Re: [轉錄][閒聊] 棘手的病毒
※ 引述《dilimma (還有一個月才開學)》之銘言:
: ※ [本文轉錄自 NTPU-COECO87 看板]
: 作者: h2so4 (哈哈 ) 看板: NTPU-COECO87
: 標題: [閒聊] 棘手的病毒
: 時間: Tue Aug 12 21:55:57 2003
: WORM_MSBLAST.A
: 相關新聞後面請自行連結
: http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/
: default5.asp?VName=WORM_MSBLAST.A
: 這病毒 相當機車
: 中毒之後你重灌電腦 沒有用
: 因為只要一上網 就會中標
: 整個網域都會受到感染
: 但只會感染Windows NT/2000/XP/2003(.Net)的作業系統
: 還是多小心吧
: 我很久沒中過毒咧
: 這一隻相當利害
W32.Blaster.Worm (WORM_MSBLAST.A)
Affected Software:
· Microsoft Windows NTR 4.0
· Microsoft Windows NT 4.0 Terminal Services Edition
· Microsoft Windows 2000
· Microsoft Windows XP
· Microsoft Windows Server? 2003
中毒大略徵狀:
Window2000用戶會有部分檔案無法執行,且無法執行複製、貼上..等動作。
WinXP用戶會不斷重開機。
自我檢測:
請依照下面步驟檢測自己的電腦是否感染WORM_MSBLAST.A.此病毒只感染Windows NT/2000/
XP系統,故下面方式只適用於Windows NT/2000/XP的作業系統.Windows 9x/ME無法使用.
點選開始>執行, 輸入cmd後按Enter以便開啟命令提示字元.
鍵入指令:
netstat -a
查看列出的清單中是否有下列字串:
Protocal
Local Address
Foreign Address
Status
TCP
<電腦名稱>:4444
<電腦名稱>:0
LISTENING
TCP
<電腦名稱>:69
<電腦名稱>:0
LISTENING
若有符合上述條件表示系統可能感染此蠕蟲病毒
解決及預防方法:
關閉惡意程式
此程序可關閉惡性程式於記憶體中的處理程序.
開啟Windows工作管理員, 按 CTRL+SHIFT+ESC, 點選『處理程序』標籤.
於正在執行的處理程序清單中, 找到下述執行檔:MSBLAST.EXE
選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕.
為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟.
關閉工作管理員.
移除登錄編輯程式中自動啟動的機碼
移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.
開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter.
在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右側視窗中,刪除此機碼:
"windows auto update" = MSBLAST.EXE
關閉登錄編輯程式.
NOTE:假如用戶無法依照先前的步驟關閉記憶體中惡意程式的處理程序,請重新啟動電腦.
安裝微軟更新程式 (重要!!)
請至http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security
/bulletin/MS03-026.asp,
下載用戶端作業系統的修補程式 ,並執行。
<注意>未中毒者也請務必安裝修補程式
--
※ 發信站: 批踢踢實業坊(ptt.csie.ntu.edu.tw)
◆ From: 61.228.102.141
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 3 之 5 篇):