荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: michaelx (好好学习), 信区: Security
标 题: MSblast手工清除小记
发信站: 荔园晨风BBS站 (Wed Aug 13 21:59:17 2003), 转信
MSblast手工清除小记
出处:PConline
责任编辑:wgy
[03-8-13 10:40] 作者:关云
中午,我正在网上冲浪,忽然计算机弹出消息:计算机将于60秒后关机,请注意保存好
你的工作:接下来就是倒计时了。我的第一反应就是我被黑了,赶紧用shutdown -a命令取
消关机。
接下来马上查看我的用户组有没有未知的帐号,可是结果让人失望,帐号没有变化,有人破
解了我的帐号?赶紧将管理员的密码改掉,应该没问题的吧,于是去查找访问日志,看看有
谁入侵,可惜没有记录,这个家伙好高明呀,连日志都删了,正在检查网络连接端口,那个
该死的关机窗口又
出现了,可没人连接到我的机上,也就是不是有人在远程关机了,应该中木马病毒了!
好久没中毒了,我都忘记是什么时候的事了,因为我会定期升级病毒库,一直以来倒也
安全无事,只是这周的好像还没升级,这就中招了,(大汗)赶紧打开杀毒软件的自动升级
程序,竟然打不开,看来这病毒把杀毒软件的功能禁用了,那怎么办,上网自己去载病毒库
吧,点击MyIE2?
环从Γ颜獬绦蛞步昧耍〈蚩狪E,这下行了,可我键入网址,主页是进去了,可我点
击链接就没反应,复制快捷方式,在IE栏按粘贴,没反应,连拷贝粘贴都禁了。系统还原吧
,哪知道也没动静!这病毒太狠了,我还得不时的用shutdown
-a命令取消关机,唉,看来得先关闭病毒运行才行了,不能上网求助,就只能自力更生了
,还是自己来吧,想想近期的病毒,mimail不应该是这种状况,还有就是RPC缓冲区溢出漏
洞了,应该就是它吧,记得它好像是利用135和445端口漏洞来植入可执行代码得,机上应该
有病毒文件,让我
来慢慢的找吧
运行msconfig,在启动一栏查看有无陌生的启动项目,发现有一个msblast.exe的启动
项是原来没有的,一定有问题,取消它的自启动。
按ctrl + alt + del 在进程里找到msblast.exe,停止进程。
用系统的搜索在windows文件夹下查找msblast.exe,谁知点击搜索居然一点反应都没有
,暗骂病毒一声,只能手工查找了。按照惯例应该在system32目录下,还好这点它好比较老
实,将它改名(我还不能确定是不是它,可不敢随便删了它)。
运行regedit。F3搜索msblast,发现在windows auto update的子键下有"command--
msblast.exe"将整个windows auto update删掉,继续按F3,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下看看,一般会有msblast的键值,不过在MSconfig中禁用了就没有了,自启动的程序会在
这里记录的。
重起一下,IE可以上网了,MYIE2也可以用了。系统的搜索也好了。正在欢呼着上网去
下载病毒库,“计算机将于60秒后关机”的对话框有出来了,又被感染了,还得重来。我#
¥%……※
看来是治标不治本呀,系统得漏洞还在。赶紧重做一便,以最快的速度到
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-
C5B6-44AC-9532-3DE40F69C074
升级系统得补丁,然后去载了个防火墙,自定义规则,将接入的TCP的81到65535的端口全封
了。UDP的从1到1025也干掉,我还要用QQ,不能全禁呀^_^
再次重启,终于安全了,看着防火墙报告的135不时的有链接被拦截,看来校园网上已
经病毒泛滥了,恐怖呀……
这就是本次杀毒的经过,不光是对本次病毒有效,对于黑客入侵和木马,以及其它的病
毒哦^_-
在此向大家建议:
大家还是多关注一下微软的安全公告吧,这个漏洞都出来好久了,我由于工作的关系,
更是看了好多次,可还是没放在心上,我想大家也差不多吧,还是得适时得补洞呀!
装上防火墙吧,这样可以少很多麻烦,虽然看着一个小东西占着我的系统托盘很不爽,
但看看被它拦截的一大串东西,就当花“钱”挡灾吧^_^
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.144.235.39]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店