最近很多朋友说电脑无故的重启,nt authority\system,还有c:\windows\system32\lsass.exe,-10737什么的这样一个窗口,大概有40S左右的时间,自动关机后重新启动,
检查发现启动栏里有个dumprep O-u的启动项(有的是dumprep O-k),禁掉后又会有,症状跟以前的冲击波差不多。
今天好像很多人都中招了,重装系统也没用 [mood53]
估计是利用LSASS漏洞攻击
冲击波病毒的特征是显示:
由NT Authouity/system 初始的”“Remoto Procedure Call(RPC)服务意外终止,必须重新启动电脑
然后倒计时重启,和这个病毒显示的内容不同,所以应该是一种新的病毒~~~
我的建议是大家赶快安装防火墙,然后关闭除80和21以外所有端口~~~~[mood73]
还有尽快安装这个补丁:
http://www.microsoft.com/china/t ... letin/ms04-011.mspx
目前有90%以上的Windows2000/XP/2003用户没有给这个系统漏洞打上补丁程序,此前在MS04-011号安全公报中公布的这个漏洞被微软定为最高级
另:微软官方公告:http://www.microsoft.com/china/t ... ent/pctdisable.mspx
补丁下载地址:http://www.microsoft.com/china/t ... letin/ms04-011.mspx
建议所有 Win2000、XP、2003 用户安装补丁,或者启用防火墙。
染毒计算机的主要症状为:
(1)进程中出现 avserve.exe 和 *****_up.exe,占用大量资源;
其中*****为从0~65535之间的随机数字
(2)出现LSA Shell错误;
(3)导致系统进程lsass.exe错误,并进而导致计算机强迫重启;
(4)有网友反馈计算机的管理员权限帐户口令被修改(未证实)。
病毒原理:
病毒首先生成 C:\WINNT\system32\*****_up.exe (这个文件名是随即的 但_up.exe一定 其中*****为从0~65535之间的随机数字)并执行。
然后建立文件:C:\WINNT\avserve.exe,并在注册表中建立/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/avserve.exe项。
病毒在本机启动3000多tcp 端口对外扫描tcp 445。(原来如此,把socket全占光了)待毒计算机的网络应用可能无法正常打开。
清除方法
首先按 ctrl+shift+esc 调出任务管理器 在进程中关闭 averve.exe
然后打好补丁 3 个补丁:KB837001,KB828741,KB835732
删除注册表的相应键值 (run 中 输入 regedit)
删除相应位置的的文件 avserve.exe (c:\windows 或 c:\winnt 下)
*****_up.exe 文件 c:\windows 或 c:\winnt 下 system32 里
通过安装防火墙或者手动关闭计算机的445端口
XP补丁直接下载:
http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
2K补丁直接下载:
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
--------------------------------------------------------------------------------------------------------------------------------------------------
以上内容是从网络上找到的解决办法,但在实际中,我却碰到了类似的问题,但在进程中找不到avserve.exe 和 *****_up.exe文件,病毒的表现症状也不太一样:开机后进入windows界面时如果有连接网络就会出现lass.exe读盘错误,如果没有连接网络就不出现。我的解决办法是:先拔掉网线,然后用windows优化大师关闭445端口,然后重新启动即可!您若出现类似情况,不防试试! |
