[病毒:解决] 60秒内自动关机病毒完美解决方法与简介!!

根据我的分析，这个“60秒内自动关机的病毒”，是一个名为“震荡波”的病毒，“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。
　　“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。
　　瑞星反病毒专家王耀华介绍，该病毒会通过FTP 的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在C:\WINDOWS目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。
　　“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　如何防范“震荡波”

　　首先，用户必须迅速下载微软补丁程序，对于该病毒的防范，http://www.microsoft.com/china/t ... letin/ms04-011.mspx  

　　金山或者瑞星用户迅速升级杀毒软件到最新版本，然后打开个人防火墙，将安全等级设置为中、高级，封堵病毒对该端口的攻击。

　　非金山或者瑞星用户迅速下载免费的专杀工具，下载地址为：http://dl.pconline.com.cn/html/1 ... &pn=0&.html

　　如果用户已经被该病毒感染，首先应该立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。

[ Last edited by jacky_20477 on 3-5-2004 at 01:41 PM ]

HotmailUser

Microsoft 的说法:
Apply Critical Updates, Enable Firewall to Protect Against Sasser Worm  (click here!)
LSASS.exe error, 60-second countdown are symptoms of latest Windows worm.

PSS Security Response Team Alert - New Worm Sasser
Published: May 1, 2004 | Updated: May 2, 2004

寻梦人

“Sasser”病毒開始肆虐，Windows作業系統再受影響

摘要：

自從Microsoft公佈4月份弱點以來，各大網路安全公司紛紛預測將會有類似Blaster這種會塞爆網路流量的蠕蟲出現。果然，5/1出現了利用此弱點傳播之蠕蟲---”Sasser”。感染到Sasser蠕蟲的網友會對外建立大量連線，並試圖感染其他網友的電腦。這不但會造成感染電腦無法上網，同時也會造成網路的擁塞。由於大部份的Widnows作業系統都會受感染，請用戶盡速安裝微軟的修正程式。

檢查方法：

如果您的電腦路徑C:\Winnt 或是C:\Windows 有出現avserve.exe檔案，那麼您的電腦可能已經感染Sasser蠕蟲。

解決方法：

受到此病蟲感染的電腦，請依下步驟排除。

1.      開啟Windows 工作管理員.
Windows NT/2000/XP系統, 請按
CTRL+SHIFT+ESC, 然後點選”處理程序”標籤

刪除avserve.exe程序

注意:如果沒有出現avserve.exe程序，請至C:\WINNT\或是C:\Windows\目錄下直接刪除avserve.exe檔案

2. 安裝Microsoft所提供的MS04-011修正檔
  您可以直接由Windows Update網址(http://v4.windowsupdate.microsoft.com/zhtw/default.asp)更新或是下載MS04-011修正檔手動安裝：

http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp。


3. 手動移除病毒

  3.1 刪除 C:\WINNT\system32\?????_up.exe　(?????為不特定數字，檔案大小15872 bytes)

  3.2 刪除 C:\WINNT\avserve.exe 或是C:\Windows\ avserve.exe

  3.3 點選”開始->執行”。輸入”REGEDIT”然後按 Enter

     滑鼠雙擊下述路徑: /HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/

移除下列機碼：
avserve.exe

4.  電腦重新開機。

5. 建議您用防火牆阻擋有相關的port      
    Port 139 (tcp/udp)
    Port 445 (tcp/udp)

寻梦人

事由：W32.SASSER病毒流竄
日期：2004.05/03
時間：AM 00:00 ~24:00
範圍：所有用戶
說明：
Microsoft 於5/1晚間發佈緊急重大安全公告，發覺一隻名為 W32.SASSER 的病蟲，目前正在網際網路上流竄。
它們會針對公告中提及的弱點加以攻擊。Microsoft 建議安裝 MS04-011 是保護自己使用環境最佳的方案。
這隻病毒主要的攻擊目標是Local Security Authority Subsystem Service(LSASS)服務。使用Windows XP並
啟動防火牆功能的使用者可以免於此次W32.Sasser病毒的攻擊，這個病毒主要是透過139連接埠 (TCP Port 139)
進行攻擊，大部分提供防火牆服務的廠商的預設值已經將TCP Port 139關掉。

假如您已經感染 W32.SASSER 病蟲，請參考以下的緩和方案：
在工作站上啟用網際網路連線防火牆
(如何在 Windows XP 上啟用網際網路連線防火牆，請參考知識庫文件
http://support.microsoft.com/default.aspx?scid=kb;zh-tw;283673) 或使用協力廠商防火牆
中斷與網際網路的連線
如果無法正常開機，請先開機至安全模式
使用工作管理員刪除以下程序：
c:WINDOWSsystem32*_up.exe
avserve.exe
在硬碟裡搜尋以下檔案，並立即刪除：
C:WINDOWSavserve.exe
c:WINDOWSsystem32*_up.exe
使用登錄檔編輯器移除以下機碼值：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe
連線至網際網路
連上 Windows Update 網站，點選 [掃描更新檔項目]
安裝重大更新與 Service Packs

BadBadtz-Maru

我的WINDOWS和WINNT都沒有avserve.exe這個file... 但是我的windows task manager有LSASS.exe這個file... 到底我該怎樣delete掉virus?