我的计算机为什么在上网的时候总是
震荡波病毒说明
病毒中文名:震荡波
病毒英文名:Worm。Sasser
病毒大小:15,872字节
病毒类型:蠕虫病毒
病毒危险等级:★★★★★
病毒传播途径:网络
病毒依赖系统:Windows 2000/XP/2003
变种:Worm。 Sasser。b/c/d
未受影响的系统:Microsoft Windows 98 Microsoft Windows ME Microsoft Windows NT 4。0
如何快速识别震荡波(Worm。 Sasser)病毒
5月1日惊现互联网的“震荡波 (Worm。Sasser)”病毒来势汹汹,该...全部
震荡波病毒说明
病毒中文名:震荡波
病毒英文名:Worm。Sasser
病毒大小:15,872字节
病毒类型:蠕虫病毒
病毒危险等级:★★★★★
病毒传播途径:网络
病毒依赖系统:Windows 2000/XP/2003
变种:Worm。
Sasser。b/c/d
未受影响的系统:Microsoft Windows 98 Microsoft Windows ME Microsoft Windows NT 4。0
如何快速识别震荡波(Worm。
Sasser)病毒
5月1日惊现互联网的“震荡波 (Worm。Sasser)”病毒来势汹汹,该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的,危害性极大,目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞,这些操作系统的用户只要一上网,就有可能受到该病毒的攻击。
下面就教用户如何快速识别“震荡波(Worm。Sasser)”病毒。
如果用户的电脑中出现下列现象之一,则表明已经中毒,就应该立刻采取措施清除该病毒。
一、出现系统错误对话框
被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。
二、系统日志中出现相应记录
如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。方法是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。
三、系统资源被大量占用
病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。
四、内存中出现名为 avserve 的进程
病毒如果攻击成功,会在内存中产生名为 avserve。
exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。
五、系统目录中出现名为 avserve。exe 的病毒文件
病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve。
exe 的病毒文件
六、注册表中出现病毒键值
病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值: "avserve。
exe "="%WINDOWS%\avserve。exe " 。
Windows 2000 用户:计算机感染震荡波 (Sasser) 蠕虫时应采取的措施
如果您使用的是 Microsoft? Windows 2000 Service Pack 2 (SP2)、Windows 2000 SP3 或 Windows 2000 SP4 并且您的计算机感染了震荡波蠕虫病毒,则可以采取这些措施来更新您的软件、移除蠕虫病毒并使您免于以后再被感染。
第 1 步:断开 Internet 连接
为了避免出现更多问题,请断开 Internet 连接:
宽带连接用户: 确定连接外置 DSL 或电缆调制解调器的电缆位置,然后从调制解调器或电话线插孔将该电缆拔下。
拨号连接用户:确定连接计算机内置调制解调器与电话线插孔的电缆位置,然后从电话线插孔或从计算机将该电缆拔下。
第 2 步:减轻漏洞隐患
您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。
创建日志文件
在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下键入“ echo dcpromo >%systemroot%\debug\dcpromo。
log ”,然后按 ENTER。
将日志文件设置为只读属性
在命令提示符下键入“attrib +R %systemroot%\debug\dcpromo。log”,然后按 ENTER。
第 3 步:改善系统性能
如果您的计算机反应迟缓或者 Internet 连接速度过慢,则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能:
1。
按 CTRL+ALT+DELETE,然后单击“任务管理器”。
2。 对于以下可能列出的每个任务,单击并选中该任务,然后单击“结束任务”按钮,将其结束。
o 任意以_up。exe 结尾的任务(例如 12345_up。
exe)。
o 任意以avserve 开头的任务(例如 avserve。exe)。
o 任意以avserve2 开头的任务(例如 avserve2。exe)。
o 任意以skynetave 开头的任务(例如 skynetave。
exe)。
o hkey。exe
o msiwin84。exe
o wmiprvsw。exe
注意:切勿结束 wmiprvse。exe 任务;这是一个合法的系统任
第 4 步:启用防火墙
防火墙是一个软件或硬件,能够在计算机和 Internet 之间构筑一道保护屏障。
Microsoft 并不制造独立于操作系统之外的软件防火墙。 以下资源提供了有关一些防火墙选项的详细信息。
硬件防火墙:硬件防火墙是 Windows XP 之前的 Windows 操作系统版本的理想选择。
有些家庭网络硬件,如无线接入点和宽带路由器等,都附带了嵌入式的硬件防火墙。 这些防火墙有助于保护大多数的家庭网络。
软件防火墙:Microsoft 强烈建议所有用户,在连接 Internet 之前,务必获得并安装防火墙。
不过,我们也意识到,有些用户会发现,下载软件是他们唯一的选择。 如果您选择重新连接 Internet 来获得软件防火墙,此处提供了一些选择:
· BlackICE PC Protection—节省 25% (
· Computer Associates—12 个月免费试用期 (
· F-secure—6 个月免费试用期 (
· McAfee Security—节省多达 35% (
· Panda Software—90 天免费试用期 (
· Symantec/Norton—90 天免费试用期
(
· Tiny Software: Tiny Personal Firewall ( )
· ZoneAlarm—节省 20 美元 (
第 5 步:重新连接 Internet
将电缆(参阅第 1 步)重新接回计算机、电话线插孔或调制解调器。
第 6 步:安装所需的更新
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请转到
