[注意]“震荡波”病毒查杀指南专用贴

雨後的天空

病毒中文名：震荡波
病毒英文名：Worm.Sasser
病毒大小：15,872字节
病毒类型：蠕虫病毒
病毒危险等级：★★★★★
病毒传播途径：网络
病毒依赖系统：Windows 2000/XP/2003
变种：Worm.Sasser.b/c/d
未受影响的系统：
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0






在本地开辟后门。监听TCP 5554端口，做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。



一、手工清除四部曲。

1、断网打补丁。

如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。

2、清除内存中的病毒进程

要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内存中查找名为“avserve.exe”的进程，找到后直接将它结束。

3、删除病毒文件

病毒感染系统时会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户需要到安全模式下或DOS系统下删除这些文件。

4、删除注册表键值

该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器，找到该病毒键值，然后直接删除。




微软的安全升级补丁（在线升级）
http://www.microsoft.com/china/t ... letin/ms04-011.mspx
对应自己得系统选择合理得补丁




“震荡波”专杀工具（免费专用杀毒程序）
微软专杀工具A&B（新的C，D变种可能无法查杀）：http://software.pchome.net/php/t ... amp;svr=2&typ=0


金山毒霸：http://download.duba.net/download/othertools/Duba_Sasser.EXE


瑞星的免疫补丁:http://download.rising.com.cn/zsgj/RavSasser.exe



防火墙

天网防火墙下载地址：http://download.pchome.net/php/t ... amp;svr=1&typ=0

金山毒霸震荡波专用防火墙（无需设置）：http://www.duba.net/download/othertools/DB_AntiSasser.exe



手动防御方式（防火墙防御）
1. 瑞星防火墙防御方式（图文介绍）
http://community.rising.com.cn/F ... =3541247&page=1

2.金山网标防御方式（图文介绍）
http://www.duba.net/c/2004/05/03/111700.shtml


此贴由 雨後的天空 在 2004-05-08 17:26:07 最后编辑
       

此贴由 雨後的天空 在 2004-05-08 17:52:38 最后编辑

终端

这个病毒真可以说是到处都是，建议大家可以屏蔽218端口
以下是我几分钟之前才截取的图片：



此贴由 终端 在 2004-05-06 21:21:14 最后编辑

我心飞扬

步骤一，使用进程序管里器结束病毒进程
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器” 窗口。在任
　　务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve.exe”，单击“结束进程
　　按钮”，点击“是”，结束病毒进程 ，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序
　　通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt或windows)，找到文件
　 　“avser ve.exe”，将它删除;然后进入系统目录(Winnt\system32或windows\system32)，找
　　到文件"*_up.exe", 将它们删除；

　　步骤三，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　在右边的面板中, 找到并删除如下项目：
　　"avserve.exe" = %SystemRoot%\avserve.exe
　　关闭注册表编辑器.