¿Qué debo hacer si mi sistema Win7 está infectado por el virus Sasser y se reinicia indefinidamente?

¿Qué debo hacer si hay un virus Sasser en mi computadora cuando instalo o reinstalo la versión pura de win7? Si el sistema aún no se ha actualizado con parches o no se ha instalado software antivirus, es posible que ya esté infectado. Si el sistema Win7 está infectado con el virus Shockwave, seguirá reiniciándose indefinidamente. Esto es algo similar al virus Shockwave. ¿Hay alguna forma de resolver este problema? Lea el tutorial a continuación y echemos un vistazo a los pasos detallados de la solución.

Introducción al virus Sasser:

Shockwave es un virus informático. Es una versión modificada por terceros de I-Worm/Sasser.a, que es diferente de la versión anterior de. el virus. De manera similar, se propaga a través de la última vulnerabilidad LSASS de Microsoft. Recordamos rápidamente a los usuarios que descarguen los parches de Microsoft a tiempo para prevenir el virus. Si el archivo de virus se ejecuta en un entorno DOS puro, se mostrarán frases en inglés que condenan a los soldados estadounidenses.

Las características técnicas específicas son las siguientes:

1. Los sistemas infectados son: Windows2000, WindowsServer2003, WindowsXP, Windows7

2. MS04-011

3. Después de ejecutarse el virus, se copia a sí mismo como WinDir\napatch.exe

4. Inicie la entrada en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run

Crear: cadena, asígnele el nombre "napatch.exe", edite el valor de la cadena como: WinDir\napatch.exe de esta manera, el virus puede ejecutarse; cuando se inicia Windows

5. Establecer un servicio FTP en el puerto TCP 5554 para propagarse a otras computadoras

6. datos del programa de puerta trasera Si la computadora remota tiene la vulnerabilidad MS04-011, el programa de puerta trasera se ejecutará automáticamente y se abrirá el puerto de puerta trasera 9996. El virus utiliza el puerto de puerta trasera 9996 para hacer que la computadora remota se conecte al puerto FTP 5554 abierto por el virus, descargue el cuerpo del virus y lo ejecute, infectándose así

7. la vulnerabilidad para atacar el proceso LSASS.EXE y ser atacado El proceso LSASS.EXE de la computadora se paralizará y el sistema Windows tendrá un mensaje de cuenta regresiva de 1 minuto para apagarse;

8. registra el número y las direcciones IP de los ordenadores que ha infectado en C:\win32.log.

Cómo prevenir el virus Sasser

En primer lugar, los usuarios deben descargar rápidamente el parche de Microsoft como medida de precaución contra el virus.

Cómo lidiar con Sasser:

1. Herramientas antivirus de terceros

Los usuarios de Kingsoft o Rising actualizan rápidamente su software antivirus a la última versión. versión, luego abra el firewall personal y establezca el nivel de seguridad en medio o alto para bloquear ataques de virus en el puerto. Los usuarios que no sean de Kingsoft, Rising y 360 pueden descargar rápidamente la herramienta especial para matar.

Si el usuario ha sido infectado por el virus, primero debe desconectarse de Internet inmediatamente, eliminar el archivo del virus manualmente y luego conectarse para descargar el parche, actualizar el software antivirus o descargar un software especial. herramienta para matar. Método de eliminación manual: busque el archivo de virus llamado avserve.exe generado en el directorio C:\WINDOWS y elimínelo.

2. Limpiar manualmente Sasser

1. Parche cuando esté desconectado de la red

Si no aplica los parches de vulnerabilidad correspondientes al sistema, igualmente lo hará. sufrir Para experimentar un ataque de este virus, los usuarios primero deben ir al sitio web de Microsoft para descargar el parche de vulnerabilidad correspondiente, luego desconectarse de la red, ejecutar el parche y luego volver a conectarse una vez completada la instalación del parche.

2. Borrar el proceso del virus en la memoria

Para eliminar completamente el virus, primero debe borrar el proceso del virus en la memoria. El usuario puede presionar CTRL SHIFT ESC o botón derecho. Haga clic en En la barra de tareas, seleccione "Administrador de tareas" en el menú emergente para abrir la interfaz del Administrador de tareas, luego busque el proceso llamado "avserve.exe" en la memoria y finalícelo directamente después de encontrarlo.

3. Elimine el archivo de virus

Cuando el virus infecte el sistema, se generará un archivo de virus llamado avserve.exe en el directorio de instalación del sistema (el valor predeterminado es C:\WINNT). , y se generarán algunos archivos de virus llamados "Random String"_UP.exe en el directorio del sistema (el valor predeterminado es C:\WINNT\System32). Los usuarios pueden buscar estos archivos y eliminarlos después de encontrarlos. La eliminación del archivo falló, el usuario debe ir a Eliminar estos archivos en modo seguro o en el sistema DOS.

4. Elimine el valor de la clave de registro

El virus creará un archivo llamado "avserve.exe" en la clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run de la computadora. registro, el contenido es: el valor de clave de virus de "WINDOWS\avserve.exe" Para evitar que el virus se ejecute automáticamente la próxima vez que se inicie el sistema, el usuario debe eliminar este valor de clave escribiendo "REGEDIT" en el archivo. Menú "Ejecutar" y luego abrir Utilice el Editor del Registro para encontrar la clave del virus y eliminarla directamente.

Lo anterior es la solución al virus Sasser en el sistema Win7 que se reinicia indefinidamente. Este virus se puede propagar a través de los servicios de Microsoft. Siempre que apliquemos parches clave, podemos ser inmunes al virus.