主要就是 明明連接著網絡 ADSL指示燈正常
卻網頁打不開 qq不能上 PPlive 下載等也不能使用
出現過幾次錯誤提示 但不是很多(不知道是不是病毒的版本問題)
但有時候也會出現。
壹、魔波原理
魔波在註冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe鍵值,還會在c:\windows\system32目錄下會放置壹個msblast.exe的木馬程序
二、預防
用江民KV系列的朋友 只要使用 工具---系統漏洞檢查
看壹看列表裏面是否存在"Server 服務中的漏洞可能允許遠程執行代碼"
這個漏洞。如果存在 下載安裝上
沒有則 妳的系統可能已經打上補丁了(如果妳是kv的忠實用戶最好經常使用系統漏洞檢查功能,它會對比系統已經安裝的補丁 與現行發布的補丁 並提供下載地址)
有防火墻的朋友可以 建立對TCP/445/139端口的禁止規則。 from Sunbridge
以費爾個人防火墻為例:規則建立方法: from Sunbridge
打開費爾個人防火墻----管控中心----新增
應用程序 默認*(即所有)---------------------此項不改變
目的網絡:默認雙向-------------------------此項不改變
連線方向:雙向 訪問時間 任何時間--------此項不改變
協議:任何
管制動作:---------------------------------****註意此項改為拒絕****
本地端口:139
然後 相同步驟 建立對445端口的禁止規則。 from Sunbridge
沒有防火墻的可以手剎TCP 139 445端口方法如下:
1.通過對開始->設置->控制面版->管理工具 -> 本地安全策略 ->(鼠標右擊)ip安全策略,在本地機器。點擊"管理ip篩選器表和篩選器操作",
2.在"管理ip篩選器列表"選項卡上點擊"添加"。
3.彈出"ip篩選器列表"窗口。
4.分別添入名稱和描述,如禁用139連接。並點擊"添加",接著會出現壹個ip"篩選器向導",單擊下壹步。
5.到"指定ip源地址"窗口,在"源地址"中選擇"任何ip地址",點擊下壹步。
6.在"ip通信目標"的"目標地址"選擇"我的ip地址",點擊下壹步。
7.在"ip協議類型"的"選擇協議類型"選擇"tcp",點擊下壹步。
8.在"篩選器向導"的"設置ip協議端口"裏第壹欄為"從任意端口",第二欄為"到此端口"並添上"139",點擊下壹步。 from Sunbridge
9.接著點擊"完成" ->然後再單擊"關閉" 回到"管理ip篩選器表和篩選器操作"窗口。
10.選擇"管理篩選器操作"選項卡點擊"添加"。
11.同樣會出現壹個"篩先器操作向導"的窗口,點擊"下壹步",在"名稱"裏添上"禁用139連接"。
12.按"下壹步",並選擇"阻止",再按"下壹步"。 from Sunbridge
13.點擊"完成"和"關閉"。
445端口的關閉方法 同上 改壹下數字139為445即可。
三、關於"魔波"查殺:
魔波在註冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe鍵值,還會在c:\windows\system32目錄下會放置壹個msblast.exe的木馬程序
針對此惡性病毒,建議采取以下預防和解決方法。
1、已中該病毒的客戶的解決方法
(1)先拔掉網線,在任務管理器(同時按住Ctrl+Alt+Del三個按鍵可調出管理器)中結束msblast.exe進程,清除註冊表中的相應條目,刪除system32下的木馬程序。安裝瑞星殺毒軟件的客戶可以升級到最新的版本進行查殺,或者下載文末中的安天或江民公司的專殺工具進行查殺。
(2)下載並安裝最新的操作系統補丁程序(MS06-040),安裝後重新啟動計算機即可解決受攻擊問題。為避免最近微軟官方網站下載過多造成擁塞,客戶可以就近下載安裝各殺毒軟件公司的補丁。
(3)安裝瑞星個人防火墻2006版的客戶,請開啟防火墻並關閉139及445端口,詳細方法可以登陸瑞星網站查詢。
(4)如果排除病毒後,還出現這樣的問題,有可能是IE組件在註冊表中註冊信息被破壞,可以按下面的方法去解決該問題。
在"開始"菜單中打開"運行"窗口,在其中輸入"regsvr32 actxprxy.dll",然後" 確定",接著會出現壹個信息對話 框"DllRegisterServer in actxprxy.dll
succeeded",再次點擊"確定"。
再次打開"運行"窗口,輸入"regsvr32 shdocvw.dll
再次打開"運行"窗口,輸入"regsvr32 oleaut32.dll from Sunbridge
再次打開"運行"窗口,輸入"regsvr32 actxprxy.dll
再次打開"運行"窗口,輸入"regsvr32 mshtml.dll
再次打開"運行"窗口,輸入"regsvr32 msjava.dll
再次打開"運行"窗口,輸入"regsvr32 browseui.dll
再次打開"運行"窗口,輸入"regsvr32 urlmon.dll
如果排除病毒問題後,做完上面的幾個IE組件註冊壹般問題即可得到解決。
雖然"魔波"來勢洶洶但感覺其對個人用戶的影響規模遠遠大於2000服務器 from Sunbridge
早在7月份microsoft已經發布了Server 服務中的漏洞可能允許遠程執行代碼 from Sunbridge
補丁 有架設服務器經驗的朋友 都很關心此類補丁的發布 from Sunbridge
我也是那個時候打的補丁 之前聽說這個漏洞以後
因為我的服務器主要用於學校的教學 用不著NBT和認證所以只是草草把 139 445關了
ok累死了……