最近最猖狂的电脑病毒《魔鬼波》


你有没有试过，上网浏览到一半，Modem 突然间没有反应，
无法浏览网页，MSN，google talks，所有一切都切断连线。
但是 Modem 连接是显示连接着，也无法 disconnect，一直到，你 Restart Computer。。
如果是的话，恭喜你。。你可能中毒了。

Microsoft 刚列入最高级危险病毒，《魔鬼波》
魔鬼波介绍：

病毒名称: Worm.IRC.WargBot.a / Worm.IRC.WargBot.b
中文名称: 魔鬼波
威胁级别: ★★★★
病毒类型: 蠕虫
受影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

如何判别感染“魔鬼波”
1.运行后生成m%\wgareg.exe文件,添加系统服务为wgareg，并通过修改注册表信息降低系统安全等级；
2.连接黑客指定的IRC频道，控制用户电脑；
3.系统服务崩溃，无法上网；

--

只要你是 Windows XP，不管 SP1a or SP2，就有可能会被攻击。
导致adsl modem 无原无故没反应或者超慢，svchost.exe 无响应终止。。

我就中了。。喵的。。
才刚解决掉。。

解决方法：
1.如果已经中招，请下载下面的专杀工具杀毒

工具介绍：

　　8月14日，金山毒霸反病毒监测中心及时截获了利用系统高危漏洞进行传播的恶性蠕虫病毒——魔鬼波（Worm.IRC.WargBot.a）。作为IRCBot系列病毒的新变种，该病毒主要利用MS06-040漏洞进行主动传播，强势攻击互联网，可造成系统崩溃，网络瘫痪，并通过IRC聊天频道接受黑客的控制。

　　魔鬼波运行后可生成m%wgareg.exe文件，添加系统服务为wgareg，并通过修改注册表信息降低系统安全等级，连接黑客指定的IRC频道，控制用户电脑，用户一旦感染了该病毒，就会出现系统服务崩溃，无法上网等症状，沦为“肉鸡”。

解决方法：
2.无论是否已经中招，请下载微软漏洞补丁

  由于最近有病毒利用Windows操作系统安全漏洞（MS06－040：Vulnerability in Server ServiceCould Allow Remote Code Execution(921883)），攻击用户计算机，导致用户在宽带拨号上网后不久，发生Generic Host Process for Win32Service错误，从而无法上网。
受影响的操作系统包括：

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 x64 Edition
解决办法如下：

1、请首先打开防火墙，上网打全最新安全漏洞补丁
Windows 2000 SP4
Windows XP SP1 and Windows XP SP2
Windows 2003 and Windows 2003 SP1
Windows XP x64 and Windows 2003 x64

微软官方下载地址
中文版：http://download.microsoft.com/do ... B921883-x86-CHS.exe
英文版：http://www.microsoft.com/downloa ... &displaylang=en
如果，以上的方法还不可以解决问题。。
那你可能中了魔鬼波的变种。。（Worm.Mocbot.a）
你可以尝试下面的方法：（注：以下是转贴，我没有实际测试过，因为我没中。。）


QUOTE:
防火墙设置
      不知道大家用的什么防火墙我用的瑞星先说说它
1启动瑞星个人防火墙主程序，点击“设置”菜单，选择“IP规则”。
2 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。
3规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。



如果在发生断网前，XP操作系统弹出“GenericHostProcessforWin32Services”的错误提示信息。那么“发生断网的原因，是由于微软WindowsXP存在某个安全漏洞，被病毒利用攻击。注意：这种情况在ADSL用户上面发生的几率比较多，希望大家注意！！！

这是瑞星方面给我的回复的方法：供大家参考，有备无患。宁愿错删1个文件也不能放过一个病毒！！
《启动项设置》
请您按照如下方法进行操作：
1 打开瑞星杀毒软件界面
2 选择菜单的【工具】－【修复注册表】－【注册表启动项】
3 去掉启动程序的勾选，仅保留“ravmon”“ravtimer”的程序。
4 重新启动计算机（建议此方法在安全模式下操作）。

注：此操作不会影响系统的正常使用，如果您需要重新加载启动项，可以按照以上步骤对启动程序进行勾选。

《解压病毒处理》
根据病毒所在不同的文件夹或者路径，处理的方式不同：
一.病毒所在文件夹Temporary Internet Files是IE的临时文件夹，
请您按照以下步骤操作：
1、关闭所有的应用程序和窗口
2、打开我的电脑，在C盘上点鼠标右键，选择属性
3、在打开的属性窗口中点击磁盘清理
4、在打开的C的磁盘清理的窗口中选中Internet临时文件，点击查看文件
5、在打开的content.ie5的文件夹中删除染毒的文件（可根据杀毒软件提示的路径查找）

另外一种简单的方法：
请您记录下病毒的详细路径，然后打开一个IE窗口，在地址栏中完整的输入病毒的详细路径，回车。
这样就打开了病毒所在的文件夹，直接删除染毒文件即可。

二.在windows xp/ME系统的系统还原文件夹中：
当瑞星杀毒软件扫描到 _Restore文件夹中的文件带有病毒或已被病毒感染，会提示“请解压缩以后查杀”。 此现象的原因是：Windows Me/ XP 中的“系统还原”功能会保护Restore文件夹中的所有文件夹和文件,禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore文件夹中的威胁。
处理方法：
1.暂时关闭或禁用“系统还原”；
2.重新启动计算机；
3.运行完整的系统扫描清除病毒。
重要提示:必须以管理员的身份登陆才能使用此功能。否则系统还原选项将不会出现。如果您不知道如何以系统管理员的身份登录，请与系统管理员、计算机制造商或安装者联系。 关闭计算机会将之前所有的还原点清除。
相关连接:Microsoft 的知识库文章 如何：将 Windows XP 还原为以前的状态（英文）
http://support.microsoft.com/default.aspx?scid=kb;EN-US;306084

三.其他文件夹中：
windows me和2000系统，您打开文件夹点击“工具”－“文件夹选项”－“查看”－选择“显示所有文件和文件夹”－不要选择“隐藏受系统保护的操作系统文件”。根据路径手动找到病毒文件删除即可.                        
windows 98系统应该是“查看”－“文件夹选项”－“查看”－选择“显示所有文件和文件夹”
windows XP系统，您打开文件夹点击“工具”－“文件夹选项”－“查看”－选择“显示所有文件和文件夹”－不要选择“隐藏受系统保护的操作系统文件”，删除病毒文件时，先把系统还原功能关闭。

[ 本帖最后由 helpme999 于 8-9-2006 10:32 PM 编辑 ]

哈哈,我前几天中了了这个毒!那天简直快让我发狂了!
为了安全起见,我还是用你的软件来杀毒多一次..
谢啦...

我自己也是中,不過不肯定在那裡中到的....