6,850
社区成员
发帖
与我相关
我的任务
分享windows2003被振荡波病毒感染,但是无法清除!
各位尊敬的网友,我的操作系统是windows2003,前几天感染了振荡波病毒。
发作时,频繁出现内容读写错误,然后系统重起。
我用了瑞星,金山,kv等杀毒软件和他们自带的专业对付振荡波病毒的杀毒软件。都检测不到我系统中的病毒。而且系统内存中也没有发现“avserve.exe”。
求助如何将我系统中的病毒清除,还我正常的系统环境
发作时,频繁出现内容读写错误,然后系统重起。
我用了瑞星,金山,kv等杀毒软件和他们自带的专业对付振荡波病毒的杀毒软件。都检测不到我系统中的病毒。而且系统内存中也没有发现“avserve.exe”。
求助如何将我系统中的病毒清除,还我正常的系统环境
...全文
请发表友善的回复…
发表回复
heruo 2004-07-30
- 打赏
- 举报
进安全模式打补丁,
feidaoxiaoli 2004-07-30
- 打赏
- 举报
WindowsServer2003-KB835732-x86-CHS.EXE
这个补丁已经打上了,木马克星也用了。但是还是检测不到病毒。
这个病毒太厉害了。用了好几种杀毒软件都对付不了。是不是和我的操作系统(windows2003)有关系。
继续求助。
这个补丁已经打上了,木马克星也用了。但是还是检测不到病毒。
这个病毒太厉害了。用了好几种杀毒软件都对付不了。是不是和我的操作系统(windows2003)有关系。
继续求助。
womenspig 2004-07-30
- 打赏
- 举报
先去http://www.zvc.com.cn左下角下载试用版
或者到
ftp://csdn.77764876.com
ftp://csdn.77764876.org
ftp://csdn.77764876.net
里面的杀毒软件里面下载试用版的朝华开头的软件。
你就可以查杀到这个病毒的。
先下载。安装,升级,后断网,查病,看到一个删一个。
再重启就OK了!
或者到
ftp://csdn.77764876.com
ftp://csdn.77764876.org
ftp://csdn.77764876.net
里面的杀毒软件里面下载试用版的朝华开头的软件。
你就可以查杀到这个病毒的。
先下载。安装,升级,后断网,查病,看到一个删一个。
再重启就OK了!
ccw1979 2004-07-30
- 打赏
- 举报
建议在安全模式下杀毒或者打补丁。不行的话还是重装系统吧。
chang110cn 2004-07-30
- 打赏
- 举报
系统有问题了吧,要不就是什么东西冲突了!
估计和病毒没关系。
估计和病毒没关系。
yh_zhao 2004-07-30
- 打赏
- 举报
不是病毒的问题。
应该是硬件有毛病了。
应该是硬件有毛病了。
No001 2004-07-30
- 打赏
- 举报
www.rising.com.cn
34644093 2004-07-30
- 打赏
- 举报
用百度直接查找震荡波3字,然后肯定有相关软件你能找到,找专杀工具,一定要先打补丁然后再杀
ch299501 2004-07-29
- 打赏
- 举报
KB835732,一定要打,否则杀了还会有
gokiddo 2004-07-29
- 打赏
- 举报
用木马克星查杀一下木马
exingsa 2004-07-29
- 打赏
- 举报
不用杀打补丁就可以!!
