avserve.exe 錯誤自動重開機的解決辦法

[yehlu]

資料來源
http://www.hinet.net/sasser.html

“Sasser”病毒開始肆虐，Windows作業系統再受影響

摘要：

自從Microsoft公佈4月份弱點以來，各大網路安全公司紛紛預測將會有類似Blaster這種會塞爆網路流量的蠕蟲出現。果然，今日(5/1)出現了利用此弱點傳播之蠕蟲---”Sasser”。感染到Sasser蠕蟲的網友會對外建立大量連線，並試圖感染其他網友的電腦。這不但會造成感染電腦無法上網，同時也會造成網路的擁塞。由於大部份的Widnows作業系統都會受感染，請用戶盡速安裝微軟的修正程式。

檢查方法：

如果您的電腦路徑C:\Winnt 或是C:\Windows 有出現avserve.exe檔案，那麼您的電腦可能已經感染Sasser蠕蟲。

解決方法：

受到此病蟲感染的電腦，請依下步驟排除。

1. 開啟Windows 工作管理員.
Windows NT/2000/XP系統, 請按
CTRL+SHIFT+ESC, 然後點選”處理程序”標籤

刪除avserve.exe程序

注意:如果沒有出現avserve.exe程序，請至C:\WINNT\或是C:\Windows\目錄下直接刪除avserve.exe檔案

2. 安裝Microsoft所提供的MS04-011修正檔
您可以直接由Windows Update網址(http://v4.windowsupdate.microsoft.com/zhtw/default.asp)更新或是下載MS04-011修正檔手動安裝：

http://www.microsoft.com/taiwan/securit ... 04-011.asp。


3. 手動移除病毒

3.1 刪除 C:\WINNT\system32\?????_up.exe　(?????為不特定數字，檔案大小15872 bytes)

3.2 刪除 C:\WINNT\avserve.exe 或是C:\Windows\ avserve.exe

3.3 點選”開始->執行”。輸入”REGEDIT”然後按 Enter

滑鼠雙擊下述路徑: /HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/

移除下列機碼：
avserve.exe

4. 電腦重新開機。

5. 建議您用防火牆阻擋有相關的port
Port 139 (tcp/udp)
Port 445 (tcp/udp)

參考資訊：

http://www.microsoft.com/technet/securi ... 4-011.mspx (英文版)
http://www.microsoft.com/taiwan/securit ... 04-011.asp (中文版)

Microsoft 也已經更新 W32.Sasser.worm 的清除工具，能夠移除 Sasser 病蟲的 C 和 D 變種。Sasser 清除工具現在可以清除 Sasser A、B、C 和 D。更新的清除工具位於此處： http://www.microsoft.com/downloads/deta ... laylang=en