运行 Dcomcnfg.exe。
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。
输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
选择“默认属性”选项卡。
选择(或清除)“在这台计算机上启用分布式 COM”复选框。
如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则,请单击“确定”以应用更改并退出Dcomcnfg.exe。
山寨版AZURE

TOP

细A仔

乞丐

终南山下活死人

帖子
1565 
精华
1 
积分
-24 
威望
-24 点 
金钱
-300 MZB 
性别
男 
注册时间
2002-3-29 
2# 发表于 2003-8-20 06:01  只看该作者
这个病毒好老好老了..上个星期了...

TOP

细A仔

乞丐

终南山下活死人

帖子
1565 
精华
1 
积分
-24 
威望
-24 点 
金钱
-300 MZB 
性别
男 
注册时间
2002-3-29 
3# 发表于 2003-8-20 06:09  只看该作者
现在要防的是.....DirectX漏洞

继上周MSBlast毒虫肆虐全球后,安全专家警告,新发现的DirectX漏洞可能祸害更深。

微软似乎已成功躲过MSBlast病毒攻击,但该公司紧接着呼吁Windows用户尽快修补另一个安全漏洞,以防系统遭遇更危险的黑客攻击。

早在7月23日,微软已在网站上贴出公告,把新发现的DirectX技术瑕疵形容成「重大」弱点。微软表示,若未针对此安全漏洞亡羊补牢,可能造成系统受制於另一波黑客攻击,只消播放某个midi(乐器数位化介面)音乐档,或造访某个恶意网页,就可能踩到引爆攻击的地雷。

微软說,新的危机潜伏在DirectX的软件元件中,该元件需要一个称为「quartz.dll」的程式库档案来播放midi档。问题是,「quartz.dll」为众多应用程式所共用,包括浏览器Internet Explorer在內。若某midi档经过特殊设计,有可能造成缓冲区溢满( buffer overflow)问题,该黑客接管系统进行破坏,或利用系统发动另一波MSBlast式的攻击行动。"

详细报道在这里。 http://taiwan.cnet.com/news/ec/story/0,2000022589,20082569,00.htm

也就是说,下载过DirectX 9.0b的用户就不必担心这个漏洞了,否则的话你要么升级为DX 9.0b要么赶快到这里根据你的系统类型下载补丁。http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-030.asp

TOP

零星儿

乞丐

星啦

帖子
132 
精华
0 
积分
-3 
威望
-3 点 
金钱
-30 MZB 
性别
女 
注册时间
2003-8-20 
4# 发表于 2003-8-20 06:59  只看该作者
我的电脑中招了》

花了150块才修好

TOP

mzloft

新手上路

Rank: 1

灌水总书记

帖子
36 
精华
0 
积分
威望
3 点 
金钱
10 MZB 
性别
男 
注册时间
2003-7-27 
5# 发表于 2003-8-20 07:09  只看该作者
引用:
以下是引用零星儿在2003-8-19 22:59:13的发言:
我的电脑中招了》

花了150块才修好
拿去哪修呀,那么贵呀

以后有事找我啦小问题免费,大问题收适量人工费~~~

配件按批发价....


也不是说你的电脑会坏..

你的朋友呀或是认识的人的电脑有问题都可以的


电话:0753-2213444    13005299311    谢生

TOP

wsa

新手上路

Rank: 1

我横着走*怕什么

帖子
167 
精华
2 
积分
威望
0 点 
金钱
0 MZB 
性别
男 
注册时间
2003-7-29 
6# 发表于 2003-8-20 07:09  只看该作者
小问题....基本上任何一个杀毒软件都能杀了.......

TOP

忘忧轩

新手上路

Rank: 1

帖子
924 
精华
0 
积分
威望
0 点 
金钱
0 MZB 
性别
男 
注册时间
2003-1-13 
7# 发表于 2003-8-20 07:23  只看该作者
杀不了.....不过我早弄好了...下载一个补丁就行了

TOP

细A仔

乞丐

终南山下活死人

帖子
1565 
精华
1 
积分
-24 
威望
-24 点 
金钱
-300 MZB 
性别
男 
注册时间
2002-3-29 
8# 发表于 2003-8-20 08:21  只看该作者
杀的了?
哇...要150?
以后有问题,找我修...
算交个朋友,免费,给我报销下路费就可以..
QQ:3388884....

TOP

数码风

乞丐

漫游者

帖子
1041 
精华
8 
积分
-660 
威望
-660 点 
金钱
-3720 MZB 
性别
男 
注册时间
2002-7-5 
9# 发表于 2003-8-20 18:14  只看该作者
引用:
以下是引用零星儿在2003-8-19 22:59:13的发言:
我的电脑中招了》

花了150块才修好
真不敢相信,你被骗的好惨,12号我帮6个人处理了这个问题,一分钱都没收,我好后悔哦

TOP

细A仔

乞丐

终南山下活死人

帖子
1565 
精华
1 
积分
-24 
威望
-24 点 
金钱
-300 MZB 
性别
男 
注册时间
2002-3-29 
10# 发表于 2003-8-20 20:39  只看该作者
晕,楼上的,我也帮了5个朋友........也没收钱

TOP

‹‹ 上一主题 | 下一主题 ››
 30 123
发新话题