今天早上回到单位发现好几部服务器都出现了与svchost.exe有关的错误,有一台svchost.exe进程占用CPU达到100%,慢如蜗牛。普通PC机上则出现网络时断时续,重启后能打开网页,但很快就所有网页打不开,某些网络程序运行时则出现缓冲区已满等错误。更新病毒库查毒后发现整个局域网的所有电脑都出现Hack.Exploit.Win32.MS08-067.k病毒,杀毒软件显示svchost.exe里的病毒已清除,但是重启又出现。
搜索得知这是MS08-067漏洞导致,于是下载补丁,打上,但是病毒并没有清除。无奈只能求助高人,在高人指点下找到了病毒位置并清之,过程如下:
1、运行,输入services.msc,打开服务管理器,按照“描述”排序,在“描述”栏为空的那几项服务中查找一个名字很奇怪、由几个随机字符组成、没有任何意义的服务,它的状态一般是停止,但是启动模式是自动,这里要把它改成已禁用;
2、重启电脑;
3、运行,输入regedit,打开注册表编辑器,输入那个奇怪服务的名字进行查找,找到以那个名字命名的键值,在其下面有个名为Parameters的子键,该子键内有个ServiceDll的字符串值,就是病毒文件所在,找到那个病毒文件并删之;
4、到微软网站下载MS08-067补丁,打上,搞定!
这是我第一次碰到这种迅速感染整个局域网的病毒,似乎跟当年的冲击波有得比,搞起来烦得要命,几十台机啊……