飞扬围棋

标题: 这两天流行“流言”病毒，大家关注！ [打印本页]

作者: zpat 时间: 2003-8-12 17:51
标题: 这两天流行“流言”病毒，大家关注！
流言病毒解决方案
从昨天开始，陆续接到用户感染流言病毒的报告。其现象是报错，并重启。经过研究，现在提出一个临时的解决方案。如下：
1、使机器不再重启：
进行管理工具，选择服务，在其中找到Remoter Procedure Call(RPC)项，点击右键，在弹出菜单中选择属性，再选择“恢复”卡片，在“第一次失败”、“第二次失败”和“后续失败”的下拉框中选择“不操作”，再单击确定。（也可以安全模式重启，但好像不太可靠，特别是对宽带上网的用户更是如此）。
2、安装（可从微软的网站上下载）下面的补丁程序：
WinXP

WindowsXP-KB823980-x86-CHS.exe)
Win2000Pro

Windows2000-KB823980-x86-CHS.exe)
3、执行完上述操作后，恢复第一步操作中的修改到原始状态。请各位按上述方法进行。
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp

作者: 阿扬 时间: 2003-8-12 18:01
装个防火墙就可以了。或者把135口给关掉。

作者: cigarsking 时间: 2003-8-12 21:10
多谢羽焰，我用上了！！
[em10]

作者: 凝兰 时间: 2003-8-12 23:20
羽焰贴得太晚了,下班前没看到
等到晚10:00连线时,机器重启无数次,惊魂一小时...
汗~现在突然发觉将来还是找个IT界的BF好

作者: zpat 时间: 2003-8-13 00:23
IT界的BF只能帮你治电脑的毛病，
还是找个做医生的BF更好！哈哈哈。。。

作者: gianttoad 时间: 2003-8-13 00:52
按你这么说还是不要bf好，给各界人士留个希望[em05]

作者: s-song 时间: 2003-8-13 08:23
关闭135端口

135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击。

对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但仍需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。

[此贴子已经被作者于2003-8-13 8:25:00编辑过]

作者: s-song 时间: 2003-8-13 08:27
关闭139端口（NetBIOS提供服务的tcp端口）

Netbios（NETwork Basic Input/Output System）网络基本输入输出系统。是1983年IBM开发的一套网络标准，微软在这基础上继续开发。微软的客户机／服务器网络系统都是基于NetBIOS的。在利用Windows NT4.0 构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此，我们很有必要堵上这个可怕的漏洞。

对于win9x ：

在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板-网络-删除microsoft网络用户，使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。

方法1：
1．检查NetBEUI是否出现在配置栏中。打开控制面版，双击“网络”选项，打开“网络”对话框。在“配置”标签页中检查己安装的网络组件中是否有NetBEUI。如果没有，点击列表下边的添加按钮，选中“网络协议”对话框，在制造商列表中选择微软，在网络协议列表中选择NetBEUI。点击确定，根据提示插入安装盘，安装NetBEUI。

2．回到“网络”对话框，选中“拨号网络适配器”，点击列表右下方“属性”按钮。在打开的“属性”对话框中选择“绑定”标签页，将除“TCP/IP->网络适配器”之外的其它项目前复选框中的对勾都取消！

3．回到“网络”对话框，选中“TCP/IP->拨号网络适配器”点击列表右下方“属性”按钮，不要怕弹出的警告对话框，点击“确定”。在“TCP/IP属性”对话框中选择“绑定”标签页，将列表中所有项目前复选框中的对勾都取消！点击“确定”，这时Windows会警告你“尚未选择绑定的驱动器。现在是否选择驱动器？”点击“否”。之后，系统会提示重新启动计算机，确认。

4．证实己取消绑定。重新进入“TCP/IP->拨号网络适配器”的“TCP/IP属性”对话框，选定“NetBIOS”标签页，看到“通过TCP/IP启用NetBIOS”项被清除了吧！连点两次“取消”退出“网络”对话框（不要点“确认”，免得出现什么意外）。

方法2：
运行RegEdit.exe 查找串“vnetbios”,找到后再选择“查找下一个”，将找到象“blahblah\\VxD\\VNETBIOS\\”的串，删除“VNETBIOS”项即可。操作一定要谨慎，误操作可能导致系统崩溃，另关掉139端口后将无法共享文件和打印功能。

