W32.Sasser.Worm (2004.04.30之新病毒)


http://www.symantec.com/avcenter/ve...asser.worm.html
受影響的系統：Windows 2000, Windows Server 2003, Windows XP
因為沒有安裝 MS04-011 (835732) 安全性更新
http://www.microsoft.com/taiwan/sec...ns/ms04-011.asp
賽門鐵克提供解法之中文翻譯：
一、終止處理程序
a. 按三個按鍵 Ctrl + Shift + Esc 呼叫出工作管理員
b. 點選 「處理程序」那頁
c. 找到有關 avserve.exe 或 ?????_up.exe 或 ????_up.exe 的名稱
並且 結束處理程序
註：????? 為數字 (例如：74354_up.exe 就是該結束的處理程序)
d. 結束完上面所敘述之相關處理程序後，請關閉工作管理員
二、關閉系統還原
http://home.kimo.com.tw/derrick2100...rus/restore.htm
三、更新病毒碼 (可參考第五、第六點)
http://home.kimo.com.tw/derrick21002001/
四、全系統掃描並且刪除中毒的檔案
五、修改登錄檔
a. 開始→執行→輸入 regedit →確定
b. 找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
c. 刪除這個值
"avserve.exe"="%Windir%\avserve.exe"
<<註：若有看到值與中毒的檔案有關，也一併刪除之>>
d. 關閉登錄編輯器
六、設密碼
http://home.kimo.com.tw/derrick21002001/virus/psw.htm
windows update 全部 (用ie 開) 要重複檢查直到完全沒有更新為止
http://windowsupdate.microsoft.com/
註：可以先修補此漏洞，再windows update 即可.
winxp --> (檔案大小：2643KB) 網址兩行，請自行連結
http://download.microsoft.com/download/0/a/4/
0a40ba82-b722-45b7-948e-1bdf201be1ec/WindowsXP-KB835732-x86-CHT.EXE
win2000 --> (檔案大小：6721KB) 網址兩行，請自行連結
http://download.microsoft.com/download/5/8/c/
58c32cf2-13a2-4306-9fe7-7c1487f059ee/Windows2000-KB835732-x86-CHT.EXE
其他可能會遇到的問題：
問題：不能更新病毒碼？！
解法：一、開始→執行→輸入 notepad →確定
二、開啟 hosts 檔案
a. for winxp user
開啟檔案 C:\WINDOWS\system32\drivers\etc\hosts
b. for win2000 user
開啟檔案 C:\WINNT\system32\drivers\etc\hosts
三、刪除被封鎖之網址
用notepad (記事本)開啟後
找到 127.0.0.1 localhost (這行不要刪)
把以下的資料全部刪除
四、儲存並關閉檔案後，就可以連上防毒軟體的網站更新病毒碼了。