最近很多朋友说电脑无故的重启，nt authority\system，还有c:\windows\system32\lsass.exe，-10737什么的这样一个窗口，大概有40S左右的时间，自动关机后重新启动，

检查发现启动栏里有个dumprep O-u的启动项(有的是dumprep O-k)，禁掉后又会有，症状跟以前的冲击波差不多。

今天好像很多人都中招了,重装系统也没用 [mood53]

估计是利用LSASS漏洞攻击
冲击波病毒的特征是显示:

由NT Authouity/system 初始的”“Remoto Procedure Call(RPC)服务意外终止，必须重新启动电脑

然后倒计时重启,和这个病毒显示的内容不同,所以应该是一种新的病毒~~~


我的建议是大家赶快安装防火墙,然后关闭除80和21以外所有端口~~~~[mood73]

还有尽快安装这个补丁：
http://www.microsoft.com/china/t ... letin/ms04-011.mspx

目前有90％以上的Windows2000/XP/2003用户没有给这个系统漏洞打上补丁程序，此前在MS04-011号安全公报中公布的这个漏洞被微软定为最高级

另：微软官方公告：http://www.microsoft.com/china/t ... ent/pctdisable.mspx
补丁下载地址：http://www.microsoft.com/china/t ... letin/ms04-011.mspx

建议所有 Win2000、XP、2003 用户安装补丁，或者启用防火墙。

染毒计算机的主要症状为： 
（1）进程中出现 avserve.exe 和 *****_up.exe，占用大量资源； 
其中*****为从0～65535之间的随机数字 
（2）出现LSA Shell错误； 
（3）导致系统进程lsass.exe错误，并进而导致计算机强迫重启； 
（4）有网友反馈计算机的管理员权限帐户口令被修改（未证实）。 

病毒原理： 
病毒首先生成 C:\WINNT\system32\*****_up.exe （这个文件名是随即的 但_up.exe一定 其中*****为从0～65535之间的随机数字）并执行。 
然后建立文件：C:\WINNT\avserve.exe，并在注册表中建立/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/avserve.exe项。 
病毒在本机启动3000多tcp 端口对外扫描tcp 445。（原来如此，把socket全占光了）待毒计算机的网络应用可能无法正常打开。 

清除方法 
首先按 ctrl+shift+esc 调出任务管理器 在进程中关闭 averve.exe 
然后打好补丁 3 个补丁：KB837001，KB828741，KB835732 
删除注册表的相应键值 （run 中 输入 regedit) 
删除相应位置的的文件 avserve.exe (c:\windows 或 c:\winnt 下） 
*****_up.exe 文件 c:\windows 或 c:\winnt 下 system32 里 
通过安装防火墙或者手动关闭计算机的445端口
XP补丁直接下载：
http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
2K补丁直接下载：
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE

最烦电脑问题了

我的管理员密码就被换了.我一旦进入屏保,或切换用户,输入原先密码,均提示密码不对.