Windows XP 用户:计算机感染震荡波 (Sasser) 蠕虫时应采取的措施(转载)

转载 2004年10月27日 16:04:00

发布日期:2004 年 5 月 4 日


立即将本页面打印出来,为您自己提供相关说明(如果您的计算机持续关机),或者用来帮助您的朋友。

如果您使用的是 Microsoft? Windows? XP 或 Windows XP Service Pack 1 (SP1) 并且您的计算机感染了震荡波蠕虫病毒,则可以采取这些措施来更新您的软件、移除蠕虫病毒并使您免于以后再被感染。

第 1 步:断开 Internet 连接
为了避免出现更多问题,请断开 Internet 连接:

宽带连接用户: 确定连接外置 DSL 或电缆调制解调器的电缆位置,然后从调制解调器或电话线插孔将该电缆拔下。
拨号连接用户:确定连接计算机内置调制解调器与电话线插孔的电缆位置,然后从电话线插孔或从计算机将该电缆拔下。

第 2 步:终止关机周期
此蠕虫会导致 LSASS.EXE 停止响应,此程序使操作系统在 60 秒钟后强行关机。 如果您的计算机开始关机,请按照这些步骤中断可能处于运行状态的任意系统关机进程。

在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下,键入“shutdown.exe -a”,然后按 ENTER。
第 3 步:减轻漏洞隐患
您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。

创建日志文件

在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下键入“ echo dcpromo >%systemroot%/debug/dcpromo.log ”,然后按 ENTER。
将日志文件设置为只读属性

在命令提示符下键入“attrib +R %systemroot%/debug/dcpromo.log”,然后按 ENTER。
第 4 步:改善系统性能
如果您的计算机反应迟缓或者 Internet 连接速度过慢,则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能:

按 CTRL+ALT+DELETE,然后单击“任务管理器”。
对于以下可能列出的每个任务,单击并选中该任务,然后单击“结束任务”按钮,将其结束。
任意以_up.exe 结尾的任务(例如 12345_up.exe)。
任意以avserve 开头的任务(例如 avserve.exe)。
任意以avserve2 开头的任务(例如 avserve2.exe)。
任意以skynetave 开头的任务(例如 skynetave.exe)。
hkey.exe
msiwin84.exe
wmiprvsw.exe

注意:切勿结束 wmiprvse.exe 任务;这是一个合法的系统任务。

第 5 步:启用防火墙
防火墙是一个软件或硬件,能够在计算机和 Internet 之间构筑一道保护屏障。 如果您的计算机已感染病毒,防火墙将有助于限制蠕虫的影响。 Windows XP 包含 Internet 连接防火墙 (ICF)。 要打开 ICF:

在屏幕底部的任务栏上单击“开始”,然后单击“控制面板”。
单击“网络与 Internet 连接”。
(如果未显示“网络与 Internet 连接”,请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。)
单击“网络连接”。
右键单击用于连接至 Internet 的拨号、LAN 或高速 Internet 连接 ,然后单击快捷菜单中的“属性”。
在“Internet 连接防火墙”的“高级”选项卡上,选择“保护我的计算机和网络”,然后单击“确定”。 现在,您便已开始启用 Windows XP 防火墙。
第 6 步:重新连接 Internet
将电缆(参阅第 1 步)重新接回计算机、电话线插孔或调制解调器。

第 7 步:安装所需的更新
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请转到 http://go.microsoft.com/?LinkID=526067

第 8 步:检查并移除震荡波蠕虫
在完成安装更新并重新启动计算机后,转到网页 http://www.microsoft.com/china/security/incident/sasser.asp 上的“What You Should Know About the Sasser Worm and Its Variants”(对于震荡波蠕虫及其变体您应该了解的信息)。 使用震荡波蠕虫移除工具搜索您的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。

关于 Internet 连接防火墙
Windows XP Internet 连接防火墙能够屏蔽有用的任务,如通过网络共享文件或打印机,在应用程序中传输文件或多人联机游戏等。 虽然如此,Microsoft 建议您使用防火墙来保护您的计算机。

如果您打开了 Internet 连接防火墙,但发现您无法执行某些需要执行的任务,请阅读 http://www.microsoft.com/china/security/protect/ports.asp 上的“How to Open Ports in the Windows XP Internet Connection Firewall”(如何打开 Windows XP Internet 连接防火墙中的端口)。

