Virus 版 (精华区)

发信人: USSR (艾崴), 信区: Virus
标  题: 震荡波(Worm.Sasser)认识和解决方法 
发信站: BBS 哈工大紫丁香站 (Tue May 11 12:14:22 2004)

如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒
。 

　　一、出现系统错误对话框 
　　被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接
着出现一分钟后重启计算机的“系统关机”框。

　　　　　　

二、系统日志中出现相应记录 

　　如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过
查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，
如果出现如下图所示的日志记录，则证明已经中毒。 

　　　　　　

　　三、系统资源被大量占用 

　　病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异
常缓慢的现象。 

　　四、内存中出现名为 avserve 的进程 

　　病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Sh
ift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。 

　　五、系统目录中出现名为 avserve.exe 的病毒文件 

　　病毒如果攻击成功，会在系统安装目录（默认为 C:\WINNT ）下产生一个名为avserv
e.exe 的病毒文件。 

　　六、注册表中出现病毒键值 

　　病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\Run 项中建立病毒键值： "avserve.exe "="%WINDOWS%\avserve.exe
 " 。 

如何完全清除震荡波(Worm.Sasser)病毒 

　　一、手工清除四部曲。 

　　1、断网打补丁。 

　　如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该
先到以下地http://www.microsoft.com/china/technet/security/bulletin/ms04-011.ms
px下载相应的漏洞补丁程序 ，然后断开网络，运行补丁程序，当补丁安装完成后再上网。
 

　　2、清除内存中的病毒进程 

　　要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三
或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内
存中查找名为“avserve.exe”的进程，找到后直接将它结束。 

　　3、删除病毒文件 

　　病毒感染系统时会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的
病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.e
xe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用
户需要到安全模式下或DOS系统下删除这些文件。 

　　4、删除注册表键值 

　　该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curren
tversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病
毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运
行”菜单中键入“REGEDIT” 然后调出注册表编辑器，找到该病毒键值，然后直接删除。
 

　　二、自动清除三部曲 

　　1、使用瑞星杀毒软件进行清除 

　　用户可以将瑞星杀毒软件标准版或下载版产品升级到16.24.42版本，并进行系统盘和
内存的杀毒。 

　　2、使用瑞星在线杀毒进行清除 

　　用户还可以使用瑞星免费的在线杀毒产品http://online.rising.com.cn/）查找系统
中是否存在病毒，然后用在线杀毒进行清除。 

　　3、使用瑞星免费专杀工具进行清除 

　　用户还可以http://it.rising.com.cn/service/technology/RS_sasser.htm网址下载
免费的“震荡波病毒专杀工具”然后对电脑进行病毒扫描。 

--

※ 来源:·哈工大紫丁香 http://bbs.hit.edu.cn·[FROM: 202.118.232.13]