冲击波(Worm.Blaster)病毒手工清除方法

　冲击波(Worm.Blaster)病毒

　　病毒的发现与清除：

　　1. 病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁，补丁地址：http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm

　　2. 病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“msblast”的进程，用户可以用任务管理器将该病毒进程终止。

　　3. 病毒运行时会将自身复制为：%systemdir%\msblast.exe,用户可以手动删除该病毒文件。

　　注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。

　　4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入："windows auto update"="msblast.exe"，进行自启动，用户可以手工清除该键值。

　　5. 病毒会用到135、4444、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能，禁止这些端口。

　　手工清除方案：

　　一、 DOS环境下清除该病毒：

　　1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.
操作命令集：
C:
CD C:\windows (或CD　c:\winnt)

　　2. 查找目录中的“msblast.exe”病毒文件。 命令操作集：
dir msblast.exe /s/p

　　3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。 Del msblast.exe

　　二、 在安全模式下清除病毒

　　如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。