Windows XP 使用者：電腦感染震蕩波 (Sasser) 蠕蟲時應採取的措施

發布日期：2004 年 5 月 4 日

立即將本頁面列印出來，為您自己提供相關說明（如果您的電腦持續關機），或者用來協助您的朋友。

如果您使用的是 Microsoft? Windows? XP 或 Windows XP Service Pack 1 (SP1) 並且您的電腦感染了震蕩波蠕蟲，則可以採取這些措施來更新您的軟體、移除蠕蟲並使您免於以後再被感染。

第 1 步：斷開 網際網路連線
為了避免出現更多問題，請斷開 網際網路連線：

寬頻連線使用者： 確定串連外置 DSL 或纜線數據機的電纜位置，然後從數據機或電話線插孔將該電纜拔下。
撥號連線使用者：確定串連電腦內建數據機與電話線插孔的電纜位置，然後從電話線插孔或從電腦將該電纜拔下。

第 2 步：終止關機周期
此蠕蟲會導致 LSASS.EXE 停止回應，此程式使作業系統在 60 秒鐘後強行關機。 如果您的電腦開始關機，請按照這些步驟中斷可能處於運行狀態的任意系統關機進程。

在螢幕底部的工作列上單擊“開始”，然後單擊“運行”。
鍵入“cmd”，然後單擊“確定”。
在命令提示字元下，鍵入“shutdown.exe -a”，然後按 ENTER。
第 3 步：減輕漏洞隱患
您可以通過建立記錄檔來暫時消除令蠕蟲可通過其侵入電腦的漏洞。

建立記錄檔

在螢幕底部的工作列上單擊“開始”，然後單擊“運行”。
鍵入“cmd”，然後單擊“確定”。
在命令提示字元下鍵入“ echo dcpromo >%systemroot%/debug/dcpromo.log ”，然後按 ENTER。
將記錄檔設定為唯讀屬性

在命令提示字元下鍵入“attrib +R %systemroot%/debug/dcpromo.log”，然後按 ENTER。
第 4 步：改善系統效能
如果您的電腦反應遲緩或者 網際網路連線速度過慢，則說明蠕蟲可能已經在您的區域網路串連內擴散。 這會使您無法下載並安裝所需的軟體更新。 要改善系統效能：

按 CTRL+ALT+DELETE，然後單擊“工作管理員”。
對於以下可能列出的每個任務，單擊並選中該任務，然後單擊“結束任務”按鈕，將其結束。
任意以_up.exe 結尾的任務（例如 12345_up.exe）。
任意以avserve 開頭的任務（例如 avserve.exe）。
任意以avserve2 開頭的任務（例如 avserve2.exe）。
任意以skynetave 開頭的任務（例如 skynetave.exe）。
hkey.exe
msiwin84.exe
wmiprvsw.exe

注意：切勿結束 wmiprvse.exe 任務；這是一個合法的系統任務。

第 5 步：啟用防火牆
防火牆是一個軟體或硬體，能夠在電腦和 Internet 之間構築一道保護屏障。 如果您的電腦已感染病毒，防火牆將有助於限制蠕蟲的影響。 Windows XP 包含 網際網路連線防火牆 (ICF)。 要開啟 ICF：

在螢幕底部的工作列上單擊“開始”，然後單擊“控制台”。
單擊“網路與 網際網路連線”。
（如果未顯示“網路與 網際網路連線”，請單擊“控制台”視窗左側“控制台”中的“切換到分類別檢視”。）
單擊“網路連接”。
按右鍵用於串連至 Internet 的撥號、LAN 或高速 網際網路連線 ，然後單擊捷徑功能表中的“屬性”。
在“網際網路連線防火牆”的“進階”選項卡上，選擇“保護我的電腦和網路”，然後單擊“確定”。 現在，您便已開始啟用 Windows XP 防火牆。
第 6 步：重新串連 Internet
將電纜（參閱第 1 步）重新接回電腦、電話線插孔或數據機。

第 7 步：安裝所需的更新
要使以後您的電腦不受此蠕蟲的感染，您必須下載並安裝安全更新 835732，此更新以 Microsoft 資訊安全諮詢 MS04-011 發布。 要下載安全更新 835732，請轉到 http://go.microsoft.com/?LinkID=526067

第 8 步：檢查並移除震蕩波蠕蟲
在完成安裝更新並重新啟動電腦後，轉到網頁 http://www.microsoft.com/china/security/incident/sasser.asp 上的“What You Should Know About the Sasser Worm and Its Variants”（對于震蕩波蠕蟲及其變體您應該瞭解的資訊）。 使用震蕩波蠕蟲移除工具搜尋您的硬碟並移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。

關於 網際網路連線防火牆
Windows XP 網際網路連線防火牆能夠屏蔽有用的任務，如通過網際網路共用檔案或印表機，在應用程式中傳輸檔案或多人聯機遊戲等。 雖然如此，Microsoft 建議您使用防火牆來保護您的電腦。

如果您開啟了 網際網路連線防火牆，但發現您無法執行某些需要執行的任務，請閱讀 http://www.microsoft.com/china/security/protect/ports.asp 上的“How to Open Ports in the Windows XP Internet Connection Firewall”（如何開啟 Windows XP 網際網路連線防火牆中的連接埠）。

如果您有多台電腦、需要更多技術資訊或希望瞭解更多有關防火牆的資訊，請閱讀 http://www.microsoft.com/china/security/protect/firewall.asp 上的“Frequently Asked Questions About Firewalls”（有關防火牆的常見問題集）。
Windows 2000 使用者：電腦感染震蕩波 (Sasser) 蠕蟲時應採取的措施
發布日期：2004 年 5 月 7 日

