防护不当的计算机遭到震荡波的攻击,会导致不断重新启动,系统无法使用,用户也来不及从网络上下载补丁或者相关的清除工具解决问题。以下是如何应对这种情况的具体措施。
第一步:获得本文件作为参考,或者拨打有关的安全咨询电话(我们的咨询电话是010-82990999);
第二步:断开网络连接,避免受到持续的攻击;
第三步:阻止系统自动重启;
断开网络连接后,应该能够阻止系统不断重启,如果由于特殊原因不能立即断开网络连接,可以在系统出现倒计时重启对话框时,采用以下方法阻止系统不断的自动重启:
Windows XP用户
1.在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
2.键入“cmd”,然后单击“确定”。
3.在命令提示符下,键入“shutdown.exe -a”,然后按 ENTER。
Windows 2000用户
1.从其他使用Windows XP的系统中拷贝shutdown.exe到被感染机器的c盘根目录下。
2.在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
3.键入“cmd”,然后单击“确定”。
4.在命令提示符下,键入“c:\shutdown.exe -a”,然后按 ENTER。
第四步:阻止蠕虫进入您的计算机。您必须安装微软的升级补丁(微软的安全更新 835732,见第6步)才可以彻底解决问题,如果您手边没有MS04-011这个补丁程序,就必须通过网络下载。为了避免在再次联网的过程中被震荡波成功进入您的主机,可以采用以下措施:
1.在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
2.键入“cmd”,然后单击“确定”。
3.在命令提示符下键入“ echo dcpromo %systemroot%\debug\dcpromo.log ”,然后按 ENTER。
4.在命令提示符下键入“attrib +R %systemroot%\debug\dcpromo.log”,然后按 ENTER。
第五步:启用适当的安全措施。同样是用来防止在再次联网升级的过程中遭受攻击。
Windows XP用户
Windows XP 包含Internet连接防火墙 (ICF)。 要打开ICF:
1.在屏幕底部的任务栏上单击“开始”,然后单击“控制面板”。
2.单击“网络与Internet连接”。
(如果未显示“网络与Internet连接”,请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。)
3.单击“网络连接”。
4.右键单击用于连接至Internet的拨号、LAN 或高速Internet连接,然后单击快捷菜单中的“属性”。
5.在“Internet连接防火墙”的“高级”选项卡上,选择“保护我的计算机和网络”,然后单击“确定”。 现在,您便已开始启用 Windows XP 防火墙。
Windows 2000用户或者Windows XP用户
启动WINDOWS 2000和XP自带的系统安全管理工具“本地安全策略”,具体操作方法如下:单击“控制面板”--“管理工具”---“本地安全策略”后,进入“本地安全策略”的主界面。在此,右键点击 “IP安全策略”进入 “所有任务”,点击“导入策略”,导入CNCERT/CC提供的“CNCERT-禁止Sasser各变种感染应急策略”文件,并指派这个策略文件,使之生效。请在此处下载该策略文件:
CNCERT-禁止Sasser各变种感染应急策略
第六步:重新连接网络,尽快升级;
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请到http://www.cert.org.cn/articles/bulletin/common/2004041421585.shtml。同时,我们建议您尽快升级您所使用的防病毒产品。
第七步:检查和清除已经进入本机的蠕虫。
1.使用杀毒工具杀毒
我们推荐您请首先使用杀毒工具进行杀毒。可以尝试使用如下防病毒软件厂商网站上提供的免费专杀工具:
北信源:
震荡波及其变种:http://www.vrv.com.cn/Windows-KB841720-ENU-V2.exe
江民:
震荡波及其变种:http://218.106.184.70/download/kvrt.exe
冠群金辰:
震荡波及其变种:http://sc.kill.com.cn/maindoc/virus/download/clnsasser.zip
金山毒霸:
震荡波及其变种:http://download.duba.net/download/othertools/Duba_Sasser.EXE
瑞星:
震荡波及其变种:http://download.rising.com.cn/zsgj/RavSasser.exe
Computer Associates:
Sasser.A:http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
Sasser.B:http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39021
Sasser.C:http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39025
Sasser.D:http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39037
F-secure:
Sasser and variants: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39037
Global Hauri:
Sasser and variants:http://www.globalhauri.com/html/notice/notice_read.html?uid=447
Network Associates:
W32/Sasser.worm.a:http://vil.nai.com/vil/content/v_125007.htm
W32/Sasser.worm.b:http://vil.nai.com/vil/content/v_125008.htm
Norman:
Sasser.A:http://www.norman.com/Virus/Virus_descriptions/14919/en-us
Sasser.B:http://www.norman.com/Virus/Virus_descriptions/14920/en-us
Panda:
Sasser.A:http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46865&sind=0
Sasser.B:http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46875&sind=0
Sasser.C:http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46892&sind=0
Sasser.D:http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46915&sind=0
Sophos:
Sasser.A:http://www.sophos.com/virusinfo/analyses/w32sassera.html
Sasser.B:http://www.sophos.com/virusinfo/analyses/w32sasserb.html
Sasser.D:http://www.sophos.com/virusinfo/analyses/w32sasserd.html
Symantec:
Sasser.A:http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html
Sasser.B:http://www.sarc.com/avcenter/venc/data/w32.sasser.b.worm.html
Sasser.C:http://www.sarc.com/avcenter/venc/data/w32.sasser.c.worm.html
Sasser.D:http://www.sarc.com/avcenter/venc/data/w32.sasser.d.html
Trend Micro:
Sasser.A:http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
Sasser.B:http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
Sasser.C:http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C
Sasser.D:http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
2.手工杀毒
1)结束系统进程中的下列进程:
o 任意以_up.exe 结尾的进程(例如 12345_up.exe)
o 任意以avserve 开头的进程(例如 avserve.exe)
o 任意以avserve2 开头的进程(例如 avserve2.exe)
o 任意以skynetave 开头的进程(例如 skynetave.exe)
o hkey.exe
o msiwin84.exe
o wmiprvsw.exe(注意:可能有wmiprvse.exe 进程,它是一个合法的系统进程,请切勿结束。)
2)删除病毒释放的文件:
点击"开始--〉查找--〉文件和文件夹",查找与上述进程相对应的文件,如:“avserve2.exe”,“*_up.exe”,“skynetave.exe”,并将找到的文件删除。
3)删除注册表中的相应键值:
对Sasser.A:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的"avserve.exe"="%Windir%\avserve.exe"值。
对Sasser.B和Sasser.C:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的"avserve2.exe"="%Windir%\avserve2.exe"值。
对Sasser.D:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的"skynetave.exe"="%Windir%\skynetave.exe"值。
重要补充
如果系统速度太慢,系统无法正常工作,怎么办?
如果您的计算机已经感染了震荡波蠕虫,则通常会导致计算机反应迟缓或者Internet连接速度过慢,无法下载并安装所需的软件更新,这时候可以先采取如下措施改善系统性能:
1)按 CTRL+ALT+DELETE,然后单击“任务管理器”。
2)对于以下可能列出的每个进程,单击并选中该进程,然后单击“结束进程”按钮,将其结束。
o 任意以_up.exe 结尾的进程(例如 12345_up.exe)
o 任意以avserve 开头的进程(例如 avserve.exe)
o 任意以avserve2 开头的进程(例如 avserve2.exe)
o 任意以skynetave 开头的进程(例如 skynetave.exe)
o hkey.exe
o msiwin84.exe
o wmiprvsw.exe(注意:可能有wmiprvse.exe 进程,它是一个合法的系统进程,请切勿结束。)
