[病毒查杀] Generic Host Process for Win32 Services 遇到问题需要关闭。 对话框, 状态栏, 主题, 网页

现象：
弹出如下对话框：
此主题相关图片

此主题相关图片

此主题相关图片


      网络自动断开，状态栏显示连接，但无法打开网页，qq也自动掉线，重启一遍会好，但过一会又不行了。

原因：
中了“魔波”病毒——“魔波（worm.mocbot.a）”和“魔波变种b(worm.mocbot.b)病毒。

      该病毒会利用微软ms06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。由于该病毒出现离微软发布补丁程序只有短短几天时间，有很多用户还没有来得及对系统进行更新。
      “魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定irc服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的irc服务器在中国镜内，因此该病毒很有可能为国人编写。

解决：
一、瑞星杀毒软件2006版18.40.01版及更高版本可彻底查杀此病毒，同时，瑞星建议用户开启瑞星个人防火墙2006版，并关闭139及445端口。步骤如下：
1、 启动瑞星个人防火墙主程序，点击“设置\详细设置”菜单，选择“ip规则”；
2、 在弹出的“设置瑞星个人防火墙ip规则”窗口中点击“增加规则”按钮；
3、 规则名称填入“ms06-040”，执行动作为“禁止”，然后点击“下一步”。本地地址设置为“所有地址”，对方地址设置为“任意地址”，协议类型选择“tcp”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。

此主题相关图片


同时，登陆微软网站下载并安装ms-06-040补丁程序以防范此病毒攻击。

直接下载补丁：
for windows 2000 sp4：
http://download.microsoft.com/download/f/2/f/f2f6f032-b0db-459d-9e89-fc0218973e73/windows2000-kb921883-x86-chs.exe
for windows xp：
http://download.microsoft.com/download/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/windowsxp-kb921883-x86-chs.exe
for windows server 2003：
http://download.microsoft.com/download/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/windowsserver2003-kb921883-v2-x86-chs.exe

      实际上，如果你的windows xp sp2打开了自动更新后，早在8月9日系统就会自动更新此漏洞补丁，因此打开自动更新的用户是不会中此病毒的。千万别信什么所谓“关闭自动更新会更稳定”的谣言了，只要你的系统是sp2以上，不管是正版还是盗版用户都可以大胆打开自动更新，微软不会砍了你，放心吧！微软早就明确标示了，即使你用盗版用户，也会允许系统自动更新关键安全补丁的。

二、“mocbot魔波蠕虫专杀套装”下载：http://down.52happy.net/software/catalog179/1044.html

三、手动清除“魔波”病毒的方法：
      由于手动清除需要对操作系统比较了解，对这方面不是很熟悉的网友还是尽量在高手的指点下进行手动清除工作。

重启进入安全模式（开机按f8）。

1. 打开注册表编辑器。点击开始>运行，输入regedit，按enter

2. 在左边的面板中，双击:hkey_local_machine>system>currentcontrolset>services

3. 仍然在左边的面板中，找到并删除如下键：“wgareg”魔波（worm.mocbot.a）、“wgavm ”魔波变种b(worm.mocbot.b)

恢复enabledcom和restrictanonymous注册表项目

1. 仍然在注册表编辑器中，在左边的面板中，双击： hkey_local_machine>software>microsoft>ole

2. 在右边的面板中，找到如下项目：ienabledcom = "n"

3. 右击该项目选择修改值为： enabledcom = "y"

删除关于管理共享的注册表项目

1. 在注册表编辑器中，在左边的面板中，双击：hkey_local_machine>system>currentcontrolset> services>lanmanserver>parameters

2. 在左边的面板中，找到并删除如下项目：

a. autosharewks = "dword:00000000"

b. autoshareserver = "dword:00000000"

3. 在注册表编辑器中，在左边的面板中，双击：hkey_local_machine>system>currentcontrolset> services>lanmanworkstation>parameters

4. 在左边的面板中，找到并删除如下项目：

a. autosharewks = "dword:00000000"

b. autoshareserver = "dword:00000000"