对于winNT ：

在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板-网络-Netbios接口-WINS客户（tcp/ip)-禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了，不过会造成基于netbios的一些命令无法使用。如net等。

对于WIN2000 ：

选中网络邻居——》右键——》本地连接——》INTERNET协议（TCP/IP）——》属性——》高级——》选项——》TCP/IP筛选——》在“只允许”中填入除了137，138，139只外的端口。如果你在局域网中，会影响局域网的使用。

后门的端口

137，138是udp端口。当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。在windows9x下可以完全关闭这几个端口。完全禁止了netbios服务。方式是在控制面板-网络-只保留tcp/ip协议和拨号网络适配器。但是这样windows会提示你网络不完整。但是还可以继续使用。在tcp/ip协议里的netbios一项不要选择绑定到tcp/ip协议。这时候你的netbios服务完全停止了。你的机器也没有137，138和139端口了。这样追捕也搞不清你到底是9x还是unix了。windowsNT下可以封锁这些端口。封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。点击高级按钮激活高级IP地址对话框，然后点击Enable Secury 对话框，然后点击配置按钮激活TCP/IP安全对话框，那里列出了那些TCP和UDP端口被允许了。但是好像不能识别拨号网络适配器。

以上的方法都是给不需要连接入局域网的计算机的配置方法。如果你是一台拨号上网的单机那么完全可以禁止netbios服务。但是如果你需要接入局域网的话。那你只能注意加密你的共享资源了。否则全互联网的人都可以通过这个windows的“后门”到你的计算机里了：）

作者: 阿扬 时间: 2003-8-13 09:03
推荐大家用天网，对付一般的攻击足够

作者: 凝兰 时间: 2003-8-13 09:06
song真是博学...
另,昨天的经验还有,这个软件是叫别人QQ给我的,很小的文件,好像在1分钟就可以搞定,然后断开网络,就不会反复重启了,装好后再连上网就没事了,想想还是后怕.

作者: 大江东去 时间: 2003-8-13 09:34

以下是引用凝兰在2003-8-13 9:06:01的发言：
song真是博学...

同感，pfpf。

作者: 花似玉 时间: 2003-8-13 12:41
提示: 作者被禁止或删除内容自动屏蔽

作者: 凝兰 时间: 2003-8-13 12:48
"安装（可从微软的网站上下载）下面的补丁程序：
WinXP

WindowsXP-KB823980-x86-CHS.exe)
Win2000Pro

Windows2000-KB823980-x86-CHS.exe)"

只要装了这个补丁就好了...

作者: ybyxk 时间: 2003-8-13 13:02
装个诺顿杀毒软件 2003 正式版吧
http://soft.winzheng.com/SoftView/SoftView_4726.htm

作者: 佳藤镇夫 时间: 2003-8-13 13:18
昨天刚搞定，解决方案如下：
第一，到以下地址下载微软的补丁程序，避免此漏洞带来的危害：　　 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp 如果不能下载补丁。
或用第二方案也行：用天网、金山网镖等网络防火墙关闭“135 139　445”三个端口，以防止病毒的攻击。

作者: 花似玉 时间: 2003-8-13 13:32
提示: 作者被禁止或删除内容自动屏蔽

作者: zpat 时间: 2003-8-13 13:44
正式解决方案：
提示：

如果您的电脑还没有感染该病毒，那么请您直接按照步骤二下载相应的补丁程序并安装；

如果您的电脑已经感染了该病毒，那么请您按照如下步骤操作进行(以XP操作系统为例，Win2000系统可以参考XP系统的解决方法)。

一、使机器不再重启：

1、右键单击“我的电脑” →“管理” → “服务”（或者通过“开始”→“控制面板”→“性能和维护”→“管理工具”→“服务”进入服务选项）（见图1）
<img src="attachments/dvbbs/20038131362487902.gif" border="0" onclick="zoom(this)" onload="if(this.width>document.body.clientWidth*0.5) {this.resized=true;this.width=document.body.clientWidth*0.5;this.style.cursor='pointer';} else {this.onclick=null}" alt="" />

