如何快速識別(Worm.Sasser)病毒 http://uniorg.net/viewthread.php?tid=13189&fpage=1#pid64258 內容出處 有問題的話 可至討論版詢問... 5月1日驚現互聯網的“(Worm.Sasser)”病毒來勢??，該病毒是通過微軟的最新高危漏 洞 —LSASS 漏洞(微軟MS04-011 公告)進行傳播的，危害性極大，目前 WINDOWS 2000/ XP/Server 2003 等作業系統的用戶都存在該漏洞，這些作業系統的用戶只要一上網， 就有可能受到該病毒的攻擊。下面就教用戶如何快速識別“(Worm.Sasser)”病毒。 如果用戶的電腦中出現下列現象之一，則表明已經中毒，就應該立刻采取措施清除該病毒 。 一、出現系統錯誤對話方塊 　　被攻擊的用戶，如果病毒攻擊失敗，則用戶的電腦會出現 LSA Shell 服務异常框， 接著出現一分鐘後重?電腦的“系統關機”框。 二、系統日志中出現相應記錄 　　如果用戶無法確定自己的電腦是否出現過上述的异常框或系統重?提示，還可以通過 查看系統日志的辦法確定是否中毒。方法是，運行事件查看器程式，查看其中系統 日志，如果出現如下圖所示的日志記錄，則證明已經中毒。 三、系統資源被大量占用 　　病毒如果攻擊成功，則會占用大量系統資源，使CPU占用率達到100%，出現電腦運行 异常緩慢的現象。 四、記憶體中出現名? avserve 的進程 　　病毒如果攻擊成功，會在記憶體中?生名? avserve.exe 的進程，用戶可以用 Ctrl+Shift+Esc 的方式調用“任務管理器”，然後查看是記憶體裏是否存在上述 病毒進程。 五、系統目錄中出現名? avserve.exe 的病毒文件 　　病毒如果攻擊成功，會在系統安裝目錄（默認? C:\WINNT ）下?生一個名? avserve.exe 的病毒文件。 　 六、注?表中出現病毒鍵值 　　病毒如果攻擊成功，會在注?表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 項中建立病毒鍵值： "avserve.exe "="%WINDOWS%\ avserve.exe " 。 金山清除程式 http://download.duba.net/download/othertools/Duba_Sasser.EXE 瑞星清除程式 http://download.rising.com.cn/zsgj/RavSasser.exe Symantec清除程式 http://securityresponse.symantec.com/avcenter/FxSasser.exe -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 163.23.5.222