网络收藏

我的机子可能染上了病毒，有谁懂得在c:\winnt\system32下会自动生成一个svchost.exe的文件是什么病毒，另这种病毒有这种特征当你拨号上网后一会儿才会运行。症状是锁定某些运行程序。比如打开网页，只能打开主页，但无法看里面的内容。  
  运行后出现这样的对话框。“svchost.exe产生了错误，会被windows关闭。您需要重新启动程序”我该如何解决呢。  
   
 

推荐阅读

1)   终止恶意程序    
  打开windows任务管理器，在运行的程序清单中查找进程"msblast.exe"，终止该进程的运行。  
  2)   删除系统目录下的msblast.exe  
  3)   删除注册表中的自启动项  
  单击   开始>运行,   输入   regedit,   然后按   enter   键打开注册表编辑器。在编辑器左侧面版中依次双击hkey_local_machine>software>microsoft>windows>currentversion>run，在右边的列表中查找并删除项目windows   auto   update"   =   msblast.exe。  
  3．下载补丁：  
  登录微软网站，安装rpc漏洞的补丁程序：  
  http://www.microsoft.com/technet/security/bulletin/ms03-026.asp  
 

msblast蠕虫安全公告    
         
  cncert/cc近期发现互联网中一种名为"msblast"的新型蠕虫在蔓延，并且接到北京、天津、山西、辽宁、广东等地很多遭感染用户的报警。国家计算机病毒应急处理中心、ccert等的报告，也表明此蠕虫的蔓延情况比较严重。同时，8月12日，国外很多cert组织也反映了同样的情况。  
  经分析证实该蠕虫利用了7月16日微软公布的ms03-026   microsoft   windows   dcom   rpc接口远程缓冲区溢出漏洞。该漏洞影响所有未安装ms06-026补丁的windows   2000、windows   xp、windows   2003系统，由于蠕虫会在被攻击的主机中安置后门，并且其传播会导致主机不能正常工作，所以危害很大。  
  cncert/cc强烈建议互联网用户和安全组织重视该蠕虫的危害，加强防范，避免损失。  
  cncert/cc将密切跟踪事件的发展并且及时发布相关资料。  
   
   
  蠕虫名称：  
  "冲击波"  
  蠕虫长度：  
  6,176字节，用lcc-win32   v1.03编译，upx   1.22压缩，创建时间是2003年8月11日7点21分。解压后11,296字节。  
  受影响的软件及系统：  
  microsoft   windows   2000  
  microsoft   windows   xp  
  microsoft   windows   2003  
  感染途径：  
  1．   蠕虫感染系统后首先检测是否有名为"billy"的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建。  
  2．   在注册表    
  hkey_local_machine\software\microsoft\windows\currentversion\run中添加以下键值：windows   auto   update"="msblast.exe"  
  以保证每次用户登录的时候蠕虫都会自动运行。  
  3．   蠕虫还会在本地的udp/69端口上建立一个tftp服务器，用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。  
  4．   蠕虫选择目标ip地址的时候会首先选择受感染系统所在子网的ip，然后再按照一定算法随机在互连网上选择目标攻击。  
  5．   向目标的tcp/135端口发送攻击数据。如果攻击成功，会监听目标系统的tcp/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。  
  蠕虫检测到当前系统月份是8月之后或者日期是15日之后，也就是说，在1月至8月的16日至该月最后一天，以及九月至十二月的任意一天，就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的windows系统rpc服务崩溃，windows   xp系统可能会自动重启。该蠕虫不能成功侵入windows   2003，但是可以造成windows   2003系统的rpc服务崩溃，默认情况下，这将使系统重启。  
  蠕虫代码中还包含以下文本数据：  
  i   just   want   to   say   love   you   san!!  
  billy   gates   why   do   you   make   this   possible   ?   stop   making   money   and   fix   your   software!!    
  解决方法：  
  1．检测是否被蠕虫感染：  
  1)   检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。  
  2)   检查注册表  
  [hkey_local_machine\software\microsoft\windows\currentversion\run]键下是否有"windows   auto   update"="msblast.exe"  
  3)   在任务管理器中查看是否有msblast.exe的进程。  
  2．清除蠕虫：  
  如果发现系统已经被蠕虫感染，可以按照以下步骤手工清除蠕虫：  
  1)   终止恶意程序    
  打开windows任务管理器，在运行的程序清单中查找进程"msblast.exe"，终止该进程的运行。  
  2)   删除系统目录下的msblast.exe  
  3)   删除注册表中的自启动项  
  单击   开始>运行,   输入   regedit,   然后按   enter   键打开注册表编辑器。在编辑器左侧面版中依次双击hkey_local_machine>software>microsoft>windows>currentversion>run，在右边的列表中查找并删除项目windows   auto   update"   =   msblast.exe。  
  3．下载补丁：  
  登录微软网站，安装rpc漏洞的补丁程序：  
  http://www.microsoft.com/technet/security/bulletin/ms03-026.asp  
  或者在本网站下载补丁程序。rpc蠕虫补丁下载   安装补丁后您需要重新启动系统才能使补丁生效，如有可能，请在下载完补丁后断开网络连接再安装补丁。  
   
  载补丁：  
  登录微软网站，安装rpc漏洞的补丁程序：  
  http://www.microsoft.com/technet/security/bulletin/ms03-026.asp  
  载补丁：  
  登录微软网站，安装rpc漏洞的补丁程序：  
  http://www.microsoft.com/technet/security/bulletin/ms03-026.asp  
  载补丁：  
  登录微软网站，安装rpc漏洞的补丁程序：  
  http://www.microsoft.com/technet/security/bulletin/ms03-026.asp  
   
   
 

你在用windows   9x吗？  
   
  你的帖子在windowsnt版比较适合。windows9x不可能感染w32.blaster.worm因为9x没有服务概念，没有rpc功能。  
   
  svchost.exe不是病毒，也不要用中止进程的方法关闭它。