Windows中疑似共享故障排除
2006-04-02 12:37
190 查看
某日下午,我接到财务处的报告,一台装有打印机的计算机无法共享打印机,并说前几天已请计算机维修人员进行过维修,并更换过集线器,重新安装过操作系统,刚使用了一天,又出现原来的故障。经查,该计算机安装Windows 2000 professional操作系统,管理员用户没有设置密码,并装有“用友”财务软件服务端,该财务软件使用SQL Server 数据库。同时该机安装瑞星杀毒软件2005版,通过瑞星杀毒软件扫描没有发现病毒,但检查发现该操作系统没有安装任何补丁程序。故障现象为其它计算机能正常登录该机的用友财务软件,能使用ping命令ping通该机,但该机连接的打印机不能正常共享。该机在网上邻居上能看到自己共享的资源,而且可以正常使用别的计算机共享的资源,可以正常通过浏览器访问Web资源。经检查,通过别的计算机访问该机时出现如图1所示故障:
同时通过网上邻居查看,有时可以发现该机的计算机名,但点击该机时却又无法进行访问,使用搜索计算机名的办法出现的现象大概类似。同时,瑞星2005版杀毒软件不断出现blaster RPC exploit漏洞攻击报警信息,故此,我判断该故障可能是由于没有安装Windows 2000漏洞补丁程序造成的,所以我首先安装Windows 2000 SP4,接着通过“开始”——“Windows update”下载安装所有能够安装的补丁,重新启动系统后故障依旧。通过下载更新瑞星2005版最新杀毒库后再进行杀毒,没有发现病毒;我又下载blaster病毒专杀工具进行杀毒,同样没有发现病毒。再到网上查找RPC漏洞的相关信息,并再次下载所有有关RPC漏洞的Windows 2000的补丁程序进行安装仍然无法解决问题。此时,我想到的是可能由于没有及时安装相应补丁,从而病毒造成系统的损伤使系统无法恢复正常,所以重新安装系统也许是最简单的办法。
故障处理与排除
为保证财务处业务的正常进行,同时防止由于计算机本身的原因造成的上述故障,所以我决定使用另一台同型号计算机重新进行系统安装并更换计算机。我请计算机维修人员(临时工)进行系统安装,要求先将Windows 2000安装包拷贝到该机器上,然后断开网络安装Windows 2000 Server,并打上SP4补丁包,安装好后其余工作由我来做。第二天,将重新安装好Windows 2000 Server的机器拿到财务处,第一步首先安装财务处的2004版瑞星杀毒软件,然后接上网线上网(我单位园区网直接与Internet相连)立即升级杀毒软件,接着再安装所有Windows 2000补丁程序。然后再安装打印机并设置共享,同时将D盘设为共享,出乎我的意料,此时从其他计算机访问该机器共享时出现同样故障现象。在DOS提示符下使用netstat -na命令后我发现了大量不正常的网络连接,其中类似于TCP 192.168.3. 24:1773 192.168.242.164:135 SYN_SENT的主动连接显然有问题,而且接受方的端口号有时全部显示为epmap而不是135,当时我不明白epmap是怎么回事,以为只要端口号为epmap就说明有问题,通过网上查询资料,发现epmap即为135端口。同时在其它安装 Windows 2000或Windows XP并且同时安装瑞星2005版杀毒软件的机器上也不断报警显示受到不能连接共享的这台计算机发出的blaster RPC exploit漏洞攻击信息,与上面使用netstat命令看到的信息一致。至此,已经完全可以确定该故障是由于利用RPC漏洞进行攻击的一种蠕虫病毒引起的,可惜瑞星杀毒软件无法侦测和清除。我首先致电瑞星公司客户服务部,将我机器的故障现象和我发现的瑞星杀毒软件报警信息以及使用 netstat命令显示的不正常的连接信息向瑞星技术人员进行了反映,当时该技术人员立即要求我安装Windows 2000补丁程序KB824146和KB835732,我反映说应该已经装了,因为我通过“Windows update”已经安装了全部程序,他说不一定会自动安装,当时我也没有进行检查有没有安装,认为只要安装这两个补丁程序问题应该能解决了,所以我接着下载安装,重启系统后故障依旧。我再将情况致电瑞星技术人员进行询问,此时他也没辄了,只好归咎于Windows 2000的漏洞,应该找微软公司解决问题。我再致电微软客户服务中心,得到的回答是必须有客户服务号才可以咨询,否则问一个问题1000元人民币,我说使用的是正版软 件,她要我报出正版软件的注册号,可惜我没带在身上,上午只好作罢。
