张子枫林妙可:震荡波怎么在注册表里手动删除？

现在已经证实，对于许多用户来说震荡波（Sasser）确实是一个问题，并且现在它已经是第六
代或者第七代变异了。很幸运的是，他们都可以使用相同的方法来删除。本文将教你如何通过手工
删除、如何通过工具删除并且如何防止它重新感染。
Sasser是一种拒绝服务攻击，除了XP的64位版本外，它威胁到Windows 2000以及Windows XP的所
有版本。这些Windows系统都有一个众所周知的漏洞SASS，一个在本地安全授权系统服务中的缓冲
区溢出。然而只有Windows 2000和XP操作系统容易受到震荡波的攻击，老版本的Windows系统可以运行震荡波，但是系统不会感染，除非你专门将蠕虫代码加载到PC上。

目前的形势
虽然德国警方很抓住了制造和传播震荡波蠕虫的人，但是这种传染本身仍然继续在造成巨大的破坏，因为它甚至感染无人注意的系统，而且它将继续反复感染系统，直到系统将潜在的漏洞打上补丁。然而，这是一种很大的挑战，因为被感染的系统将不停地重新启动，使得被感染的机器不可能下载补丁或浏览网页来寻找相应的解决方案。
除了在适当的位置有一个正确配置的防火墙（阻塞TCP端口445，5554，以及9996）外，使用在微软安全公告MS04-011中提供的补丁是保护系统免于再次感染的唯一方法。
有这么多的系统仍然存在漏洞的原因在于：许多用户在安装补丁时没有好的经验。微软的知识库
文章835732包含了关于这个补丁的已知问题，包括由于系统处理行为而造成的一些Windows 2000系

统的完全关闭，以及在系统打补丁之后使得一些用户无法登录到Windows系统。在已经打补丁的W2K

系统上的Oracle也有问题。对于已经打补丁的XP系统来说，唯一重大的问题是无法查看那些使用

Adobe Illustrator创建的一些图形文件。

准备工作

删除震荡波的工作是一个需要多步操作才能实现的过程，第一个问题是如何停止不断自动重新启

动的计算机，使其能够有足够长的时间来下载补丁和/或者下载删除工具。

以下是赛门铁克公司列出的如何删除震荡波从A到F的所有版本的过程。记住，完成下面的步骤只

需要大约20秒左右的时间。

1、与因特网断开。

2、重新启动。

3、在启动，尽可能快的点击“开始”上的“运行”，输入“CMD”打开命令行界面。

4、在DOS提示符后输入shutdown – i后回车。

这样为网络上其他系统的远程管理打开了控制面板，但是现在需要输入你的计算机的名字。

5、单击“添加”，输入名字，然后点击“确定”。

6、现在把警告信息的延迟设置从标准的20（秒）改为一个很大的数如9999。在打补丁后如果你愿

意可以重新设置警告信息的延迟时间。

这将临时使关机序列失效，从而让你有足够的时间登录因特网并下载补丁。

对于许多用户来说，让他们感到奇怪的是他们的机器并没有连接到网络上为什么他们的系统还有

名字，系统的名字要么是由拥有管理员权限的用户分配的，要么是自动产生的。要找到你的计算机

的名字，打开“控制面板”并点击“系统”图标。由于你必须在20秒或者更少的时间内完成上面公

告牌上的步骤，所以你必须在开始这些过程之前确定你的系统的名字。

对于在XP系统上停止周期性重新启动的方法，微软的使用说明告诉你只需在命令提示符处输入

shutdown.exe –a即可。如果这条指令生效的话，系统将更加快速第终止关机过程。

如果你能够下载并安装补丁的话，上述步骤不是必要的。他们不是下面描述的删除震荡波过程的

技术的一部分。

删除

你可以从赛门铁克、F-Secure以及其他的防病毒提供商的网站上下载一个删除工具。微软也有详

细的操作指南并且在该网页上还有一个自动测试工具，这个工具可以证明你是否感染了震荡波病毒

并且可以删除这个病毒。如果你得到了这些自动删除工具中的一个的话，它将停止重新引导过程，

删除蠕虫文件，清除注册表并且将利用这个工具删除震荡波病毒。退一步说，如果使用手动过程那

将是相当麻烦的。

因为有些系统与震荡波进程联系的是如此的紧密，以至于你的计算机已经无法使用，所以即使你

使用的是一个删除工具，以下一些手动删除步骤（终结恶意的进程）也许仍然是必要的。

你可以通过打开任务管理器并且查找avserve2.exe，avserve.exe，skynetave 以及任何使用短字

符数字串开头后跟_up.exe （例如，XXXXX_up.exe）的进程，然后选中这些进程的名字并点击“结

束进程”来终止他们，以改善系统的性能。

由于XP具有自动系统存储特征，所以在删除任何蠕虫或者病毒之前也应该关闭这种特征，因为这

是一个备份工具，如果让其继续运行的话，它将保留一个感染的备份。赛门铁克对这些要求的步骤

有一个完整的描述，但是基本的步骤是到“控制面板”中的“系统”对话框中检查是否关闭了“关

闭系统存储”功能。

手动删除要求你删除所有被防病毒程序认为与震荡波有关的文件。

注册表已经被震荡波改变，这意味着你将需要从

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run上删除

avserve2.exe"="%Windir%\avserve2.exe

变种在继续

Newsfactor.com公司已经报告了一种新的感染，Dabber（package.exe）通过震荡波来攻击计算机

，删除震荡波蠕虫并且将计算机变成一个服务器并在计算机上设置了秘密的后门。在赛门铁克、趋

势科技、熊猫卫士以及其他的反病毒提供商网站上已经发现了删除Dabber的操作指南。

变种E

赛门铁克报告震荡波的变种E在以下方面表现与W32.Sasser不同：

进程的名字是SkynetNotice，文件的名字是lsasss.exe，而这个名字在注册表行中又用avserve来

代替。你还需要阻塞防火墙的1022和1023端口。而且不是查找XXXXX_up.exe文件，而是查找

XXXXX_update.exe文件。

变种F

震荡波的变种F与以前的版本也有微小的不同。进程的名字是billgate，而震荡波文件的名字是

napatch.exe，在注册表中也是使用这个名字。

解决方法1、
-------------------------
月1日，“震荡波(Worm.Sasser)”病毒在网络出现，由于该病毒是通过漏洞进行传播的，因此这几日用户如果上网极有可能会感染该病毒，然后出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象，如果用户出现了上述现象，则需要对该病毒进行清除。

一、手工清除四部曲。

1、断网打补丁。

如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。

2、清除内存中的病毒进程

要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内存中查找名为“avserve.exe”的进程，找到后直接将它结束。

3、删除病毒文件

病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户需要到安全模式下或DOS系统下删除这些文件。

4、删除注册表键值

该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT”然后调出注册表编辑器，找到该病毒键值，然后直接删除。

解决方法2
-------------------------

请下载专杀工具，在google下输入"震荡波专杀"即可