新裝或重裝win7純凈版系統(tǒng)的時候電腦中震蕩波病毒,怎么辦呢?系統(tǒng)還未來的及更新補(bǔ)丁或者安裝殺毒軟件,恐怕就已經(jīng)中招了。html' target='_blank'>Win7系統(tǒng)中了震蕩波病毒會一直無限重啟,這一點(diǎn)和沖擊波病毒有些類似,有什么辦法可以解決此問題呢?閱讀下文教程,我們一起來看下詳細(xì)的解決步驟吧。
震蕩波病毒介紹:
震蕩波(Shockwave)是一種電腦病毒,為I-Worm/Sasser.a 的第三方改造版本,與該病毒以前的版本相同,通過微軟的最新LSASS漏洞進(jìn)行傳播,我們及時提醒廣大用戶及時下載微軟的補(bǔ)丁程序來預(yù)防該病毒的侵害。如果在純DOS環(huán)境下執(zhí)行病毒文件,會顯示出譴責(zé)美國大兵的英文語句。
具體技術(shù)特征如下:
1、感染系統(tǒng)為:Windows 2000、Windows Server 2003、Windows XP、Windows 7 ;
2、利用微軟的漏洞:MS04-011
3、病毒運(yùn)行后,將自身復(fù)制為%WinDir% apatch.exe ;
4、在注冊表啟動項(xiàng):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun
創(chuàng)建:字符串,命名為“napatch.exe”,編輯字符串值為:%WinDir% apatch.exe; 這樣的,病毒在Windows啟動時就得以運(yùn)行;
5、在TCP端口5554建立FTP服務(wù),用以將自身傳播給其他計(jì)算機(jī);
6、隨機(jī)在網(wǎng)絡(luò)上搜索機(jī)器,向遠(yuǎn)程計(jì)算機(jī)的445端口發(fā)送包含后門程序的非法數(shù)據(jù),遠(yuǎn)程計(jì)算機(jī)如果存在MS04-011漏洞,將會自動運(yùn)行后門程序,打開后門端口9996。病毒利用后門端口9996,使得遠(yuǎn)程計(jì)算機(jī)連接病毒打開的FTP端口5554,下載病毒體并運(yùn)行,從而遭到感染;
7、病毒還會利用漏洞攻擊LSASS.EXE進(jìn)程,被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會癱瘓,Windows系統(tǒng)將會有1分鐘倒計(jì)時關(guān)閉的提示;
8、病毒在C:win32.log中記錄其感染的計(jì)算機(jī)數(shù)目和IP地址。
如何防范震蕩波病毒
首先,用戶必須迅速下載微軟補(bǔ)丁程序,作為對于該病毒的防范。
如何處理震蕩波:
一、第三方工具殺毒
金山或者瑞星用戶迅速升級殺毒軟件到最新版本,然后打開個人防火墻,將安全等級設(shè)置為中、高級,封堵病毒對該端口的攻擊。非金山或者瑞星和360用戶迅速下載專殺工具。
如果用戶已經(jīng)被該病毒感染,首先應(yīng)該立刻斷網(wǎng),手工刪除該病毒文件,然后上網(wǎng)下載補(bǔ)丁程序,并升級殺毒軟件或者下載專殺工具。手工刪除方法:查找C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件,將其刪除。
二、手工清理震蕩波
1、斷網(wǎng)打補(bǔ)丁
如果不給系統(tǒng)打上相應(yīng)的漏洞補(bǔ)丁,則連網(wǎng)后依然會遭受到該病毒的攻擊,用戶應(yīng)該先到微軟網(wǎng)站下載相應(yīng)的漏洞補(bǔ)丁程序 ,然后斷開網(wǎng)絡(luò),運(yùn)行補(bǔ)丁程序,當(dāng)補(bǔ)丁安裝完成后再上網(wǎng)。
2、清除內(nèi)存中的病毒進(jìn)程
要想徹底清除該病毒,應(yīng)該先清除內(nèi)存中的病毒進(jìn)程,用戶可以按CTRL+SHIFT+ESC三鍵或者右鍵單擊任務(wù)欄,在彈出菜單中選擇“任務(wù)管理器”打開任務(wù)管理器界面,然后在內(nèi)存中查找名為“avserve.exe”的進(jìn)程,找到后直接將它結(jié)束。
3、刪除病毒文件
病毒感染系統(tǒng)時會在系統(tǒng)安裝目錄(默認(rèn)為C:WINNT)下產(chǎn)生一個名為avserve.exe的病毒文件,并在系統(tǒng)目錄下(默認(rèn)為C:WINNTSystem32)生成一些名為《隨機(jī)字符串》_UP.exe的病毒文件,用戶可以查找這些文件,找到后刪除,如果系統(tǒng)提示刪除文件失敗,則用戶需要到安全模式下或DOS系統(tǒng)下刪除這些文件。
4、刪除注冊表鍵值
