飞翔之眼

根据分析，“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。

“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。

瑞星反病毒专家介绍，该病毒会通过ftp 的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在c:\windows目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。
　　
“震荡波”病毒会随机扫描ip地址，对存在有漏洞的计算机进行攻击，并会打开ftp的5554端口,用来上传病毒文件，该病毒还会在注册表hkey_local_machine\software\microsoft\windows\currentversion\run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
　　
该病毒会使“安全认证子系统”进程━━lsass.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。
　

主要症状：

1、出现系统错误对话框

被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。

2、系统日志中出现相应记录

如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如下图所示的日志记录，则证明已经中毒。

3、系统资源被大量占用

病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。

4、内存中出现名为 avserve 的进程

病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。

5、系统目录中出现名为 avserve.exe 的病毒文件，

病毒如果攻击成功，会在系统安装目录（默认为 C:\WINNT ）下产生一个名为avserve.exe 的病毒文件。

6、注册表中出现病毒键值

病毒如果攻击成功，会在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值： "avserve.exe "="%WINDOWS%\avserve.exe " 。

如何防范“震荡波”

首先，用户必须迅速下载微软补丁程序

点这里下载微软补丁

如果用户已经被该病毒感染，首先应该立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录c:\\windows目录下产生名为avserve.exe的病毒文件，将其删除。

点这里下载2000补丁程序　　

点这里下载xp补丁程序

如果已经中招，请下载专杀工具进行杀毒处理，点这里下载；或者采用手工方式解决：

对于系统是Windows9x/WinMe：

步骤一，删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为C:\windows），分别输入以下命令，以便删除病毒程序：

C:\windows\system32\>del *_up.exe
C:\windows\system32\>cd..
C:\windows\>del avserve.exe

完毕后，取出系统软盘，重新引导到Windows系统。
如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

步骤二，清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；在左边的面板中, 双击（按箭头顺序查找，找到后双击）：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右边的面板中, 找到并删除如下项目： "avserve.exe" = %SystemRoot%\avserve.exe

关闭注册表编辑器.

对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever：

步骤一，使用进程序管里器结束病毒进程
右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt或windows)，找到文件“avserve.exe”，将它删除;然后进入系统目录(Winnt\system32或windows\system32)，找到文件"*_up.exe", 将它们删除；

步骤三，清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；在左边的面板中, 双击（按箭头顺序查找，找到后双击）：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右边的面板中, 找到并删除如下项目："avserve.exe" = %SystemRoot%\avserve.exe

关闭注册表编辑器.

冲击波病毒感染症状
  
1、莫名其妙地死机或重新启动计算机；
2、IE浏览器不能正常地打开链接；
3、不能复制粘贴；
4、有时出现应用程序，比如Word异常；
5、网络变慢；
6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！
7、SVCHOST.EXE产生错误会被WINDOWS关闭，您需要重新启动程序
 8、在WINNT\SYSTEM32\WINS\下有DLLhost.exe和svchost.exe

检测你的计算机是否被"冲击波杀手"病毒感染：

  1)检查系统的system32\Wins目录下是否存在DLLHOST.EXE文件（大小为20K）和SVCHOST.EXE文件,（注意：系统目录里也有一个DLLHOST.EXE文件，但它是正常文件，大小只有8KB左右）如果存在这两个文件说明你的计算机已经感染了"冲击波杀手"病毒；

  2) 在任务管理器中查看是否有三个或三个以上DLLHOST.EXE的进程，如果有此进程说明你的计算机已经感染了此病毒。

解决方法：

 第一步：终止恶意程序

打开Windows任务管理器，按CTRL+ALT+DELETE然后单击进程选项卡 ，在运行的程序清单中*, 查找如下进程:MSBLAST.EXE DLLhost.exe和svchost.exe 选择恶意程序进程，然后按“终止任务”或是“中止进程”按钮。 为确认恶意程序进程是否中止，请关闭任务管理器并再次打开看进程是否已经终止。

第二步：删除注册表中的自启动项目

删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行注册表管理器，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 在右边的列表中查找并删除以下项目Windows auto update" = MSBLAST.EXE DLLhost.exe和svchost.exe

重启系统

第三步：安装微软提供的冲击波补丁

Microsoft Security Bulletin MS03-026

点这里下载Win2000简体中文版冲击波补丁

点这里下载WinXP简体中文版冲击波补丁

点这里下载Win2000英文版冲击波补丁

点这里下载WinXP英文版冲击波补丁

装WIN2000系统的机器不论是服务器版还是个人版的都要顺序打上从SP2到Sp4，更改计算机系统时间到2004年后，重启计算机。这时病毒将自动清除自己，检查一下是否还有病毒；

怎么知道是不是已经打上了这个补丁？

根据微软的定义，这个安全修补程序的代号为kb823980，我们要检查的就是这一项。

打开注册表编辑器。不知道怎么打开？在开始菜单上执行“运行”命令，输入“regedit"(不要引号)。

在注册表编辑器的窗口里又分左右两个窗格，我们先看左窗格。这个东西和资源管理器是非常相像的，只不过它有一些类似HKEY_。。。这样的条目，我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了，就不罗索了)。

展开这一条，找到里面的SOFTWARE，然后再展开，找到Microsoft，依次分别：

1、对于WindowsNT4.0： 找到 Updates，Windows NT， SP6，看看里面有没有kb823980

2、对于Windows2000： 找到 Updates，Windows 2000，SP5，看看里面有没有kb823980

3、对于WindowsXP： 找到 Updates，Windows XP， SP1，看看里面有没有kb823980 4、对于WindowsXP SP1：找到 Updates，Windows XP， SP2，看看里面有没有kb823980,如果找到，那就说明已经打上补丁了。如果没有，那就只有再来一次啦。