下午我将我的正版Windows 2000软件进行了注册登记,才算与微软技术人员联系上,我将上述故障现象和过程一反映,并告诉他存在大量epmap连接的情况,他的回答是同样安装冲击波和震荡波的补丁程序KB824146、KB823980和KB835732以及用两个专杀工具KB833330和KB841720进行杀毒,我回答说我都试过了,他说可能与瑞星杀毒软件有关,可以卸载瑞星杀毒软件试试。但我知道故障与瑞星杀毒软件无关,因为该机在没有出现故障时就在使用瑞星杀毒软件。
看来微软技术人员也不能帮上忙,只能靠自己了。我停下手头的工作,认真思考应该采取的对策。我采取两方面的措施,一是自己再把系统重装一遍,防止别人在安装系统时没有按照我的吩咐做,二是从网上查找应对策略。由于我自己使用计算机与财务处的那台电脑一模一样,而且我安装的是正版Windows 2000,并且我的机器一切正常,同时我在以前做了一个系统克隆备份,所以我就将我的计算机系统克隆恢复到我们拿到财务处的那台计算机上,连上网络一看,还是出现原来的故障。此时我只能通过网络查找问题了,由于我基本能判断是由于病毒所致,我首先根据网上的提示启动到安全模式用专杀工具进行查杀毒,但不起作用。然后我到趋势科技网站使用“在线扫毒”功能进行查毒,很快发现了worm rbot.gen的病毒报告,此时我可以完全确定网络资源不能共享的故障是由于该病毒所致,但当时我手头没有趋势科技杀毒软件,所以只能查而不能杀,我再次致电微软技术人员希望能通过指点象杀冲击波和震荡波病毒一样用手工方法进行清除,可惜得到的回答就是应该将病毒清除。我再到金山毒霸网站,正巧金山毒霸网站在线杀毒功能免费试用10天,使用金山毒霸在线杀毒功能杀毒,很快杀到了病毒,重新启动后恢复正常,我立即通知财务处利用金山毒霸网站在线杀毒功能进行查杀,问题立即解决。此后再我利用瑞星2005版的报警信息一一找到感染有这种病毒的一台计算机,安装我的金山毒霸正版软件,升级后进行病毒清除,金山毒霸清除的病毒如图2所示。
该机同时发现了两种病毒,通过Internet网查询,这两种病毒的表现特征都很类似,都有很多变种,都通过网络共享进行传播。
都利用如下漏洞: Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞、 SQL Server 2000 中的缓冲区溢出漏洞 、IIS5/WEBDAV 缓冲区溢出 。其中, win32.hack.rbot.en病毒对系统作如下修改: A、在系统目录下拷贝其自身; B、在注册表 HKEY_CURRENT_USERSOFTWARE属KAZAALocalContent 下添加以下键值: "dir0"="012345:<指定的目录 >" C、在以下一个或多个注册表下添加用以自启动的键值:HKEY_LOCAL_ MACHINESoftwareMicrosoftWindows CurrentVersionRun HKEY_LOCAL_ MACHINESoftwareMicrosoftWindows CurrentVersionRunOnce HKEY_ LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunServices HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRun
经验总结
第一,在安装Windows操作系统时,应及时安装相应补丁程序,否则系统就存在明显漏洞,很多病毒和程序都可能造成对系统的破坏。经查,其他感染这种病毒的计算机都安装了Windows 2000 或Windows XP操作系统,并且没有及时安装补丁程序,而且大多都使用弱密码。
第二,之所以出现上述故障现象,我当时分析,一是连接共享所需使用的135端口被病毒程序调用,造成无法使用,二是病毒程序与其他有漏洞的计算机主动建立大量连接,也耗费了很多系统资源,并造成系统运行缓慢。
