“沖擊波”變種引起寬帶頻繁掉線

一、電腦配置高 Windows XP用著好

　　小紅剛剛買了一台液晶兼容機(P4 1.8+256M+微星845PE)，電腦買了不久之後，她很快就辦理了ADSL寬帶業務，主要用於查找資料和網上游戲、使用一直很正常。

　　考慮到電腦配置還不錯，漁歌強http://.烈建議安裝Windows XP，既有較好的兼容性，又保證了系統的穩定性。對於剛剛開始接觸電腦的小紅來說非常適合。小紅采納了我的意見，格式化硬盤並重新安裝了Windows XP，經過使用，感覺非常高興。

　　二、寬帶趕新潮 網卡鬧別扭

　　過了一段時間，小紅就遇到了奇怪的現象：在正常情況下，在打開ADSL Modem的電源後，初始化完成，其Link和LAN燈會保持長亮，而Ready燈閃爍，最後雙擊撥號連接即可完成連接，但是ADSL Modem的三個指示燈有時總是常亮，無法上網，關閉電源再打開多試幾次也能行。我讓她試著將電腦與ADSL Modem之間的線纜拔下來，重新再插回去。她按照做了，果然問題解決。

　　但過了幾天，小紅說再次插拔線纜時發現網卡好像是松的，而且用力過大，把網卡都“推”進機箱裡（電腦自動關機）面了。打開機箱時才發現網卡居然連固定螺釘都沒有上(這是哪家公司干的)。加上機箱風扇震動非常大，導致網卡接觸不良，造成ADSL Modem初始化通不過，出現問題。插緊後，問題解決。

　　三、一波又三折 上網不順暢

　　可是新的問題又出現了，電腦上網時經常掉線，通常只能上不到十分鐘，必掉無疑。而且，掉線後，必須重新啟動電腦才能上網。但很快又斷掉，周而復始。由於又以前的經驗，所以首先檢查網卡，結果發現網卡已經牢固的固定在機箱上面；按說ADSL寬帶不太容易斷線，以前按安裝Windows 98時，沒有出現這種情況，安裝Windows XP後才出現這個問題確實很奇怪，Windows XP對網絡的支持更好，而且該電腦配件都是名牌大廠的產品，兼容性很好。再加上Windows XP剛剛安裝不久，安裝的應用軟件很少，軟件沖突的可能性也很小。排除了硬件和軟件的可能性，只有可能是網絡線路和病毒造成的了。由於小紅一般上網也就是固定的幾個大網站，如聯眾、新浪等，她從不下載軟件和收發電子郵件，因此病毒的可能性也小。所以我建議她先找電信部門檢查一下服務器端的設置和線路問題。電信部門首先檢查了一下系統設置，說沒有問題。後來又到同事家查看的電話線並打開機箱，檢查網卡，線纜連接，操作系統的設置，均未發現什麼問題。工作人員自己也說沒有遇到過這種情況。

　　四、逐步排故障 病毒在作怪

　　網絡的可能性也排除後，我懷疑最有可能病毒的問題了。於是帶上了殺毒軟件來到同事家。在同事家首先還是檢查了一遍硬件連接和軟件設置，沒有問題。上網先試一下，果然不到十分鐘就斷了。必須重新啟動後才能再次上網。先不管它，把殺毒軟件安上再說。放入安裝光盤，很快就安裝好了，運行了一下對全盤進行查毒，並沒有發現有病毒報告。不對，仔細查看了版本信息，才發現病毒特征庫版本是2002年的，馬上連線上網，趁沒有斷線的幾分鐘內更新軟件。馬上對硬盤再次掃描，果然發現找到WORM_NACHI.A病毒，提示是否清除當然清除。根據提示信息，發現該病毒文件為DLLHOST.EXE和SVCHOST.EXE，兩（電腦沒聲音）個文件位於C:\Windows\System32\wins下。這兩（電腦沒聲音）個文件名似乎很熟悉，對了，在任務管理器裡（電腦自動關機）總能看見這兩（電腦沒聲音）個文件。不過它們是系統文件，怎麼會是病毒文件呢突然顯示器上出現了一個倒計時窗口，提示馬上重新啟動電腦，並開始一分鐘計時，這時根本無法阻止該窗口。這時我明白了，一定是沖擊波病毒。

　　五、露出真面目 變種也瘋狂

　　重新啟動後，立即上網，按照病毒名WORM_NACHI.A找到了該病毒的相關信息和清除方法，下面來看看它的面目吧。該病毒為著名的“沖擊波”病毒的變種，它也是利用RPC漏洞來進行攻擊Windows 2000/XP系統，最明顯的特征是在或目錄下，病毒會生成兩（電腦沒聲音）個病毒文件DLLHOST.EXE和SVCHOST.EXE，並且開機後隨系統一起啟動。病毒會通過連接www.microsoft.com來檢測系統是否在線，而且還在端口666到765中隨機選擇一個進行偵聽，以接收遠程端發出的命令。它會掃描和中止“沖擊波”病毒的進程，並刪除掉系統目錄中的MSBLAST.EXE文件。病毒會連接上微軟網站下載補丁程序，在執行補丁程序後自動重啟系統。接著它又會繼續掃描網絡上有RPC漏洞的計算機，重復以上感染動作。雖然該病毒看似一個出於良好用心幫助用戶清除“沖擊波”病毒，但由於該病毒編寫上不完善，它並不能將“沖擊波”病毒完全清除，反而傳播過程中會導致大量計算機連接微軟網站，造成網絡交通堵塞，並使一些計算機產生一些異常情況。

　　六、手動殺病毒 故障全解決

　　要查殺該病毒可采用以下手工方法：

　　第一步：單擊“開始→運行”，在彈出的對話框中輸入CMD後回車，在命令提示符中，輸入NET STOP "Network Connections Sharing"後回車，會看到系統提示該服務已成功中止，同樣將WINS Client服務中止。

　　第二步：打開“注冊表編輯器”，在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetServices]中刪除子鍵RpcPatch、 RpcTftpd。

　　第三步：打開目錄，刪除掉svchost.exe和dllhost.exe文件(如果實在刪除不了，可以用DOS啟動盤啟動電腦，在DOS下刪除)。

　　第四步：如果你還未給系統的RPC漏洞打上補丁，趕緊從http://www.microsoft.com/china/security/Bulletins/MS03-026.asp上下載並應用相應補丁。

　　第五步：升級殺毒軟件病毒庫和下載專殺工具，進行徹底查殺。

　　清除完病毒後，立即重新上網，很快就連續成功，1分鐘……10分鐘……30分鐘過去了，上網很正常，連續上了3個多小時，一直沒斷線，至此頻繁掉線的故障成功解決。  “沖擊波”變種引起寬帶頻繁掉線