兴宁A8 兴宁论坛 兴宁新闻 兴宁人的网络社区
标题:
“冲击波”变种引起宽带频繁掉线
[打印本页]
作者:
兴宁528
时间:
2012/3/3 22:21
标题:
“冲击波”变种引起宽带频繁掉线
一、电脑配置高 Windows XP用着好<BR><BR> 小红刚刚买了一台液晶兼容机(P4 1.8+256M+微星845PE),电脑买了不久之后,她很快就办理了ADSL宽带业务,主要用于查找资料和网上游戏、使用一直很正常。<BR><BR> 考虑到电脑配置还不错,渔歌强烈建议安装Windows XP,既有较好的兼容性,又保证了系统的稳定性。对于刚刚开始接触电脑的小红来说非常适合。小红采纳了我的意见,格式化硬盘并重新安装了Windows XP,经过使用,感觉非常高兴。<BR><BR> 二、宽带赶新潮 网卡闹别扭<BR><BR> 过了一段时间,小红就遇到了奇怪的现象:在正常情况下,在打开ADSL Modem的电源后,初始化完成,其Link和LAN灯会保持长亮,而Ready灯闪烁,最后双击拨号连接即可完成连接,但是ADSL Modem的三个指示灯有时总是常亮,无法上网,关闭电源再打开多试几次也能行。我让她试着将电脑与ADSL Modem之间的线缆拔下来,重新再插回去。她按照做了,果然问题解决。<BR><BR> 但过了几天,小红说再次插拔线缆时发现网卡好像是松的,而且用力过大,把网卡都“推”进机箱里面了。打开机箱时才发现网卡居然连固定螺钉都没有上(这是哪家公司干的?)。加上机箱风扇震动非常大,导致网卡接触不良,造成ADSL Modem初始化通不过,出现问题。插紧后,问题解决。<BR><BR> 三、一波又三折 上网不顺畅<BR><BR> 可是新的问题又出现了,电脑上网时经常掉线,通常只能上不到十分钟,必掉无疑。而且,掉线后,必须重新启动电脑才能上网。但很快又断掉,周而复始。由于又以前的经验,所以首先检查网卡,结果发现网卡已经牢固的固定在机箱上面;按说ADSL宽带不太容易断线,以前按安装Windows 98时,没有出现这种情况,安装Windows XP后才出现这个问题确实很奇怪,Windows XP对网络的支持更好,而且该电脑配件都是名牌大厂的产品,兼容性很好。再加上Windows XP刚刚安装不久,安装的应用软件很少,软件冲突的可能性也很小。排除了硬件和软件的可能性,只有可能是网络线路和病毒造成的了。由于小红一般上网也就是固定的几个大网站,如联众、新浪等,她从不下载软件和收发电子邮件,因此病毒的可能性也小。所以我建议她先找电信部门检查一下服务器端的设置和线路问题。电信部门首先检查了一下系统设置,说没有问题。后来又到同事家查看的电话线并打开机箱,检查网卡,线缆连接,操作系统的设置,均未发现什么问题。工作人员自己也说没有遇到过这种情况。<BR><BR> 四、逐步排故障 病毒在作怪<BR><BR> 网络的可能性也排除后,我怀疑最有可能病毒的问题了。于是带上了杀毒软件来到同事家。在同事家首先还是检查了一遍硬件连接和软件设置,没有问题。上网先试一下,果然不到十分钟就断了。必须重新启动后才能再次上网。先不管它,把杀毒软件安上再说。放入安装光盘,很快就安装好了,运行了一下对全盘进行查毒,并没有发现有病毒报告。不对,仔细查看了版本信息,才发现病毒特征库版本是2002年的,马上连线上网,趁没有断线的几分钟内更新软件。马上对硬盘再次扫描,果然发现找到WORM_NACHI.A病毒,提示是否清除?当然清除。根据提示信息,发现该病毒文件为DLLHOST.EXE和SVCHOST.EXE,两个文件位于C:\Windows\System32\wins下。这两个文件名似乎很熟悉,对了,在任务管理器里总能看见这两个文件。不过它们是系统文件,怎么会是病毒文件呢?突然显示器上出现了一个倒计时窗口,提示马上重新启动电脑,并开始一分钟计时,这时根本无法阻止该窗口。这时我明白了,一定是冲击波病毒。<BR><BR> 五、露出真面目 变种也疯狂<BR><BR> 重新启动后,立即上网,按照病毒名WORM_NACHI.A找到了该病毒的相关信息和清除方法,下面来看看它的面目吧。该病毒为著名的“冲击波”病毒的变种,它也是利用RPC漏洞来进行攻击Windows 2000/XP系统,最明显的特征是在或目录下,病毒会生成两个病毒文件DLLHOST.EXE和SVCHOST.EXE,并且开机后随系统一起启动。病毒会通过连接www.microsoft.com来检测系统是否在线,而且还在端口666到765中随机选择一个进行侦听,以接收远程端发出的命令。它会扫描和中止“冲击波”病毒的进程,并删除掉系统目录中的MSBLAST.EXE文件。病毒会连接上微软网站下载补丁程序,在执行补丁程序后自动重启系统。接着它又会继续扫描网络上有RPC漏洞的计算机,重复以上感染动作。虽然该病毒看似一个出于良好用心帮助用户清除“冲击波”病毒,但由于该病毒编写上不完善,它并不能将“冲击波”病毒完全清除,反而传播过程中会导致大量计算机连接微软网站,造成网络交通堵塞,并使一些计算机产生一些异常情况。<BR><BR> 六、手动杀病毒 故障全解决<BR><BR> 要查杀该病毒可采用以下手工方法:<BR><BR> 第一步:单击“开始→运行”,在弹出的对话框中输入CMD后回车,在命令提示符中,输入NET STOP "Network Connections Sharing"后回车,会看到系统提示该服务已成功中止,同样将WINS Client服务中止。<BR><BR> 第二步:打开“注册表编辑器”,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetServices]中删除子键RpcPatch、 RpcTftpd。<BR><BR> 第三步:打开目录,删除掉svchost.exe和dllhost.exe文件(如果实在删除不了,可以用DOS启动盘启动电脑,在DOS下删除)。<BR><BR> 第四步:如果你还未给系统的RPC漏洞打上补丁,赶紧从http://www.microsoft.com/china/security/Bulletins/MS03-026.asp上下载并应用相应补丁。<BR><BR> 第五步:升级杀毒软件病毒库和下载专杀工具,进行彻底查杀。<BR><BR> 清除完病毒后,立即重新上网,很快就连续成功,1分钟……10分钟……30分钟过去了,上网很正常,连续上了3个多小时,一直没断线,至此频繁掉线的故障成功解决。
欢迎光临 兴宁A8 兴宁论坛 兴宁新闻 兴宁人的网络社区 (http://bbs.xna8.com/)
Powered by Discuz! X3.1