第三,在分析排除故障时应认真仔细。经认真分析,我们后来重新(下转第65页)(上接第64页)安装系统的计算机之所以两次安装好系统后就有病毒,一个原因是该计算机来自某一机房,而该机房后来发现是病毒的传播源之一,并且该计算机原来安装的就是 Windows 2000操作系统,估计没有安装操作系统补丁程序,故一开始就有病毒。当重装系统时,没有将硬盘进行重新分区或者进行所有逻辑盘格式化,只简单将系统所在逻辑盘进行了格式化,故此对病毒没有斩草除根。另一原因是在安装操作系统后没有通过其他途径先安装补丁程序,而是简单地连接上网络下载补丁程序,致使病毒有可乘之机。如果排除这两个原因,新安装的系统肯定不会有病毒。
第四,要尽量准确判断故障原因。网络共享故障时有发生,但有时可能是硬件故障造成的,也可能是配置不正确造成的。worm rbot.gen的最主要表现就是使感染病毒的计算机网络共享失效,此时很难一下子判断。我也听有同事讲过上述现象,但由于自己不负责计算机维修,对这个问题也没有引起足够重视。同时由于危害性不太大,所以没有引起包括病毒专家的重视,使得我走了很多弯路。
第五,不要过分依赖一种杀毒软件。我有很多种正版杀病毒软件,任何好的软件都不可能永远超前,没有缺陷。当然这方面我是有经验的,所以在对财务处计算机查病毒时还曾安装我们单位使用的诺顿防病毒软件进行检查,但也没有查出。尽管如此,我还是能基本断定是一种病毒。
第六,不要过分依赖技术专家。为了能尽快解决问题,我曾咨询瑞星公司技术人员和微软技术人员,总认为他们应该手到擒来,但由于他们本身不在现场,所以相比之下自己掌握的信息更多更准确。
第七,可以与同行进行交流探讨。我在排除故障的几天中,由于与同事进行交流,得到他们的启发,节省了很多宝贵时间。
同时通过网上邻居查看,有时可以发现该机的计算机名,但点击该机时却又无法进行访问,使用搜索计算机名的办法出现的现象大概类似。同时,瑞星2005版杀毒软件不断出现blaster RPC exploit漏洞攻击报警信息,故此,我判断该故障可能是由于没有安装Windows 2000漏洞补丁程序造成的,所以我首先安装Windows 2000 SP4,接着通过“开始”——“Windows update”下载安装所有能够安装的补丁,重新启动系统后故障依旧。通过下载更新瑞星2005版最新杀毒库后再进行杀毒,没有发现病毒;我又下载blaster病毒专杀工具进行杀毒,同样没有发现病毒。再到网上查找RPC漏洞的相关信息,并再次下载所有有关RPC漏洞的Windows 2000的补丁程序进行安装仍然无法解决问题。此时,我想到的是可能由于没有及时安装相应补丁,从而病毒造成系统的损伤使系统无法恢复正常,所以重新安装系统也许是最简单的办法。
故障处理与排除
为保证财务处业务的正常进行,同时防止由于计算机本身的原因造成的上述故障,所以我决定使用另一台同型号计算机重新进行系统安装并更换计算机。我请计算机维修人员(临时工)进行系统安装,要求先将Windows 2000安装包拷贝到该机器上,然后断开网络安装Windows 2000 Server,并打上SP4补丁包,安装好后其余工作由我来做。第二天,将重新安装好Windows 2000 Server的机器拿到财务处,第一步首先安装财务处的2004版瑞星杀毒软件,然后接上网线上网(我单位园区网直接与Internet相连)立即升级杀毒软件,接着再安装所有Windows 2000补丁程序。然后再安装打印机并设置共享,同时将D盘设为共享,出乎我的意料,此时从其他计算机访问该机器共享时出现同样故障现象。在DOS提示符下使用netstat -na命令后我发现了大量不正常的网络连接,其中类似于TCP 192.168.3. 24:1773 192.168.242.164:135 SYN_SENT的主动连接显然有问题,而且接受方的端口号有时全部显示为epmap而不是135,当时我不明白epmap是怎么回事,以为只要端口号为epmap就说明有问题,通过网上查询资料,发现epmap即为135端口。