图1

2、在其中找到Remoter Procedure Call(RPC)项，在此项上点击右键，在弹出菜单中选择属性（见图2），再选择“恢复”卡片，在“第一次失败”、“第二次失败”和“后续失败”的下拉框中选择“不操作”，再单击确定。
<img src="attachments/dvbbs/20038131371860035.jpg" border="0" onclick="zoom(this)" onload="if(this.width>document.body.clientWidth*0.5) {this.resized=true;this.width=document.body.clientWidth*0.5;this.style.cursor='pointer';} else {this.onclick=null}" alt="" />

图2

二、安装微软补丁程序

1、如果您没有安装sp1补丁包,请下载SP1补丁：Windows XP SP1服务包按提示执行安装，结束后重新启动计算机。

2、点击此链接进入微软网站下载此补丁程序：WindowsXP-KB823980-x86-CHS.exe 按提示执行安装，结束后重新启动计算机。

3、执行完上述操作后，恢复第一步操作中所做的更改，具体如下：

   a、右键单击“我的电脑”－“管理”－“服务” （或者通过“开始”→“控制面板”→“性能和维护”→“管理工具”→“服务”进入服务选项）

   b、在其中找到Remoter Procedure Call(RPC)项，在此项上点击右键

   c、在弹出菜单中选择属性，再选择“恢复”卡片，在“第一次失败”、“第二次失败”和“后续失败”的下拉框中选择“重新启动计算机”，再单击确定。

注意：
1、对于Windows 2000系统，操作步骤可以参考XP系统的解决方法，但是必须在安装了SP4补丁后（Windows 2000 SP4服务包），才能安装Windows2000-KB823980-x86-CHS.exe补丁（点击此链接进入微软网站下载Windows2000的相应补丁程序Windows2000-KB823980-x86-CHS.exe）；

2、对于Windows XP系统，必须在安装了SP1后，才能安装WindowsXP-KB823980-x86-CHS.exe 补丁。
在Windows XP下检查是否已安装了SP1，可通过下列方法检查：
鼠标右键单击“我的电脑”，在弹出的菜单中选择“属性”，在“常规”卡片中的版权信息下，如果安装了SP1，就会显示“Service Packet 1”字样，如果没有就需要安装SP1补丁程序，具体如下：
<img src="attachments/dvbbs/200381314413269200.gif" border="0" onclick="zoom(this)" onload="if(this.width>document.body.clientWidth*0.5) {this.resized=true;this.width=document.body.clientWidth*0.5;this.style.cursor='pointer';} else {this.onclick=null}" alt="" />

三、彻底查杀
1、点击该链接进入诺顿网站下载诺顿专用杀毒工具：http://securityresponse.symantec.com/avcenter/FixBlast.exe  ，将此工具下载并保存到本机。

2、重新启动系统，在进入开机画面时连续点击F8键，选择安全模式进入系统

3、在安全模式下直接运行诺顿专杀工具FixBlast.exe进行全机扫描，反复进行两次

4、重新启动计算机进入正常模式。

[此贴子已经被作者于2003-8-13 14:41:58编辑过]

作者: 999999999a 时间: 2003-8-13 16:09
为什么现在这么多病毒，有的人真是无聊啊

作者: 大头白菜 时间: 2003-8-13 16:21
最简单的方法：本地连接属性－－internet协议（tcp/ip）－－属性－－高级－－选项－－tcp/ip筛选－－启用tcp/ip筛选－－用哪个就开哪个
用不着买什么病毒软件
目前我见过的rpc类病毒似乎都在端口与某个地址建立连接后发作，象这样掩耳盗铃就足够了

作者: zl21zl 时间: 2003-8-13 18:41
提示: 作者被禁止或删除内容自动屏蔽

作者: 宜城老僧 时间: 2003-8-14 10:06
xorala.2048 msblast 冲击波流言，偶的服务器一个都不能少啊！
55555..... 正在抢救ing...........

作者: lemuel 时间: 2003-8-14 10:09
谢谢了，下载中。。。。。

作者: lleon 时间: 2003-8-15 13:28
俺装了还原精灵和cih免疫器，什么都不怕[em01][em05]

作者: 我的天哪 时间: 2003-8-15 23:02
thank,
现在的病毒太厉害了，吓。。。。

作者: 唐秋月 时间: 2003-8-16 08:34
k

作者: whchenyu 时间: 2003-8-17 11:24
提示: 作者被禁止或删除内容自动屏蔽

作者: 豪腕 时间: 2003-8-20 21:00
恍恍忽忽

欢迎光临飞扬围棋 (http://flygo.net/bbS/)