[转帖]如何完全清除震荡波(Worm.Sasser)病毒

烟霞雨濛濛

[color=#8B008B]“震荡波(Worm.Sasser)”病毒在网络出现，由于该病毒是通过漏洞进行传播的，因此这几日用户如果上网极有可能会感染该病毒，然后出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象，如果用户出现了上述现象，则需要对该病毒进行清除。
一、手工清除四部曲。
1、断网打补丁。
如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。
2、清除内存中的病毒进程
要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内存中查找名为“avserve.exe”的进程，找到后直接将它结束。
3、删除病毒文件
病毒感染系统时会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户需要到安全模式下或DOS系统下删除这些文件。
4、删除注册表键值
该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器，找到该病毒键值，然后直接删除。
二、自动清除三部曲
1、使用瑞星杀毒软件进行清除
用户可以将瑞星杀毒软件标准版或下载版产品升级到16.24.42版本，并进行系统盘和内存的杀毒。
2、使用瑞星在线杀毒进行清除
用户还可以使用瑞星免费的在线杀毒产品（http://online.rising.com.cn/）查找系统中是否存在病毒，然后用在线杀毒进行清除。
3、使用瑞星免费专杀工具进行清除
用户还可以到http://it.rising.com.cn/service/technology/RS_sasser.htm网址下载免费的“震荡波病毒专杀工具”然后对电脑进行病毒扫描。

烟霞雨濛濛

“震荡波”杀手病毒比拼“冲击波”杀手病毒
2004年05月11日20:49:49　金山毒霸安全资讯网　
　　金山毒霸报道：去年8月“冲击波”病毒（worm.msblast）肆虐不久，就有“冲击波”杀手病毒（worm.killmsblast），打着清除冲击波病毒，修补系统漏洞的旗号疯狂传播。现在“震荡波”病毒自5.1日诞生以来，已经有了5个变种。在震荡波病毒风头正旺时，又有病毒作者冒充清除“震荡波”的名义开始传播。
　　我们比较一下这两个杀手发现他们都有一个共同点，利用他的前辈成功入侵的漏洞再次入侵系统，然后取而代之。
　　“冲击波”杀手病毒攻击成功，首先会清除系统中的msblast病毒，然后尝试为没有修补漏洞的系统自动下载安装补丁程序，但其作者使用的手法极端得近乎疯狂，病毒会开启上百个线程、在PING到有效的IP地址之后就会向该IP发起攻击并传播，所以该病毒传播更有效，速度更快，而且一发作便会消耗尽所有的CPU资源从而导致机器运行缓慢直至系统瘫痪。总之“冲击波克星”给用户造成的危害将是“冲击波”的几倍，而成为去年影响最严重的病毒。
　　“震荡波”病毒杀手，在清除msblast.exe、avserve.exe、avserve2.exe、skynetave.exe的同时，会在系统打开后门，扫描随机IP的TCP 445端口，利用漏洞攻击成功后，则会从留有后门的系统下载病毒程序，从而不断在网内传播。该病毒会在5月18日对irna.com 和 bbcnews.com 两个网站进行拒绝服务攻击（DoS）攻击。
　　以上可以看出，病毒总是以危害系统，破坏网络为目的，杀病毒的病毒利用其前辈成功入侵的通道，只是为了更快速的入侵，从而达到更严重的破坏性。修补系统漏洞、更新反病毒软件是防范此类病毒攻击最有力的手段。