偶单位的电脑中冲击波啦~~~~怎么办怎么办~~！！！

元宝妹妹

目前不考虑重装系统 因为有很多重要资料  硬盘分区是在WINDOWS下分的 不知道会不会出问题

现在的问题是 每次开机系统提示ROOT文件非法 HAL.DLL文件丢失  WINDOWS根本就进不去
软盘启动系统 进入DOS以后看不到WINDOWS和SYSTEM32文件夹 冲击波的那个病毒程序就在那个里面（瑞星查得出来 可是删不掉。。。）
用光盘启动 想通过控制台修复  可以看到SYSTEM32文件夹 可是手动删除病毒失败。。。
而且HAL.DLL存在 根本就么丢失。。。。。。

偶现在也不知道咋办了。。。。。。。。。。难道真的要重装？ 资料在非系统分区里 会有危险吗？？？ 因为是先装系统再分区的呀

PS  那个什么WIN PE也么啊。。。。

Guevara

综述：
======
绿盟科技安全小组的HoneyPot监测到一种针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃，危害极大。

更新记录：

2003-08-12  11  文档创建

分析：
======
北京时间2003年08月12日，绿盟科技安全小组的HoneyPot监测到了一种新的攻击，绿盟科技安全小组火速对捕获的数据样本分析和研究，已经明确，这是一个针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞（http://www.nsfocus.net/index.php ... 026补丁的Windows 2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。

该蠕虫大小为6176字节。用LCC-Win32 v1.03编译，upx 1.22压缩，创建时间是2003年8月11日7点21分。

蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。

然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值：

"windows auto update"="msblast.exe"

以保证每次用户登录的时候蠕虫都会自动运行。

蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。

蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。

一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003，但是可以造成Windows 2003系统的RPC服务崩溃，默认情况下，这将使系统重启。

蠕虫检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说，从2003年8月16日开始就会一直进行拒绝服务攻击。

蠕虫代码中还包含以下文本数据：

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

解决方法：
==========
* 检测是否被蠕虫感染：

  1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按照下面键入：
    C:\>dir %systemroot%\system32\msblast.exe
    如果被感染，那么您可以看到类似的显示结果：
    C:\>dir %systemroot%\system32\msblast.exe
      驱动器 C 中的卷是 sys
      卷的序列号是 A401-04A9

      C:\WINNT\system32 的目录

    2003-08-12  03:03                6,176 msblast.exe
                    1 个文件          6,176 字节
                    0 个目录  2,701,848,576 可用字节

  2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在命令提示符中按照下面键入：
    C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    C:\>type tmp.txt
    如果被感染，那么您可以看到类似的显示结果：
    C:\>type tmp.txt
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "windows auto update"="msblast.exe"

  3、在任务管理器中查看是否有msblast.exe的进程。如果有，说明蠕虫正在您的系统上运行。


* 预防蠕虫感染：

  安装MS03-026（http://www.microsoft.com/technet ... �。下载地址：
  
  Windows NT 4.0 Server：

  http://microsoft.com/downloads/d ... &displaylang=en

  Windows NT 4.0 Terminal Server Edition ：

  http://microsoft.com/downloads/d ... &displaylang=en

  Windows 2000：

  http://microsoft.com/downloads/d ... &displaylang=en

  Windows XP 32 bit Edition：

  http://microsoft.com/downloads/d ... &displaylang=en

  Windows XP 64 bit Edition：

  http://microsoft.com/downloads/d ... &displaylang=en

  Windows Server 2003 32 bit Edition：

  http://microsoft.com/downloads/d ... &displaylang=en

  Windows Server 2003 64 bit Edition：

  http://microsoft.com/downloads/d ... &displaylang=en

  安装补丁后您需要重新启动系统才能使补丁生效，如有可能，请在下载完补丁后断开网络连接再安装补丁。

* 清除蠕虫

  如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：

  1、按照上述“预防蠕虫感染”的方法安装补丁。
  2、点击左下角的“开始”菜单，选择“运行”，在其中键入“taskmgr”，点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
  3、删除系统目录下的msblast.exe。
  4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除其下的"windows auto update"="msblast.exe"。
  5、重新启动系统。

元宝妹妹

这补丁DOS下能运行吗？ 现在系统都没法进啊~

eros

HAL.DLL依旧存在，但仍不能进系统，很可能是BOOT.INI文件出现错误，没有的该文件可能进不了，可能在进去前提示BOOT.INI非法，但还能进去。进不去的原因又可能引导找不是HAL.DLL文件（这是系统启动关键）。单从硬盘曾被分区又能怀疑分区序号可能改变，windows可能已经不在原来的分区。
就是说启动时，电脑按照BOOT的指示去寻找HAL文件，一旦不能对应，失败是必然的。
比如
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
括号中的1说明HAL该在序号1的分区中，于是就能启动，如果1被改了2或其他数字，而HAL仍在1分区，这就没戏。
所以，先试着用两个方式修改。在其他电脑（与坏机同一系统）做成BOOT文件，序号还是1，在DOS下复制进去，启动，没戏，换成2，3，4（按照分区的多少），都尝试启动，看是否成功。
这是从你的“在windows分区了”和文件丢失但还能找到的思路中考虑，至于是否由于病毒造成的，那就不好说了。
一点可以解释，如果重要数据不在系统分区中，格了系统分区对数据没影响。

元宝妹妹

楼上的果然高手闹~~~~~~~~  一看就明白~~~ HOHO~~~~

小星

那么叫你单位电脑房的MM去劳动劳动好了。光荣的来～

元宝妹妹

说得不就是偶嘛。。。。。你个臭二宝

Guevara

劳动局么就是劳动啊~~~~~~~~~~~~

看圣经的兽兽

办法不要太多哦`