冲击波病毒手动删除解决方法

真水ying

由于冲击波病毒隐藏于某些系统文件，试用诺顿和金山的专杀工具会导致某些系统服务无法正常运行，本人建议试用手动删除。
病毒解决方案
手动清除步骤
启动到安全模式
Windows 98/Me
a. 重启您的计算机
b. 在按住CTRL键直至出现Windows 98启动菜单
c. 选择 Safe Mode 选项并按回车键
Windows XP
a. 重启您的计算机.
b. 出现提示时按F8 键
c. 如果Windows XP Professional启动时没有出现选择操作系统的菜单，请重启您的系统
d. 系统完成自检后请按F8键
e. 从Windows Advanced Options菜单中选择 Safe Mode 选项并按回车键
Windows 2000
a. 重启您的计算机
b. 当屏幕底端出现Starting Windows 栏时按F8键
c. 从Windows Advanced Options菜单中选择 Safe Mode 选项并按回车键
从注册表中删除自启动项目 删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行
1. 单击 开始>运行, 输入 Regedit, 然后按回车键打开注册表管理器
2. 在左边的列表中双击以下项目：
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. 在右边的列表中查找并删除以下项目：
NdplDeamon = "winlogin.exe"
4. 在左边的列表中双击以下项目：
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
5. 在右边的列表中查找并删除以下项目：
winlogon = "winlogin.exe"
6. 在左边的列表中双击以下项目：
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Runonce
7. 在右边的列表中查找并删除以下项目：
winlogon = "winlogin.exe"
8. Windows NT, 2000, XP以及的系统, 双击注册表编辑器左边列表中以下项目：
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT> CurrentVersion>Winlogon
9. 在右边的列表中查找并删除以下项目：
Shell= "explorer.exe winlogin.exe"
10. 关闭注册表编辑器
删除系统文件中的自启动项目
此蠕虫在运行Windows 95, 98, 和 ME的平台上会修改系统文件，使得系统在启动时执行 蠕虫程序。这些项目在系统启动时必须被删除。
1. 单击 开始>运行, 输入 SYSTEM.INI, 然后按回车键打开SYSTEM.INI
2. 在 [boot] 小节下面，查找以下列开始的行
shell = explorer.exe
3. 在同一行中，删除蠕虫的文件名称
winlogin.exe
4. 关闭SYSTEM.INI并保存
5. 重启您的系统
附加Windows ME/XP 清除指示
应用补丁微软在以下连接发布的补丁程序：Microsoft Security Bulletin MS03-026
病毒详情
安装 在运行时, 蠕虫在Windows系统文件夹下生成如下文件：
· winlogin.exe
· yuetyutr.dll
WINLOGIN.EXE是该蠕虫的拷贝, 而YUEYUTR.DLL则是该蠕虫用以进行传播的组件。YUEYUTR.DLL也被用于将蠕虫插入到EXPLORER.EXE 的进程，从而达到常驻内存的目的。
在运行时，该蠕虫会在注册表中建立如下自启动项目以使得系统启动时自身能得到执行：
HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Runonce
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run
NdplDeamon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run
winlogon = "winlogin.exe"
基于Windows NT的系统还将建立如下注册表项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NTCurrentVersion\Winlogon
Shell = "explorer.exe winlogin.exe"
Windows 95, 98, 以及 ME系统，系统文件SYSTEM.INI 也会做如下修改：
[boot]
shell = explorer.exe winlogin.exe
漏洞利用 该蠕虫利用了RPC DCOM缓冲溢出漏洞 , 此缓冲溢出漏洞可以允许一个攻击者在目标机器上获得完全的权限并且可以执行任意的代码。
RPC DCOM缓冲溢出漏洞的详细信息, 请访问以下微软网页：Microsoft Security Bulletin MS03-026
网络感染
为感染在相同网络中具有漏洞的系统，蠕虫首先打开端口4444，在这个端口上运行一个远程shell。然后建立一个线程模拟Trivial FTP服务器。
接着向目标系统发出指令，通过远程shell，下载WINLOGIN.EXE。该模拟的TFTP服务器将允许这样的下载。
最后，蠕虫发出指令执行目标机器中刚下载的文件，就此蠕虫在远程主机上开始了一个新的生命周期。
其他详细内容
此蠕虫使用了一个SDBOT的变种，一个可配置的IRC bot。这个IRC bot 是一个后门程序，可连接到特定的IRC服务器并使用随机产生的昵称加入特定的频道。
该bot可以处理以IRC消息形式发送的命令，使得被感染的系统受到威胁。

369123

真水ying

请下载如下两个工具进行解决
ftp://bbs.websky:bbs.websky@rxfljh.vicp.net:520/常用工具/冲击波补丁.exe
此为2000系统的补丁

ftp://bbs.websky:bbs.websky@rxfljh.vicp.net:520/常用工具/WindowsXP-RPC补丁.exe
此为XP系统补丁,中文(32位)

ftp://bbs.websky:bbs.websky@rxfljh.vicp.net:520/常用工具/WindowsServer2003-rpc补丁英文.exe
此为2003系统补丁,英文(32位)
ftp://bbs.websky:bbs.websky@rxfljh.vicp.net:520/常用工具/冲击波专杀工具.exe
此为冲击波病毒专杀工具