如果您有多台计算机、需要更多技术信息或希望了解更多有关防火墙的信息,请阅读 http://www.microsoft.com/china/security/protect/firewall.asp 上的“Frequently Asked Questions About Firewalls”(有关防火墙的常见问题解答)。
Windows 2000 用户:计算机感染震荡波 (Sasser) 蠕虫时应采取的措施
发布日期:2004 年 5 月 7 日

立即将本页面打印出来,为您自己提供相关说明(如果您的计算机持续关机),或者用来帮助您的朋友。

如果您使用的是 Microsoft? Windows 2000 Service Pack 2 (SP2)、Windows 2000 SP3 或 Windows 2000 SP4 并且您的计算机感染了震荡波蠕虫病毒,则可以采取这些措施来更新您的软件、移除蠕虫病毒并使您免于以后再被感染。

第 1 步:断开 Internet 连接
为了避免出现更多问题,请断开 Internet 连接:

宽带连接用户: 确定连接外置 DSL 或电缆调制解调器的电缆位置,然后从调制解调器或电话线插孔将该电缆拔下。
拨号连接用户:确定连接计算机内置调制解调器与电话线插孔的电缆位置,然后从电话线插孔或从计算机将该电缆拔下。

第 2 步:减轻漏洞隐患
您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。

创建日志文件

在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下键入“ echo dcpromo >%systemroot%/debug/dcpromo.log ”,然后按 ENTER。
将日志文件设置为只读属性

在命令提示符下键入“attrib +R %systemroot%/debug/dcpromo.log”,然后按 ENTER。
第 3 步:改善系统性能
如果您的计算机反应迟缓或者 Internet 连接速度过慢,则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能:

按 CTRL+ALT+DELETE,然后单击“任务管理器”。
对于以下可能列出的每个任务,单击并选中该任务,然后单击“结束任务”按钮,将其结束。
任意以_up.exe 结尾的任务(例如 12345_up.exe)。
任意以avserve 开头的任务(例如 avserve.exe)。
任意以avserve2 开头的任务(例如 avserve2.exe)。
任意以skynetave 开头的任务(例如 skynetave.exe)。
hkey.exe
msiwin84.exe
wmiprvsw.exe

注意:切勿结束 wmiprvse.exe 任务;这是一个合法的系统任

第 4 步:启用防火墙
防火墙是一个软件或硬件,能够在计算机和 Internet 之间构筑一道保护屏障。 Microsoft 并不制造独立于操作系统之外的软件防火墙。 以下资源提供了有关一些防火墙选项的详细信息。

硬件防火墙
硬件防火墙是 Windows XP 之前的 Windows 操作系统版本的理想选择。 有些家庭网络硬件,如无线接入点和宽带路由器等,都附带了嵌入式的硬件防火墙。 这些防火墙有助于保护大多数的家庭网络。

软件防火墙
Microsoft 强烈建议所有用户,在连接 Internet 之前,务必获得并安装防火墙。 不过,我们也意识到,有些用户会发现,下载软件是他们唯一的选择。 如果您选择重新连接 Internet 来获得软件防火墙,此处提供了一些选择:

BlackICE PC Protection—节省 25% (http://blackice.iss.net/microsoft.php)
Computer Associates—12 个月免费试用期 (http://www.my-etrust.com/microsoft/)
F-secure—6 个月免费试用期 (http://www.f-secure.com/protectyourpc/)
McAfee Security—节省多达 35% (http://us.mcafee.com/root/campaign.asp?cid=8437)
Panda Software—90 天免费试用期 (http://www.pandasoftware.com/microsoft/)
Symantec/Norton—90 天免费试用期 (http://www.symantecstore.com/dr/v2/ec_dynamic.main?sp=1&pn=46&sid=27674)
Tiny Software: Tiny Personal Firewall (http://www.tinysoftware.com)
ZoneAlarm—节省 20 美元 (http://download.zonelabs.com/bin/promotions/microsoftsecurity/)
第 5 步:重新连接 Internet
将电缆(参阅第 1 步)重新接回计算机、电话线插孔或调制解调器。

第 6 步:安装所需的更新
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请转到http://go.microsoft.com/?LinkID=526386