同时在其它安装 Windows 2000或Windows XP并且同时安装瑞星2005版杀毒软件的机器上也不断报警显示受到不能连接共享的这台计算机发出的blaster RPC exploit漏洞攻击信息,与上面使用netstat命令看到的信息一致。至此,已经完全可以确定该故障是由于利用RPC漏洞进行攻击的一种蠕虫病毒引起的,可惜瑞星杀毒软件无法侦测和清除。我首先致电瑞星公司客户服务部,将我机器的故障现象和我发现的瑞星杀毒软件报警信息以及使用 netstat命令显示的不正常的连接信息向瑞星技术人员进行了反映,当时该技术人员立即要求我安装Windows 2000补丁程序KB824146和KB835732,我反映说应该已经装了,因为我通过“Windows update”已经安装了全部程序,他说不一定会自动安装,当时我也没有进行检查有没有安装,认为只要安装这两个补丁程序问题应该能解决了,所以我接着下载安装,重启系统后故障依旧。我再将情况致电瑞星技术人员进行询问,此时他也没辄了,只好归咎于Windows 2000的漏洞,应该找微软公司解决问题。我再致电微软客户服务中心,得到的回答是必须有客户服务号才可以咨询,否则问一个问题1000元人民币,我说使用的是正版软 件,她要我报出正版软件的注册号,可惜我没带在身上,上午只好作罢。
下午我将我的正版Windows 2000软件进行了注册登记,才算与微软技术人员联系上,我将上述故障现象和过程一反映,并告诉他存在大量epmap连接的情况,他的回答是同样安装冲击波和震荡波的补丁程序KB824146、KB823980和KB835732以及用两个专杀工具KB833330和KB841720进行杀毒,我回答说我都试过了,他说可能与瑞星杀毒软件有关,可以卸载瑞星杀毒软件试试。但我知道故障与瑞星杀毒软件无关,因为该机在没有出现故障时就在使用瑞星杀毒软件。
看来微软技术人员也不能帮上忙,只能靠自己了。我停下手头的工作,认真思考应该采取的对策。我采取两方面的措施,一是自己再把系统重装一遍,防止别人在安装系统时没有按照我的吩咐做,二是从网上查找应对策略。由于我自己使用计算机与财务处的那台电脑一模一样,而且我安装的是正版Windows 2000,并且我的机器一切正常,同时我在以前做了一个系统克隆备份,所以我就将我的计算机系统克隆恢复到我们拿到财务处的那台计算机上,连上网络一看,还是出现原来的故障。此时我只能通过网络查找问题了,由于我基本能判断是由于病毒所致,我首先根据网上的提示启动到安全模式用专杀工具进行查杀毒,但不起作用。然后我到趋势科技网站使用“在线扫毒”功能进行查毒,很快发现了worm rbot.gen的病毒报告,此时我可以完全确定网络资源不能共享的故障是由于该病毒所致,但当时我手头没有趋势科技杀毒软件,所以只能查而不能杀,我再次致电微软技术人员希望能通过指点象杀冲击波和震荡波病毒一样用手工方法进行清除,可惜得到的回答就是应该将病毒清除。我再到金山毒霸网站,正巧金山毒霸网站在线杀毒功能免费试用10天,使用金山毒霸在线杀毒功能杀毒,很快杀到了病毒,重新启动后恢复正常,我立即通知财务处利用金山毒霸网站在线杀毒功能进行查杀,问题立即解决。此后再我利用瑞星2005版的报警信息一一找到感染有这种病毒的一台计算机,安装我的金山毒霸正版软件,升级后进行病毒清除,金山毒霸清除的病毒如图2所示。
该机同时发现了两种病毒,通过Internet网查询,这两种病毒的表现特征都很类似,都有很多变种,都通过网络共享进行传播。
都利用如下漏洞: Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞、 SQL Server 2000 中的缓冲区溢出漏洞 、IIS5/WEBDAV 缓冲区溢出 。其中, win32.hack.rbot.en病毒对系统作如下修改: A、在系统目录下拷贝其自身; B、在注册表 HKEY_CURRENT_USERSOFTWARE属KAZAALocalContent 下添加以下键值: "dir0"="012345:<指定的目录 >" C、在以下一个或多个注册表下添加用以自启动的键值:HKEY_LOCAL_ MACHINESoftwareMicrosoftWindows CurrentVersionRun HKEY_LOCAL_ MACHINESoftwareMicrosoftWindows CurrentVersionRunOnce HKEY_ LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunServices HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRun
