科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道“冲击波”变种引起宽带频繁掉线

“冲击波”变种引起宽带频繁掉线

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

过了一段时间,小红就遇到了奇怪的现象:在正常情况下,在打开ADSLModem的电源后,初始化完成,其Link和LAN灯会保持长亮,而Ready灯闪烁,最后双击拨号连接即可完成连接,但是ADSLModem的三个指示灯有时总是常亮。

作者:zdnet安全频道 来源:论坛整理 2008年11月19日

关键字: 冲击波

  • 评论
  • 分享微博
  • 分享邮件

  一、电脑配置高WindowsXP用着好

  小红刚刚买了一台液晶兼容机(P41.8+256M+微星845PE),电脑买了不久之后,她很快就办理了ADSL宽带业务,主要用于查找资料和网上游戏、使用一直很正常。

  考虑到电脑配置还不错,渔歌强烈建议安装WindowsXP,既有较好的兼容性,又保证了系统的稳定性。对于刚刚开始接触电脑的小红来说非常适合。小红采纳了我的意见,格式化硬盘并重新安装了WindowsXP,经过使用,感觉非常高兴。

  二、宽带赶新潮网卡闹别扭

  过了一段时间,小红就遇到了奇怪的现象:在正常情况下,在打开ADSLModem的电源后,初始化完成,其Link和LAN灯会保持长亮,而Ready灯闪烁,最后双击拨号连接即可完成连接,但是ADSLModem的三个指示灯有时总是常亮,无法上网,关闭电源再打开多试几次也能行。我让她试着将电脑与ADSLModem之间的线缆拔下来,重新再插回去。她按照做了,果然问题解决。

  但过了几天,小红说再次插拔线缆时发现网卡好像是松的,而且用力过大,把网卡都“推”进机箱里面了。打开机箱时才发现网卡居然连固定螺钉都没有上(这是哪家公司干的?)。加上机箱风扇震动非常大,导致网卡接触不良,造成ADSLModem初始化通不过,出现问题。插紧后,问题解决。

  三、一波又三折上网不顺畅

  可是新的问题又出现了,电脑上网时经常掉线,通常只能上不到十分钟,必掉无疑。而且,掉线后,必须重新启动电脑才能上网。但很快又断掉,周而复始。由于又以前的经验,所以首先检查网卡,结果发现网卡已经牢固的固定在机箱上面;按说ADSL宽带不太容易断线,以前按安装Windows98时,没有出现这种情况,安装WindowsXP后才出现这个问题确实很奇怪,WindowsXP对网络的支持更好,而且该电脑配件都是名牌大厂的产品,兼容性很好。再加上WindowsXP刚刚安装不久,安装的应用软件很少,软件冲突的可能性也很小。排除了硬件和软件的可能性,只有可能是网络线路和病毒造成的了。由于小红一般上网也就是固定的几个大网站,如联众、新浪等,她从不下载软件和收发电子邮件,因此病毒的可能性也小。所以我建议她先找电信部门检查一下服务器端的设置和线路问题。电信部门首先检查了一下系统设置,说没有问题。后来又到同事家查看的电话线并打开机箱,检查网卡,线缆连接,操作系统的设置,均未发现什么问题。工作人员自己也说没有遇到过这种情况。

  四、逐步排故障病毒在作怪

  网络的可能性也排除后,我怀疑最有可能病毒的问题了。于是带上了杀毒软件来到同事家。在同事家首先还是检查了一遍硬件连接和软件设置,没有问题。上网先试一下,果然不到十分钟就断了。必须重新启动后才能再次上网。先不管它,把杀毒软件安上再说。放入安装光盘,很快就安装好了,运行了一下对全盘进行查毒,并没有发现有病毒报告。不对,仔细查看了版本信息,才发现病毒特征库版本是2002年的,马上连线上网,趁没有断线的几分钟内更新软件。马上对硬盘再次扫描,果然发现找到WORM_NACHI.A病毒,提示是否清除?当然清除。根据提示信息,发现该病毒文件为DLLHOST.EXE和SVCHOST.EXE,两个文件位于C:WindowsSystem32wins下。这两个文件名似乎很熟悉,对了,在任务管理器里总能看见这两个文件。不过它们是系统文件,怎么会是病毒文件呢?突然显示器上出现了一个倒计时窗口,提示马上重新启动电脑,并开始一分钟计时,这时根本无法阻止该窗口。这时我明白了,一定是冲击波病毒。

  五、露出真面目变种也疯狂

  重新启动后,立即上网,按照病毒名WORM_NACHI.A找到了该病毒的相关信息和清除方法,下面来看看它的面目吧。该病毒为著名的“冲击波”病毒的变种,它也是利用RPC漏洞来进行攻击Windows2000/XP系统,最明显的特征是在或目录下,病毒会生成两个病毒文件DLLHOST.EXE和SVCHOST.EXE,并且开机后随系统一起启动。病毒会通过连接www.microsoft.com来检测系统是否在线,而且还在端口666到765中随机选择一个进行侦听,以接收远程端发出的命令。它会扫描和中止“冲击波”病毒的进程,并删除掉系统目录中的MSBLAST.EXE文件。病毒会连接上微软网站下载补丁程序,在执行补丁程序后自动重启系统。接着它又会继续扫描网络上有RPC漏洞的计算机,重复以上感染动作。虽然该病毒看似一个出于良好用心帮助用户清除“冲击波”病毒,但由于该病毒编写上不完善,它并不能将“冲击波”病毒完全清除,反而传播过程中会导致大量计算机连接微软网站,造成网络交通堵塞,并使一些计算机产生一些异常情况。

  六、手动杀病毒故障全解决

  要查杀该病毒可采用以下手工方法:

  第一步:单击“开始→运行”,在弹出的对话框中输入CMD后回车,在命令提示符中,输入NETSTOP"NetworkConnectionsSharing"后回车,会看到系统提示该服务已成功中止,同样将WINSClient服务中止。

  第二步:打开“注册表编辑器”,在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]中删除子键RpcPatch、RpcTFTPd。

  第三步:打开目录,删除掉svchost.exe和dllhost.exe文件(如果实在删除不了,可以用DOS启动盘启动电脑,在DOS下删除)。

  第四步:如果你还未给系统的RPC漏洞打上补丁,赶紧从http://www.microsoft.com/china/security/Bulletins/MS03-026.ASP上下载并应用相应补丁。

  第五步:升级杀毒软件病毒库和下载专杀工具,进行彻底查杀。

  清除完病毒后,立即重新上网,很快就连续成功,1分钟……10分钟……30分钟过去了,上网很正常,连续上了3个多小时,一直没断线,至此频繁掉线的故障成功解决。

    • 评论
    • 分享微博
    • 分享邮件
      邮件订阅

      如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

      重磅专题
      往期文章
      最新文章