※ 引述《Armuro (我黑了真的醜..|||)》之銘言： : 我的電腦首先是不能上網 : 然後重開機後 : 只要進入windows畫面了 : 電腦好似於當機(應該是cpu 100%) : 但是連工作管理員按了都沒有用 : 所以無法確定 : 不知道有沒有其他人也是發生這樣的狀況 : 在重灌前想知道有沒有其他的方法可以解決 : 謝謝 自己回: 我中的是 Worm.Sasser.c 以下是詳細資料發作現像： 　　‧ 使用AbortSystemShutdown API來防止繫統重啟或關機； 　　‧ 它開啟TCP端口5554來建立一個FTP服務器，用來當作感染其他機器的服務器； 　　‧ 通過TCP445端口掃描隨機的IP地址，當連接成功時，被感染的計算機向被連接機器 發動溢出攻 　　　 擊，被攻擊的計算機將會自動連接被感染計算機的5554端口並通過FTP下載蠕蟲的 副本，名稱一 　　　 般為4到5個數字加上"_up"的組合，如(78456_up.exe)； 　　‧ 由於該病毒本身編寫的漏洞存在，它運行一段時間後會導致LSASS.EXE的崩潰，當L SASS.EXE崩 　　　 潰時繫統默認會重啟。 　　‧ 同時開啟1027個線程攻擊； 　　特別說明：和最近出現的大部分蠕蟲病毒不同，該病毒並不通過郵件傳播，而是通過 命令易受感染的機器下載特定文件並運行，來達到感染的目的。 　　文件名為：avserve2.exe 　　其他細節：該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerabil ity (CAN-2003-0907)]，關於該漏洞的更多信息請訪問： http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx 　　該變種是.b變種的源碼重新編譯後，用同樣的加殼工具加殼。 　繫統修改：（點擊查看詳情） A、拷貝自身到： %Windir%\avserve2.exe 在注冊表主鍵： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加如下鍵值: "avserve2.exe" = %SystemRoot%\avserve2.exe B、拷貝其本身至繫統目錄： %System%\<5位隨機數字>_up.exe C、在C盤根目錄創建以下文件： C:\win.log(該文件用以記錄本地主機的IP地址) 　解決方案: 　　‧ 請使用金山毒霸2004年05月02日的病毒庫可完全處理該病毒； 　　‧ 手工解決方案 　 　　　 首先，若繫統為WinMe，則請先關閉繫統還原功能； 　　　 （毒霸論壇：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“繫統還 原”功能） 　 步驟一，使用進程序管裡器結束病毒進程 　　右鍵單擊任務欄，彈出菜單，選擇“任務管理器”，調出“Windows任務管理器”窗口 。在任務 　　管理器中，單擊“進程”標簽，在例表欄內找到病毒進程“avserve2.exe”，單擊“ 結束進程 　　按鈕”，點擊“是”，結束病毒進程，然後關閉“Windows任務管理器”； 　　步驟二，查找並刪除病毒程序 　　通過“我的電腦”或“資源管理器”進入繫統目錄（Winnt或windows)，找到文件 　　"avserve2.exe"，將它刪除;然後進入繫統目錄(Winnt\system32或windows\system32) ，找到文 　　件"*_up.exe", 將它們刪除； 　　步驟三，清除病毒在注冊表裡添加的項 　　打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter； 　　在左邊的面板中, 雙擊（按箭頭順序查找，找到後雙擊）： 　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 　　在右邊的面板中, 找到並刪除如下項目： 　　"avserve2.exe" = %SystemRoot%\avserve2.exe 　　關閉注冊表編輯器. -- ○ //\ 冷 |\ 東西掉了趕快撿起來~ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.113.139.180