如何彻底清除“冲击波”的变种蠕虫？

冲击波病毒感染症状 1、莫名其妙地死机或重新启动计算机； 2、IE浏览器不能正常地打开链接； 3、不能复制粘贴； 4、有时出现应用程序，比如Word异常； 5、网络变慢； 6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！ 7.SVCHOST.EXE产生错误会被WINDOWS关闭，您需要重新启动程序 8、在WINNT\\SYSTEM32\\WINS\\下有DLLhost.exe和svchost.exe 检测你的计算机是否被"冲击波杀手"病毒感染： 1)检查系统的system32\\Wins目录下是否存在DLLHOST.EXE文件（大小为20K）和SVCHOST.EXE文件,（注意：系统目录里也有一个DLLHOST.EXE文件，但它是正常文件，大小只有8KB左右）如果存在这两个文件说明你的计算机已经感染了"冲击波杀手"病毒； 2) 在任务管理器中查看是否有三个或三个以上DLLHOST.EXE的进程，如果有此进程说明你的计算机已经感染了此病毒。 解决方法： 第一步：终止恶意程序 打开Windows任务管理器，按CTRL+ALT+DELETE然后单击进程选项卡 ，在运行的程序清单中*, 查找如下进程:MSBLAST.EXE DLLhost.exe和svchost.exe 选择恶意程序进程，然后按“终止任务”或是“中止进程”按钮。 为确认恶意程序进程是否中止，请关闭任务管理器并再次打开看进程是否已经终止。 第二步：删除注册表中的自启动项目 删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行 注册表管理器 ， HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 在右边的列表中查找并删除以下项目 Windows auto update" = MSBLAST.EXE DLLhost.exe和svchost.exe 重启系统 第三步：安装微软提供的冲击波补丁 Microsoft Security Bulletin MS03-026 点这里下载Win2000简体中文版冲击波补丁 点这里下载WinXP简体中文版冲击波补丁 点这里下载Win2000英文版冲击波补丁 点这里下载WinXP英文版冲击波补丁 装WIN2000系统的机器不论是服务器版还是个人版的都要顺序打上从SP2到Sp4 更改计算机系统时间到2004年后，重启计算机。这时病毒将自动清除自己，检查一下是否还有病毒； 瑞星专杀“冲击波”专杀工具 点击这里下载瑞星冲击波专杀工具1.9 点击这里下载金山毒霸冲击波专杀工具1.9 ___________________________________________________________________ 我怎么知道我是不是已经打上了这个补丁？ 根据微软的定义，这个安全修补程序的代号为kb823980，我们要检查的就是这一项。 打开注册表编辑器。不知道怎么打开？在开始菜单上执行“运行”命令，输入“regedit"(不要引号)。 在注册表编辑器的窗口里又分左右两个窗格，我们先看左窗格。这个东西和资源管理器是非常相像的，只不过它有一些类似HKEY_。。。这样的条目，我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了，就不罗索了)。 展开这一条，找到里面的SOFTWARE，然后再展开，找到Microsoft，依次分别： 1、对于WindowsNT4.0： 找到 Updates，Windows NT， SP6，看看里面有没有kb823980 2、对于Windows2000： 找到 Updates，Windows 2000，SP5，看看里面有没有kb823980 3、对于WindowsXP： 找到 Updates，Windows XP， SP1，看看里面有没有kb823980 4、对于WindowsXP SP1：找到 Updates，Windows XP， SP2，看看里面有没有kb823980,如果找到，那就说明已经打上补丁了。如果没有，那就只有再来一次啦。 -------------------------------------------------------------------------------- -- 作者：白鲨笑江湖 -- 发布时间：2004-9-1 17:58:48 -- “震荡波”病毒 根据分析，“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。 “震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。 瑞星反病毒专家介绍，该病毒会通过ftp 的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在c:\\windows目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。 “震荡波”病毒会随机扫描ip地址，对存在有漏洞的计算机进行攻击，并会打开ftp的5554端口,用来上传病毒文件，该病毒还会在注册表hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run中建立："avserve.exe"=%windows%\\avserve.exe的病毒键值进行自启动。 该病毒会使“安全认证子系统”进程━━lsass.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。 ---------------------------------- 主要症状： 1、出现系统错误对话框 被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。 2、系统日志中出现相应记录 如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如下图所示的日志记录，则证明已经中毒。 3、系统资源被大量占用 病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。 4、内存中出现名为 avserve 的进程 病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。 5、系统目录中出现名为 avserve.exe 的病毒文件 病毒如果攻击成功，会在系统安装目录（默认为 C:\\WINNT ）下产生一个名为avserve.exe 的病毒文件。 6、注册表中出现病毒键值 病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 项中建立病毒键值： "avserve.exe "="%WINDOWS%\\avserve.exe " 。 --------------------------------- 如何防范“震荡波” 首先，用户必须迅速下载微软补丁程序，对于该病毒的防范，。 点这里下载微软补丁 金山或者瑞星用户迅速升级杀毒软件到最新版本，然后打开个人防火墙，将安全等级设置为中、高级，封堵病毒对该端口的攻击。 非金山或者瑞星用户迅速下载免费的专杀工具： 点这里下载 如果用户已经被该病毒感染，首先应该立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录c:\\windows目录下产生名为avserve.exe的病毒文件，将其删除。 