哈~我找到了~確是你中毒了~
應該是“震蕩波”病毒,這玩意思風險很高喔~
“震蕩波”病毒及變種的技術報告
記者從國家計算機病毒應急處理中心了解到,"震蕩波"(Worm_Sasser.A)病毒在5月1日出現後,在接下來的兩天相繼出現了它的兩個變種Worm_Sasser.B和Worm_Sasser.C,變種C只在變種B的基礎上作了輕微改動。這兩個變種在傳播機理上與"震蕩波"相同,
同樣是利用Windows LSASS的一個已知漏洞(MS04-011)。這個緩衝溢出漏洞的後果,是使遠程攻擊者完全控制被感染系統。
病毒透過在已被感染的機器上開啟TCP端口5554建立FTP伺服器,並透過TCP445端口掃描隨機的IP,向連接成功的機器發動攻擊,進一步感染其他機器。受感染的系統可能會出現倒計時對話方塊,頻繁重新啟動,系統運行速度明顯減慢或死機,上網只能持續很短時間就無法瀏覽甚至斷網等現象。
國家計算機病毒應急處理中心提醒廣大用戶,下載補丁程式,修補漏洞,升級殺毒軟體,啟動"實時監控"功能,抵禦病毒入侵。
"震蕩波"(Worm_Sasser.A)病毒及其變種Worm_Sasser.B的技術報告如下。
病毒名稱:"震蕩波"病毒(Worm_Sasser.A)
感染系統:WinNT/Win2000/WinXP/Win2003
病毒特徵:
1、生成病毒文件
病毒運行後,在%Windows%目錄下生成自身的拷貝,名稱為avserve.exe,文件長度為15872字節,和在%System%目錄下生成其他病毒文件
例如: c:\win.log:IP地址列表 c:\WINNT\avserve.exe:蠕蟲病毒文件本身 c:\WINNT\system32\11113_up.exe:可能生成的蠕蟲文件本身 c:\WINNT\system32\16843_up.exe:可能生成的蠕蟲文件本身
2、修改註冊表項
病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,在HKEY_LOCA L_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下創建"avserve"=c:\WINNT\avserve.exe
3、透過系統漏洞主動進行傳播
病毒主動進行掃描,當發現網路中存在微軟SSL安全漏洞時,進行攻擊,然後在受攻擊的系統中生成名為cmd.ftp的ftp腳本程式,透過TCP端口5554下載蠕蟲病毒。
4、危害性
受感染的系統可能死機或者造成重新啟動,同時由於病毒掃描A 類或B類子網地址,目標端口是TCP445會對網路性能有一定影響,尤其局域網可能造成癱瘓。並可以在TCP 9996端口創建遠程Shell。該病毒在傳播和破壞形式上與"衝擊波"病毒相類似。
清除該病毒的相關建議:
1、安全模式啟動
重新啟動系統同時按下按F8鍵,進入系統安全模式
2、註冊表的恢復
點擊"開始--〉運行",輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的"avserve"="c:\winnt\avserve.exe"
3、刪除病毒釋放的文件
點擊"開始--〉查找--〉文件和文件夾",查找文件"avserve.exe"和"*_up.exe",並將找到的文件刪除。
4、安裝系統補丁程式
到以下微軟網站下載安裝補丁程式:
http://www.microsoft.com/technet/se...n/MS04-011.mspx 或者在IE瀏覽器的工具->Windows Update升級系統。
5、重新配置防火牆
重新配置邊界防火牆或個人防火牆關閉TCP端口5554和9996 。
病毒名稱:"震蕩波"變種B(Worm_Sasser.B)
感染系統:WinNT/Win2000/WinXP/Win2003
病毒特徵:
1、生成病毒文件
病毒運行後,在%Windows%目錄下生成自身的拷貝,名稱為avserve2.exe,文件長度為15872字節,和在%System%目錄下生成其他病毒文件
2、修改註冊表項
病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下創建"avserve2.exe"= %SystemRoot%\avserve2.exe
3、透過系統漏洞主動進行傳播
病毒透過在已被感染的機器上開啟TCP端口5554建立一個FTP伺服器(機器A),用來作為感染其他機器的伺服器。並透過TCP445端口掃描隨機的IP,當發現存在漏洞的系統連接成功時,被感染的計算機(機器A)向連接成功的機器(機器B)發動攻擊,被攻擊的計算機(機器B)將會自動連接已被感染計算機(機器A)的5554端口並透過FTP下載蠕蟲的拷貝,名稱為"*_up.exe",其中*為4到5個數位的組合,如"11223_up.exe"。
由於該病毒本身編寫的漏洞存在,它運行一段時間後會導致LSASS.EXE的崩潰,當LSASS.EXE崩潰時系統默認會重啟。
4、危害性
受感染的系統可能會出現倒計時對話方塊,頻繁重新啟動,系統運行速度明顯減慢或死機,上網只能持續很短時間就無法瀏覽甚至斷網等現象。病毒掃描IP地址,目標端口為TCP 445會對網路性能有一定影響,尤其局域網可能造成網路癱瘓。
清除該病毒的相關建議:
1、安全模式啟動
重新啟動系統同時按下按F8鍵,進入系統安全模式
2、註冊表的恢復
點擊"開始--〉運行",輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除右側面板中的"avserve2.exe" = %SystemRoot%\avserve2.exe
3、刪除病毒釋放的文件
點擊"開始--〉查找--〉文件和文件夾",查找文件"avserve2.exe"和"*_up.exe",並將找到的文件刪除。
4、安裝系統補丁程式
到以下微軟網站下載安裝補丁程式:
http://www.microsoft.com/technet/se...n/MS04-011.mspx 或者在IE瀏覽器的工具->Windows Update升級系統。
5、重新配置防火牆
重新配置邊界防火牆或個人防火牆,關閉TCP端口5554和9996。(完)
懷疑自己中了病毒,每次開機不多久就有會lsass.exe程式關閉,倒數60秒關機?
如果只要連上網路就會有60秒關機,那表示你中了很有名的殺手病毒,因為他會將你的網路程式lsass.exe關閉
步驟 3:自動檢查及移除 Sasser
您可以使用此項工具來搜尋硬碟看看是否有 Sasser.A、Sasser.B、Sasser.C、Sasser.D、Sasser.E 和 Sasser.F,並嘗試加以移除。若要這麼做,按一下 [檢查我的電腦是否受到感染]。
如果你已經中毒了,應該如何解決 ----------------------------------------(解決方式3)
1. 啟用防火牆(有助於爭取時間),如果來不及啟用就關機,那先把網路線拔除然後再啟用用防火牆
2. 安裝必要的更新MS04-011(windows update 可以更新)
3. 先關閉「系統還原」(Windows Me/XP),因怕你解好又還原呈病毒狀態
4. 至
http://www.microsoft.com/downloads/...&displaylang=en
5. 下載清除程式執行清除
6. 可至
http://www.microsoft.com/taiwan/sec...dent/sasser.asp 檢查相關步驟
7. 也可至NORTON網站
http://www.symantec.com.tw/avcenter...moval.tool.html 下載清除程式
如果移除了還是沒有改進,那可能你沒有解完全或是中了其他的惡意程式,請參考其他可能符合的標題