经验总结
第一,在安装Windows操作系统时,应及时安装相应补丁程序,否则系统就存在明显漏洞,很多病毒和程序都可能造成对系统的破坏。经查,其他感染这种病毒的计算机都安装了Windows 2000 或Windows XP操作系统,并且没有及时安装补丁程序,而且大多都使用弱密码。
第二,之所以出现上述故障现象,我当时分析,一是连接共享所需使用的135端口被病毒程序调用,造成无法使用,二是病毒程序与其他有漏洞的计算机主动建立大量连接,也耗费了很多系统资源,并造成系统运行缓慢。
第三,在分析排除故障时应认真仔细。经认真分析,我们后来重新(下转第65页)(上接第64页)安装系统的计算机之所以两次安装好系统后就有病毒,一个原因是该计算机来自某一机房,而该机房后来发现是病毒的传播源之一,并且该计算机原来安装的就是 Windows 2000操作系统,估计没有安装操作系统补丁程序,故一开始就有病毒。当重装系统时,没有将硬盘进行重新分区或者进行所有逻辑盘格式化,只简单将系统所在逻辑盘进行了格式化,故此对病毒没有斩草除根。另一原因是在安装操作系统后没有通过其他途径先安装补丁程序,而是简单地连接上网络下载补丁程序,致使病毒有可乘之机。如果排除这两个原因,新安装的系统肯定不会有病毒。
第四,要尽量准确判断故障原因。网络共享故障时有发生,但有时可能是硬件故障造成的,也可能是配置不正确造成的。worm rbot.gen的最主要表现就是使感染病毒的计算机网络共享失效,此时很难一下子判断。我也听有同事讲过上述现象,但由于自己不负责计算机维修,对这个问题也没有引起足够重视。同时由于危害性不太大,所以没有引起包括病毒专家的重视,使得我走了很多弯路。
第五,不要过分依赖一种杀毒软件。我有很多种正版杀病毒软件,任何好的软件都不可能永远超前,没有缺陷。当然这方面我是有经验的,所以在对财务处计算机查病毒时还曾安装我们单位使用的诺顿防病毒软件进行检查,但也没有查出。尽管如此,我还是能基本断定是一种病毒。
第六,不要过分依赖技术专家。为了能尽快解决问题,我曾咨询瑞星公司技术人员和微软技术人员,总认为他们应该手到擒来,但由于他们本身不在现场,所以相比之下自己掌握的信息更多更准确。
第七,可以与同行进行交流探讨。我在排除故障的几天中,由于与同事进行交流,得到他们的启发,节省了很多宝贵时间。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- (xp)不能访问网络位置,有关网络排除故障的信息,请参阅WINDOWS帮助
- Windows 2008 AD RMS故障排除
- Windows Network Load Balancing群集故障排除手记。
- Windows 7 用户文件夹迁移故障排除一例
- 排除DNS解析故障方法 Windows系统名称解析过程
- WINDOWS故障排除-2
- 转:Windows下MySQL安装故障诊断与排除
- Windows 7系统常见小故障以及排除方法
- XP访问网络共享故障排除方法
- 【Windows 7系统常见故障排除小技巧】
- 重装windowsXP SP2系统后找不到共享打印机故障排除方法
- 故障排除——windows网络受限的种种总结
- 如何对 Backup Exec for Windows Servers 中的磁带库或磁带驱动器问题进行故障排除?
- Windows开机关机故障分析及排除
- MDT Windows 部署问题故障排除
- winxp文件、打印机共享故障排除方法及“操作无法完成.键入的打印机名不正确,或者指定的打印机没有连接到服务器上"
- 共享上网 网络故障的排除(终结篇)
- SAMBA服务器设置为共享模式,无法访问故障排除。(如何修改linux主机名?)