已解决的问题
分享到
满意答案好评率:55%
- “震荡波”专杀工具
http://db.kingsoft.com/download/othertools/DubaTool_Sasser.EXE
见页面 http://db.kingsoft.com/download/3/113.shtml
下载安全更新 835732
http://www.cert.org.cn/articles/bulletin/common/2004041421585.shtml
--------------------------------------------------------------------------
详细解决方案
第一步:获得本文件作为参考,或者拨打有关的安全咨询电话;
第二步:断开网络连接,避免受到持续的攻击;
第三步:阻止系统自动重启;
断开网络连接后,应该能够阻止系统不断重启,如果由于特殊原因不能立即断开网络连接,可以在系统出现倒计时重启对话框时,采用以下方法阻止系统不断的自动重启:
Windows XP用户
1.在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
2.键入“cmd”,然后单击“确定”。
3.在命令提示符下,键入“shutdown.exe -a”,然后按 ENTER。
Windows 2000用户
1.从其他使用Windows XP的系统中拷贝shutdown.exe到被感染机器的c盘根目录下。
2.在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
3.键入“cmd”,然后单击“确定”。
4.在命令提示符下,键入“c:shutdown.exe -a”,然后按 ENTER。
第四步:阻止蠕虫进入您的计算机。您必须安装微软的升级补丁(微软的安全更新 835732,见第6步)才可以彻底解决问题,如果您手边没有MS04-011这个补丁程序,就必须通过网络下载。为了避免在再次联网的过程中被震荡波成功进入您的主机,可以采用以下措施:
1.在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
2.键入“cmd”,然后单击“确定”。
3.在命令提示符下键入“ echo dcpromo >%systemroot%debugdcpromo.log ”,然后按 ENTER。
4.在命令提示符下键入“attrib +R %systemroot%debugdcpromo.log”,然后按 ENTER。
第五步:启用适当的安全措施。同样是用来防止在再次联网升级的过程中遭受攻击。
Windows XP用户:
Windows XP 包含 Internet 连接防火墙 (ICF)。 要打开 ICF:
1.在屏幕底部的任务栏上单击“开始”,然后单击“控制面板”。
2.单击“网络与 Internet 连接”。
(如果未显示“网络与 Internet 连接”,请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。)
3.单击“网络连接”。
4.右键单击用于连接至 Internet 的拨号、LAN 或高速 Internet 连接 ,然后单击快捷菜单中的“属性”。
5.在“Internet 连接防火墙”的“高级”选项卡上,选择“保护我的计算机和网络”,然后单击“确定”。 现在,您便已开始启用 Windows XP 防火墙。
Windows 2000用户或者Windows XP用户:
启动WINDOWS 2000和XP自带的系统安全管理工具“本地安全策略”,具体操作方法如下:单击“控制面板”-->“管理工具”--->“本地安全策略”后,进入“本地安全策略”的主界面。在此,右键点击 “IP安全策略”进入 “所有任务”,点击“导入策略”,导入CNCERT/CC提供的“CNCERT-禁止Sasser各变种感染应急策略”文件,并指派这个策略文件,使之生效。请在此处下载该策略文件:
CNCERT-禁止Sasser各变种感染应急策略
第六步:重新连接网络,尽快升级;
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请到http://www.cert.org.cn/articles/bulletin/common/2004041421585.shtml。同时,我们建议您尽快升级您所使用的防病毒产品。
第七步:检查和清除已经进入本机的蠕虫。
1.使用杀毒工具杀毒
我们推荐您请首先使用杀毒工具进行杀毒。可以尝试使用如下防病毒软件厂商网站上提供的免费专杀工具:
北信源:
震荡波及其变种:http://www.vrv.com.cn/Windows-KB841720-ENU-V2.exe
江民:
震荡波及其变种:http://218.106.184.70/download/kvrt.exe
冠群金辰:
震荡波及其变种:http://sc.kill.com.cn/maindoc/virus/download/clnsasser.zip
金山毒霸:
震荡波及其变种:http://download.duba.net/download/othertools/Duba_Sasser.EXE
瑞星:
震荡波及其变种:http://download.rising.com.cn/zsgj/RavSasser.exe
Computer Associates:
Sasser and variants:http://www3.ca.com/support/vicdownload/
F-secure:
Sasser and variants: http://www.f-secure.com/v-descs/sasser.shtml
Global Hauri:
Sasser and variants:http://www.globalhauri.com/html/notice/notice_read.html?uid=447
Network Associates:
W32/Sasser.worm.a:http://vil.nai.com/vil/content/v_125007.htm
W32/Sasser.worm.b:http://vil.nai.com/vil/content/v_125008.htm