第 7 步:检查并移除震荡波蠕虫
在完成安装更新并重新启动计算机后,转到网页http://www.microsoft.com/china/security/incident/sasser.asp上的“What You Should Know About the Sasser Worm and Its Variants”(对于震荡波蠕虫及其变体您应该了解的信息)。 使用震荡波蠕虫移除工具搜索您的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。

关于防火墙
要了解更多有关其它公司出品的软件防火墙、硬件防火墙和网络路由器以及选择对应于您计算机的防火墙的信息,请参见 http://www.microsoft.com/security/articles/firewall.asp上的“Why You Should Use a Computer Firewall”(为何您应该使用计算机防火墙)。 如果您有如小型网络等其它配置,或者要了解更多有关防火墙的信息,请阅读 http://www.microsoft.com/china/security/protect/firewall.asp (有关 Internet 防火墙的常见问题解答)。

WannaCry 勒索蠕虫病毒实现过程

概述WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其...
  • wzhqazcscs
  • wzhqazcscs
  • 2017年06月12日 16:31
  • 485

软件项目的需求变更及对策

转自:http://www.uml.org.cn/RequirementProject/201405153.asp [摘 要] 需求分析是软件生命周期中的重要阶段,决定软件项目的成败;需求变...
  • yaoyuan_difang
  • yaoyuan_difang
  • 2014年05月15日 13:17
  • 2243

防钓鱼相关措施

防钓鱼逻辑 2013-03-27 10:52 url: http://wsmajunfeng.iteye.com/blog/1837168 我们的生活越来越离不开互联网了,越来越喜欢网购了。可是在...
  • jackpk
  • jackpk
  • 2015年09月11日 15:18
  • 1111

用人单位应当采取哪些职业病防治管理措施

用人单位应当采取哪些职业病防治管理措施?   (1)设置或者指定职业卫生管理机构或者组织,配备专职或者兼职的职业卫生专业人员,负责本单位的职业病防治工作;   (2)制定职业病防治计划和实施方案;...
  • aqscw888
  • aqscw888
  • 2012年08月02日 15:35
  • 1339

Windows XP SP3也支持多用户远程桌面连接

远程桌面连接的确很方便,但是在Windows XP中只支持单一用户的连接,当第二个用户连接时,第一个用户就被迫断开并回到用户登录界面了,这可和多任务的操作系统理念不符啊,或许微软是为了突出Server...
  • yxwmzouzou
  • yxwmzouzou
  • 2013年10月03日 13:15
  • 2098

感染Nimda蠕虫病毒

如何判定感染Nimda蠕虫病毒 1、感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的  日志文件中含有以下内容  GET   /s...
  • haizezhou
  • haizezhou
  • 2012年12月22日 08:36
  • 388

XP 允许多用户远程连接

 step1:进入安全模式,用2055版termsrv.dll文件(下载地址)替换现有系统的,分别在c:/windows/system32和c:/windows/system32/dllcache,如...
  • i5999
  • i5999
  • 2008年12月12日 15:23
  • 3241

关于感染型病毒ramnit和runner的查杀记事

主要是在测试一些软件的时候不小心中毒的,当时还是拿虚拟机测试软件,但是复制出来的时候中毒了。 记得复制出来的时候,某杀软还提醒了一下,但是没当回事,轻易加白名单了,因为文件中有一个是自己写的...
  • shenmifangke
  • shenmifangke
  • 2015年02月23日 21:57
  • 1935

如何保证服务器的安全?

如何保证服务器安全?笔者之前做一个项目时,思考了这个问题。汽车维修公开信息项目大体上就是一个文档有偿下载打印的资源类信息网站。此类网站的价值就在于资源,所以保证资源的安全性便是重中之重了。笔者认为,最...
  • Lan_Xuan
  • Lan_Xuan
  • 2016年09月17日 17:13
  • 923

如何用Oem Windows XP原版安装光盘对计算机硬盘进行分区?

用Oem Windows XP原版安装光盘全新安装系统,与网络上推出的修改版安装系统有一个最大的的区别,就是没有格式化C盘的选项,这也是一些新手朋友经常遇到的问题。今天,就老话重提,说说如何用Oem ...
  • lushujun2011
  • lushujun2011
  • 2011年09月23日 08:19
  • 1007
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Windows XP 用户:计算机感染震荡波 (Sasser) 蠕虫时应采取的措施(转载)
举报原因:
原因补充:

(最多只允许输入30个字)