第 7 步:检查并移除震荡波蠕虫
在完成安装更新并重新启动计算机后,转到网页 You Should Know About the Sasser Worm and Its Variants”(对于震荡波蠕虫及其变体您应该了解的信息)。
使用震荡波蠕虫移除工具搜索您的硬盘并移除 Sasser。A、Sasser。B、Sasser。C 和 Sasser。D。
Windows XP 用户:计算机感染震荡波 (Sasser) 蠕虫时应采取的措施
如果您使用的是 Microsoft? Windows? XP 或 Windows XP Service Pack 1 (SP1) 并且您的计算机感染了震荡波蠕虫病毒,则可以采取这些措施来更新您的软件、移除蠕虫病毒并使您免于以后再被感染。
第 1 步:断开 Internet 连接
为了避免出现更多问题,请断开 Internet 连接:
· 宽带连接用户: 确定连接外置 DSL 或电缆调制解调器的电缆位置,然后从调制解调器或电话线插孔将该电缆拔下。
· 拨号连接用户:确定连接计算机内置调制解调器与电话线插孔的电缆位置,然后从电话线插孔或从计算机将该电缆拔下。
第 2 步:终止关机周期
此蠕虫会导致 LSASS。EXE 停止响应,此程序使操作系统在 60 秒钟后强行关机。
如果您的计算机开始关机,请按照这些步骤中断可能处于运行状态的任意系统关机进程。
1。 在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
2。 键入“cmd”,然后单击“确定”。
3。 在命令提示符下,键入“shutdown。exe -a”,然后按 ENTER。
第 3 步:减轻漏洞隐患
您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。
创建日志文件
1。 在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
2。 键入“cmd”,然后单击“确定”。
3。 在命令提示符下键入“ echo dcpromo >%systemroot%\debug\dcpromo。
log ”,然后按 ENTER。
将日志文件设置为只读属性
4。 在命令提示符下键入“attrib +R %systemroot%\debug\dcpromo。log”,然后按 ENTER。
第 4 步:改善系统性能
如果您的计算机反应迟缓或者 Internet 连接速度过慢,则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能:
1。
按 CTRL+ALT+DELETE,然后单击“任务管理器”。
2。 对于以下可能列出的每个任务,单击并选中该任务,然后单击“结束任务”按钮,将其结束。
o 任意以_up。exe 结尾的任务(例如 12345_up。
exe)。
o 任意以avserve 开头的任务(例如 avserve。exe)。
o 任意以avserve2 开头的任务(例如 avserve2。exe)。
o 任意以skynetave 开头的任务(例如 skynetave。
exe)。
o hkey。exe
o msiwin84。exe
o wmiprvsw。exe
注意:切勿结束 wmiprvse。exe 任务;这是一个合法的系统任务。
第 5 步:启用防火墙
防火墙是一个软件或硬件,能够在计算机和 Internet 之间构筑一道保护屏障。 如果您的计算机已感染病毒,防火墙将有助于限制蠕虫的影响。 Windows XP 包含 Internet 连接防火墙 (ICF)。
要打开 ICF:
1。 在屏幕底部的任务栏上单击“开始”,然后单击“控制面板”。
2。 单击“网络与 Internet 连接”。
(如果未显示“网络与 Internet 连接”,请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。
)
3。 单击“网络连接”。
4。 右键单击用于连接至 Internet 的拨号、LAN 或高速 Internet 连接 ,然后单击快捷菜单中的“属性”。
5。 在“Internet 连接防火墙”的“高级”选项卡上,选择“保护我的计算机和网络”,然后单击“确定”。
现在,您便已开始启用 Windows XP 防火墙。
第 6 步:重新连接 Internet
将电缆(参阅第 1 步)重新接回计算机、电话线插孔或调制解调器。
第 7 步:安装所需的更新
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。
要下载安全更新 835732,请转到
第 8 步:检查并移除震荡波蠕虫
在完成安装更新并重新启动计算机后,转到网页 上的“What You Should Know About the Sasser Worm and Its Variants”(对于震荡波蠕虫及其变体您应该了解的信息)。
使用震荡波蠕虫移除工具搜索您的硬盘并移除 Sasser。A、Sasser。B、Sasser。C 和 Sasser。D。
关于 Internet 连接防火墙
Windows XP Internet 连接防火墙能够屏蔽有用的任务,如通过网络共享文件或打印机,在应用程序中传输文件或多人联机游戏等。
虽然如此,Microsoft 建议您使用防火墙来保护您的计算机。
如果您打开了 Internet 连接防火墙,但发现您无法执行某些需要执行的任务,请阅读 上的“How to Open Ports in the Windows XP Internet Connection Firewall”(如何打开 Windows XP Internet 连接防火墙中的端口)。
如果您有多台计算机、需要更多技术信息或希望了解更多有关防火墙的信息,请阅读 上的“Frequently Asked Questions About Firewalls”(有关防火墙的常见问题解答)。
相关补丁/工具下载
Microsoft Windows 2000 Service Pack 4----------------------------------- 下 载
Microsoft Windows XP and Microsoft Windows XP Service Pack 1------------ 下 载
Windows 2000 - 简体中文 RPC补丁----------------------------------------- 下 载
Windows XP - 简体中文 RPC补丁------------------------------------------- 下 载
Windows 2000 - 简体中文 Sasser补丁-------------------------------------- 下 载
Windows XP - 简体中文 Sasser补丁---------------------------------------- 下 载
瑞星Sasser专杀工具------------------------------------------------------ 下 载
。
收起