点这里下载2000补丁程序 点这里下载xp补丁程序 ------------------------- “震荡波”病毒解决其他： A、请升级毒霸到5月1日的病毒库可完全处理该病毒； B、请到以下网址即时升级您的操作系统，免受攻击 点这里下载 C、请打开个人防火墙屏蔽端口：5554和1068，防止名为avserve.exe的程序访问网络 D、如果已经中招，请下载专杀工具进行杀毒处理，点这里下载；或者采用手工方式解决： 对于系统是Windows9x/WinMe： 步骤一，删除病毒主程序 请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为 C:\\windows），分别输入以下命令，以便删除病毒程序： C:\\windows\\system32\\>del *_up.exe C:\\windows\\system32\\>cd.. C:\\windows\\>del avserve.exe 完毕后，取出系统软盘，重新引导到Windows系统。 如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。 步骤二，清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter； 在左边的面板中, 双击（按箭头顺序查找，找到后双击）： HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 在右边的面板中, 找到并删除如下项目： "avserve.exe" = %SystemRoot%\\avserve.exe 关闭注册表编辑器. 对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever： 步骤一，使用进程序管里器结束病毒进程 右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”； 步骤二，查找并删除病毒程序 通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt或windows)，找到文件“avserve.exe”，将它删除;然后进入系统目录(Winnt\\system32或windows\\system32)，找到文件"*_up.exe", 将它们删除； 步骤三，清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter； 在左边的面板中, 双击（按箭头顺序查找，找到后双击）： HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 在右边的面板中, 找到并删除如下项目： "avserve.exe" = %SystemRoot%\\avserve.exe 关闭注册表编辑器. -------------------------------------------------------------------------------- -- 作者：白鲨笑江湖 -- 发布时间：2004-9-1 17:59:55 -- 反病毒监测网国内率先截获了在网络中疯狂传播的“高波”病毒最新变种：“高波变种3T”（Worm.Agobot.3.T）。该蠕虫病毒不但利用了“冲击波”曾利用过的RPC漏洞，还使用了另外几个不为常知的漏洞，对局域网中的计算机进行多种攻击，破坏性要比“冲击波”病毒更为厉害。 据反病毒工程师介绍说，该病毒变种极多，目前已经有几十个病毒变种，但该变种是最厉害的一个，病毒运行时会扫描网络,对存在漏洞的计算机进行攻击，攻击成功后病毒还会利用大型密码字典来猜测计算机中密码，感染局域网，导致整个局域网络瘫痪。 据分析，该病毒发作时会对用户计算机带来以下影响：无法正常使用OFFICE软件，无法进行复制、粘贴，注册表无法使用，系统文件无法正常显示，CPU占用率达到100%、使用户计算机反应速度变慢。如果用户发现自己的计算机出现以上现象，则很有可能是中了该病毒，这时应该立刻断网、打补丁、杀毒，消除病毒造成的破坏。 病毒名称: Hack.Agobot3.aw 中文名称: 安哥[金山] 威胁级别: 3A 病毒别名:“高波变种3T”(Worm.Agobot.3.t) [瑞星] Backdoor.Agobot.03.aw [AVP] 病毒类型: 黑客、蠕虫 受影响系统: WinNT/Win2K/WinXP/Win2003 该病毒兼具黑客和蠕虫的功能，利用IRC软件开启后门，等待黑客控制。使用RPC漏洞和WebDAV漏洞进行高速传播。猜测弱口令重点攻击局域网，造成局域网瘫痪。 金山毒霸已于11月27日进行了应急处理，并在当天升级了病毒库。升级到11月27日的病毒库可完全处理该病毒及其变种。 技术细节 1、利用利用RPC DCOM漏洞和WebDAV漏洞在网络中高速传播； 2、使用内部包含的超大型“密码表”猜口令的方式攻击局域网中的计算机，感染整个局域网，造成网络瘫痪； 3、系统修改: A.将自身复制为%System%\\scvhost.exe. B.在注册表的主键: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 中添加如下键值: "servicehost"="Scvhost.exe" C.在注册表的主键: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicces 中添加如下键值: "servicehost"="Scvhost.exe" 4、中止许多知名反病毒软件和网络安全软件； 5、利用IRC软件开启后门； 6、试图偷取被感染计算机内的正版软件序列号等重要信息； 7、该病毒可造成计算机不稳定，出现计算机运行速度和网络传输速度极剧下降，复制、粘贴等系统功能不可用，OFFICE和IE浏览器软件异常等现象。 解决方案 A、升级杀毒软件或下载“安哥”专杀工具 点击这里下载瑞星高波专杀工具1.9 点击这里下载毒霸高波专杀工具 B、为系统打上MS03-026 RPC DCOM漏洞补丁(823980) 和MS03-007 WebDAV漏洞补丁(815021)，并为系统管理员帐号设置一个更为强壮的密码。 MS03-026 RPC DCOM漏洞补丁(823980)下载地址 MS03-007 WebDAV漏洞补丁(815021）下载地址 C、手工清除 打开进程管理器，找到名为"scvhost.exe"的进程，并将其结束；在注册表中的项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 下删除如下键值: "servicehost"="Scvhost.exe" 在注册表中的项: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices 下删除如下键值: "servicehost"="Scvhost.exe" 删除以下文件： %System%\\scvhost.exe 专家提醒： 1、请及时升级您的杀毒软件到最新。因为病毒随时在产生， 2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害； 3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会， http://www.shineblog.com/user1/3584/archives/2004/99146.shtml参考资料：http://www.bt2005.com/33/2861.asp