tongyizh 2004-07-29
- 打赏
- 举报
哈哈,实际上杀毒工具一般都查杀不了只是在查杀以后要立即打上震荡波的补丁,再重新设置系统密码。肯定ok
jimmyge 2004-07-28
- 打赏
- 举报
病毒中文名:震荡波
病毒英文名:Worm.Sasser
病毒类型:蠕虫病毒
病毒传播途径:网络
病毒依赖系统:Windows 2000/XP/2003
变种:Worm.Sasser.b/c, Worm.Sasser.d
未受影响的系统:
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
病毒破坏方式:
在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
1)病毒感染现象
a. 如果您的机器看到Lsass出错,机器运行缓慢、网络堵塞、并让系统不停的进行倒计时重启,表明用户已中“震荡波”病毒。
b. 按Ctrl+Shift+Esc,选择“进程”,在列表中会出现如下的进程:avserve..exe(或avserve2..exe,或skynetave.exe),说明您的机器已经感染震荡波病毒。
c. 鼠标点“开始”→“运行”,键入regedit,在注册表编辑器中打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中有如下键值: "avserve.exe"="% SystemRoot%\avserve.exe"或"skynetave.exe "="%SystemRoot%\skynetave.exe"
(% SystemRoot %是一个变量,表示您的系统目录,病毒会根据具体的机器改变这个值,如”C:\windows\avserve.exe”)。
d. 如果病毒攻击成功,会在系统目录下,产生一个名为avserve.exe(B变种为avserve2.exe) 的病毒文件。
如果您的系统出现了上面的情况之一,您就要提高警惕了,很有可能震荡波(Worm.Sasser)病毒已经光顾了您的机器,请尽快用杀毒软件查杀病毒。
2)清除病毒
1. 专杀工具
瑞星震荡波专杀工具(如果不能打上补丁可以使用这个工具):
http://it.rising.com.cn/service/technology/RS_sasser.htm
(删除方法是打开注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\currentversion\run
把MS4011 Memory Patch 删除)
金山震荡波专用防火墙:
http://www.iduba.net/download/othertools/DB_AntiSasser.rar
金山震荡波专杀工具:
http://download.duba.net/download/othertools/Duba_Sasser.EXE
2. 杀毒软件
升级最新的病毒库和杀毒引擎,清除系统的病毒.
3. 在线杀毒
瑞星在线杀毒
http://online.rising.com.cn/
趋势科技在线杀毒
http://www.trendmicro.com/cn/products/desktop/housecall/evaluate/overview.htm
4. 手工清除
a. 断网打补丁
如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
微软MS04-011补丁下载
NT
Cn: http://download.microsoft.com/download/7/4/0/74078006-abaf-49f4-91e8-25909b23afd3/WindowsNT4Server-KB835732-x86-CHS.EXE
En: http://download.microsoft.com/download/6/d/7/6d7fcda4-1d50-49e7-b4dd-501fa54909c6/WindowsNT4Server-KB835732-x86-ENU.EXE
Win2000
cn:
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
en:
http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
XP
Cn: http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
En:
http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE
Win2003
Cn:
http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE
En:
http://download.microsoft.com/download/4/d/7/4d74d7ae-e1f7-4c0b-b6e3-ed05f5a3c580/WindowsServer2003-KB835732-x86-ENU.EXE
b. 清除内存中的病毒进程
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为avserve*.exe或skynetave.exe的进程,找到后直接将它结束.
c. 删除病毒文件
病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve*.exe或者skynetave.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为*_UP.exe的病毒文件,用户可以查找这些文件,找到后删除.
d. 删除注册表键值
运行regedit进入注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 下删除明为“avserve.exe”,内容为:“%WINDOWS%\avserve.exe”的病毒键值,或者名为"skynetave.exe",内容是: %SystemRoot%\skynetave.exe的病毒键值
3)安全建议
强烈建议用户和管理员封堵住TCP的5554,9995和9996端口以阻止SASSER蠕虫通过TCP进行文件传输。
病毒英文名:Worm.Sasser
病毒类型:蠕虫病毒
病毒传播途径:网络
病毒依赖系统:Windows 2000/XP/2003
变种:Worm.Sasser.b/c, Worm.Sasser.d
未受影响的系统:
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
病毒破坏方式:
在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
1)病毒感染现象
a. 如果您的机器看到Lsass出错,机器运行缓慢、网络堵塞、并让系统不停的进行倒计时重启,表明用户已中“震荡波”病毒。
b. 按Ctrl+Shift+Esc,选择“进程”,在列表中会出现如下的进程:avserve..exe(或avserve2..exe,或skynetave.exe),说明您的机器已经感染震荡波病毒。
c. 鼠标点“开始”→“运行”,键入regedit,在注册表编辑器中打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中有如下键值: "avserve.exe"="% SystemRoot%\avserve.exe"或"skynetave.exe "="%SystemRoot%\skynetave.exe"
(% SystemRoot %是一个变量,表示您的系统目录,病毒会根据具体的机器改变这个值,如”C:\windows\avserve.exe”)。
d. 如果病毒攻击成功,会在系统目录下,产生一个名为avserve.exe(B变种为avserve2.exe) 的病毒文件。
如果您的系统出现了上面的情况之一,您就要提高警惕了,很有可能震荡波(Worm.Sasser)病毒已经光顾了您的机器,请尽快用杀毒软件查杀病毒。
2)清除病毒
1. 专杀工具
瑞星震荡波专杀工具(如果不能打上补丁可以使用这个工具):
http://it.rising.com.cn/service/technology/RS_sasser.htm
(删除方法是打开注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\currentversion\run
把MS4011 Memory Patch 删除)
金山震荡波专用防火墙:
http://www.iduba.net/download/othertools/DB_AntiSasser.rar
金山震荡波专杀工具:
http://download.duba.net/download/othertools/Duba_Sasser.EXE
2. 杀毒软件
升级最新的病毒库和杀毒引擎,清除系统的病毒.
