魔兽世界勇士:wd启动dumprepo-s是干什么用的文件?

最近很多朋友说电脑无故的重启，ntauthority\system，还有c:\windows\system32\lsass.exe，-10737什么的这样一个窗口，大概有40S左右的时间，自动关机后重新启动，

检查发现启动栏里有个dumprepO-u的启动项(有的是dumprepO-k)，禁掉后又会有，症状跟以前的冲击波差不多。

今天好像很多人都中招了,重装系统也没用[mood53]

估计是利用LSASS漏洞攻击
冲击波病毒的特征是显示:

由NTAuthouity/system初始的”“RemotoProcedureCall(RPC)服务意外终止，必须重新启动电脑

然后倒计时重启,和这个病毒显示的内容不同,所以应该是一种新的病毒~~~

我的建议是大家赶快安装防火墙,然后关闭除80和21以外所有端口~~~~[mood73]

还有尽快安装这个补丁：
http://www.microsoft.com/china/t...letin/ms04-011.mspx

目前有90％以上的Windows2000/XP/2003用户没有给这个系统漏洞打上补丁程序，此前在MS04-011号安全公报中公布的这个漏洞被微软定为最高级

另：微软官方公告：http://www.microsoft.com/china/t...ent/pctdisable.mspx
补丁下载地址：http://www.microsoft.com/china/t...letin/ms04-011.mspx

建议所有Win2000、XP、2003用户安装补丁，或者启用防火墙。

染毒计算机的主要症状为：
（1）进程中出现avserve.exe和*****_up.exe，占用大量资源；
其中*****为从0～65535之间的随机数字
（2）出现LSAShell错误；
（3）导致系统进程lsass.exe错误，并进而导致计算机强迫重启；
（4）有网友反馈计算机的管理员权限帐户口令被修改（未证实）。

病毒原理：
病毒首先生成C:\WINNT\system32\*****_up.exe（这个文件名是随即的但_up.exe一定其中*****为从0～65535之间的随机数字）并执行。
然后建立文件：C:\WINNT\avserve.exe，并在注册表中建立/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/avserve.exe项。
病毒在本机启动3000多tcp端口对外扫描tcp445。（原来如此，把socket全占光了）待毒计算机的网络应用可能无法正常打开。

清除方法
首先按ctrl+shift+esc调出任务管理器在进程中关闭averve.exe
然后打好补丁3个补丁：KB837001，KB828741，KB835732
删除注册表的相应键值（run中输入regedit)
删除相应位置的的文件avserve.exe(c:\windows或c:\winnt下）
*****_up.exe文件c:\windows或c:\winnt下system32里
通过安装防火墙或者手动关闭计算机的445端口
XP补丁直接下载：
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
2K补丁直接下载：
http://download.microsoft.com/do ... B835732-x86-CHS.EXE