Norman:
Sasser and variants:http://www.norman.com/Virus/Virus_removal_tools/14938
Panda:
Sasser.A:http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46865&sind=0
Sasser.B:http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46875&sind=0
Sasser.C:http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46892&sind=0
Sasser.D:http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46915&sind=0
Sophos:
Sasser and variants:http://www.sophos.com/support/disinfection/sasser.html
Symantec:
Sasser and variants:http://securityresponse.symantec.com/avcenter/FxSasser.exe
Trend Micro:
Sasser and variants:http://www.trendmicro.com/download/dcs.asp
2.手工杀毒
1)结束系统进程中的下列进程:
o 任意以_up.exe 结尾的进程(例如 12345_up.exe)
o 任意以avserve 开头的进程(例如 avserve.exe)
o 任意以avserve2 开头的进程(例如 avserve2.exe)
o 任意以skynetave 开头的进程(例如 skynetave.exe)
o lsasss.exe
o hkey.exe
o msiwin84.exe
o wmiprvsw.exe(注意:可能有wmiprvse.exe 进程,它是一个合法的系统进程,请切勿结束。)
2)删除病毒释放的文件:
点击"开始--〉查找--〉文件和文件夹",查找与上述进程相对应的文件,如:“avserve2.exe”,“*_up.exe”,“skynetave.exe”,并将找到的文件删除。
3)删除注册表中的相应键值:
对Sasser.A:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中
的"avserve.exe"="%Windir%avserve.exe"值
对Sasser.B和Sasser.C:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中
的"avserve2.exe"="%Windir%avserve2.exe"值
对Sasser.D:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中
的"skynetave.exe"="%Windir%skynetave.exe"值
对Sasser.E:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中
的"lsasss.exe"="%Windir%lsasss.exe"值
重要补充:如果系统速度太慢,系统无法正常工作,怎么办?
如果您的计算机已经感染了震荡波蠕虫,则通常会导致计算机反应迟缓或者 Internet 连接速度过慢,无法下载并安装所需的软件更新,这时候可以先采取如下措施改善系统性能:
1)按 CTRL+ALT+DELETE,然后单击“任务管理器”。
2)对于以下可能列出的每个进程,单击并选中该进程,然后单击“结束进程”按钮,将其结束。
o 任意以_up.exe 结尾的进程(例如 12345_up.exe)
o 任意以avserve 开头的进程(例如 avserve.exe)
o 任意以avserve2 开头的进程(例如 avserve2.exe)
o 任意以skynetave 开头的进程(例如 skynetave.exe)
o lsasss.exe
o hkey.exe
o msiwin84.exe
o wmiprvsw.exe(注意:可能有wmiprvse.exe 进程,它是一个合法的系统进程,请切勿结束。)
-------------------------------------------------------------------------- - 回答时间:2008-11-12 17:01:40 回答者:山下智久[幼儿小班] 回答采纳率:50%(55个被采纳)
- 对最佳答案评论 目前有 0 人评论
其他答案(共2条)
- ·快播播放器(Qvod播放器) V5.2.99
- ·Photoshop CS5 官方正式版
- ·Word 2003 简体中文版(WPS) 官方下载
- ·office 2003 (WPS) 简体中文版
- ·Adobe Flash Player V11.3 官方版
- ·VaGaa哇嘎画时代 V2.6.7.5_1109修定版
- ·Word 2007 简体中文版(WPS) 官方下载
- ·3gp格式转换器 V1.08
- ·奇虎360安全卫士 V8.6.0.2001 正式版
- ·Excel 2003 官方正式版(WPS)
- ·QQ空间克隆器2012 SP1.5官方版
- ·迅雷7 V7.2.7.3498 正式版
- ·office 2007 (WPS) 简体中文版
- ·浩辰CAD 2011 测试标准版 (30天免费使用)
- ·Adobe Photoshop CS3
- ·福昕PDF阅读器 多特专版 V4.3.0.1110官方下载
我可以做什么
提出问题
在使用软件的过程中总会遇到一些自己无法解决的问题,需要提出来靠大家的力量来解决,我们就是要给您这样一个软件问答的平台。分享知道的东西
回答提问者的提问,可以简单或详尽的解答,提问者和系统会对你的贡献作出一个合理的积分回报。评价和体验
评价他人的提问和回答,不仅仅可以维护一个好的问答环境,也有助于提高你自己的学习和辨别能力。