3. 在线杀毒
瑞星在线杀毒
http://online.rising.com.cn/
趋势科技在线杀毒
http://www.trendmicro.com/cn/products/desktop/housecall/evaluate/overview.htm
4. 手工清除
a. 断网打补丁
如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
微软MS04-011补丁下载
NT
Cn: http://download.microsoft.com/download/7/4/0/74078006-abaf-49f4-91e8-25909b23afd3/WindowsNT4Server-KB835732-x86-CHS.EXE
En: http://download.microsoft.com/download/6/d/7/6d7fcda4-1d50-49e7-b4dd-501fa54909c6/WindowsNT4Server-KB835732-x86-ENU.EXE
Win2000
cn:
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
en:
http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
XP
Cn: http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
En:
http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE
Win2003
Cn:
http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE
En:
http://download.microsoft.com/download/4/d/7/4d74d7ae-e1f7-4c0b-b6e3-ed05f5a3c580/WindowsServer2003-KB835732-x86-ENU.EXE
b. 清除内存中的病毒进程
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为avserve*.exe或skynetave.exe的进程,找到后直接将它结束.
c. 删除病毒文件
病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve*.exe或者skynetave.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为*_UP.exe的病毒文件,用户可以查找这些文件,找到后删除.
d. 删除注册表键值
运行regedit进入注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 下删除明为“avserve.exe”,内容为:“%WINDOWS%\avserve.exe”的病毒键值,或者名为"skynetave.exe",内容是: %SystemRoot%\skynetave.exe的病毒键值
3)安全建议
强烈建议用户和管理员封堵住TCP的5554,9995和9996端口以阻止SASSER蠕虫通过TCP进行文件传输。
geopower 2004-07-28
- 打赏
- 举报
你可以暂时在CMD中输入net stop server记得杀完病毒再运行net start server
buzili 2004-07-28
- 打赏
- 举报
用木马克星查杀一下木马
feidaoxiaoli 2004-07-28
- 打赏
- 举报
自己顶一下,现在系统又不行了.
sy1573 2004-07-28
- 打赏
- 举报
本人前段时间也出现过LSASS.EXE文件出错正在倒计时重启
认为是中了震荡波
重启后,下载微软MS04-011补丁,打上后
查杀没有病毒,机子运行几天都没有出现这种问题
不过周末本人由于有事出去,爱机被朋友糟蹋
回家开机,爱机无法进入XP系统,
出现WINXP正在运行,然后就出现黑屏,并重启
这样一直循环着,请问这是不是跟震荡波有关
机子是别人用,现在出现这个问题,我不知道是怎么回事
请大虾帮我分析分析!
认为是中了震荡波
重启后,下载微软MS04-011补丁,打上后
查杀没有病毒,机子运行几天都没有出现这种问题
不过周末本人由于有事出去,爱机被朋友糟蹋
回家开机,爱机无法进入XP系统,
出现WINXP正在运行,然后就出现黑屏,并重启
这样一直循环着,请问这是不是跟震荡波有关
机子是别人用,现在出现这个问题,我不知道是怎么回事
请大虾帮我分析分析!
feidaoxiaoli 2004-07-28
- 打赏
- 举报
jimmyge(偶是一只小小鳥) 谢谢你,上面的那些杀毒软件我都用了。但是检测不到病毒。
在我写帖子的时候又发作了。难道我真的需要重作系统了?
救救我!!!!!!!!
在我写帖子的时候又发作了。难道我真的需要重作系统了?
救救我!!!!!!!!