立即將本頁面列印出來，為您自己提供相關說明（如果您的電腦持續關機），或者用來協助您的朋友。

如果您使用的是 Microsoft? Windows 2000 Service Pack 2 (SP2)、Windows 2000 SP3 或 Windows 2000 SP4 並且您的電腦感染了震蕩波蠕蟲，則可以採取這些措施來更新您的軟體、移除蠕蟲並使您免於以後再被感染。

第 1 步：斷開 網際網路連線
為了避免出現更多問題，請斷開 網際網路連線：

寬頻連線使用者： 確定串連外置 DSL 或纜線數據機的電纜位置，然後從數據機或電話線插孔將該電纜拔下。
撥號連線使用者：確定串連電腦內建數據機與電話線插孔的電纜位置，然後從電話線插孔或從電腦將該電纜拔下。

第 2 步：減輕漏洞隱患
您可以通過建立記錄檔來暫時消除令蠕蟲可通過其侵入電腦的漏洞。

建立記錄檔

在螢幕底部的工作列上單擊“開始”，然後單擊“運行”。
鍵入“cmd”，然後單擊“確定”。
在命令提示字元下鍵入“ echo dcpromo >%systemroot%/debug/dcpromo.log ”，然後按 ENTER。
將記錄檔設定為唯讀屬性

在命令提示字元下鍵入“attrib +R %systemroot%/debug/dcpromo.log”，然後按 ENTER。
第 3 步：改善系統效能
如果您的電腦反應遲緩或者 網際網路連線速度過慢，則說明蠕蟲可能已經在您的區域網路串連內擴散。 這會使您無法下載並安裝所需的軟體更新。 要改善系統效能：

按 CTRL+ALT+DELETE，然後單擊“工作管理員”。
對於以下可能列出的每個任務，單擊並選中該任務，然後單擊“結束任務”按鈕，將其結束。
任意以_up.exe 結尾的任務（例如 12345_up.exe）。
任意以avserve 開頭的任務（例如 avserve.exe）。
任意以avserve2 開頭的任務（例如 avserve2.exe）。
任意以skynetave 開頭的任務（例如 skynetave.exe）。
hkey.exe
msiwin84.exe
wmiprvsw.exe

注意：切勿結束 wmiprvse.exe 任務；這是一個合法的系統任

第 4 步：啟用防火牆
防火牆是一個軟體或硬體，能夠在電腦和 Internet 之間構築一道保護屏障。 Microsoft 並不製造獨立於作業系統之外的軟體防火牆。 以下資源提供了有關一些防火牆選項的詳細資料。

硬體防火牆
硬體防火牆是 Windows XP 之前的 Windows 作業系統版本的理想選擇。 有些家用網路硬體，如無線存取點和寬頻路由器等，都附帶了嵌入式的硬體防火牆。 這些防火牆有助於保護大多數的家用網路。

軟體防火牆
Microsoft 強烈建議所有使用者，在串連 Internet 之前，務必獲得並安裝防火牆。 不過，我們也意識到，有些使用者會發現，下載軟體是他們唯一的選擇。 如果您選擇重新串連 Internet 來獲得軟體防火牆，此處提供了一些選擇：

BlackICE PC Protection—節省 25% (http://blackice.iss.net/microsoft.php)
Computer Associates—12 個月免費試用期 (http://www.my-etrust.com/microsoft/)
F-secure—6 個月免費試用期 (http://www.f-secure.com/protectyourpc/)
McAfee Security—節省多達 35% (http://us.mcafee.com/root/campaign.asp?cid=8437)
Panda Software—90 天免費試用期 (http://www.pandasoftware.com/microsoft/)
Symantec/Norton—90 天免費試用期 (http://www.symantecstore.com/dr/v2/ec_dynamic.main?sp=1&pn=46&sid=27674)
Tiny Software: Tiny Personal Firewall (http://www.tinysoftware.com)
ZoneAlarm—節省 20 美元 (http://download.zonelabs.com/bin/promotions/microsoftsecurity/)
第 5 步：重新串連 Internet
將電纜（參閱第 1 步）重新接回電腦、電話線插孔或數據機。

第 6 步：安裝所需的更新
要使以後您的電腦不受此蠕蟲的感染，您必須下載並安裝安全更新 835732，此更新以 Microsoft 資訊安全諮詢 MS04-011 發布。 要下載安全更新 835732，請轉到http://go.microsoft.com/?LinkID=526386

第 7 步：檢查並移除震蕩波蠕蟲
在完成安裝更新並重新啟動電腦後，轉到網頁http://www.microsoft.com/china/security/incident/sasser.asp上的“What You Should Know About the Sasser Worm and Its Variants”（對于震蕩波蠕蟲及其變體您應該瞭解的資訊）。 使用震蕩波蠕蟲移除工具搜尋您的硬碟並移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。

關於防火牆
要瞭解更多有關其它公司出品的軟體防火牆、硬體防火牆和網路路由器以及選擇對應於您電腦的防火牆的資訊，請參見 http://www.microsoft.com/security/articles/firewall.asp上的“Why You Should Use a Computer Firewall”（為何您應該使用電腦防火牆）。 如果您有如小型網路等其它配置，或者要瞭解更多有關防火牆的資訊，請閱讀 http://www.microsoft.com/china/security/protect/firewall.asp （有關 Internet 防火牆的常見問題集）。