《网络安全防护项目教程》 课件 子任务4-1-3 网络蠕虫病毒的清除与防范.pptx

计算机使用过程中突然反应迟钝，处理速度非常缓慢。

上述现象到底是中了什么病毒呢？

小明赶紧检查网络运行情况、网络设备等，没什么问题，到底发生了什么？

了解病毒工作原理

掌握病毒症状

掌握中毒现象

掌握病毒清除方法

学习目标：

会识别病毒

能使用适当方法清除病毒

能拦截恶意网页

能修复浏览器起始页

培养认真细致的工作态度和工作作风

养成刻苦、勤奋、好问、独立思考和细心检查的学习习惯

能与组员精诚合作，能正确面对他人的成功或失败

自学能力强，分析问题、解决问题能力和创新的能力

子任务4-1-3网络蠕虫病毒的清除与防范

蠕虫病毒是利用网络进行复制和传播的一种常见的计算机病毒。蠕虫病毒在DOS环境下发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形，从而被命名为蠕虫病毒。

影响较大的蠕虫病毒有熊猫烧香、蠕虫王、冲击波、爱虫、求职信、Worm_Ackantta.C、Conficker、W32.Rixobot等，下面以震荡波、熊猫烧香为例介绍其清除与预防。

实例1.震荡波病毒的清除与防范

震荡波病毒的英文名为Worm.Sasser，它通过网络传播，病毒依赖的系统包括Windows2000/XP，主要的变种形式有Worm.Sasser.b/c/d/e/f。

子任务4-1-3网络蠕虫病毒的清除与防范

1．了解感染震荡波病毒症状

（1）症状1——出现系统错误对话框。用户计算机感染该病毒后，会首先出现如图4-1-5所示LSAShell对话框，然后出现如图4-1-6所示得“系统关机”对话框。

子任务4-1-3网络蠕虫病毒的清除与防范

图4-1-5LSAShell对话框

图4-1-6“系统关机”对话框

（2）症状2——系统日志。如果用户无法确定自己的计算机是否出现过症状1的异常框或系统重启提示，还可以通过查看系统日志来确定是否中毒。

在“管理工具”中选择“事件查看器”程序，打开“事件查看器”对话框，在对话框中单击“系统”项，在右边窗格中查看其中系统日志，选中来源于Winlogon的日志记录，鼠标右键单击选择“属性”，打开“事件属性”对话框，如果出现如图4-1-7所示的日志记录，则证明已经中毒。

子任务4-1-3网络蠕虫病毒的清除与防范

图4-1-7“事件属性”对话框

（3）症状3——通过“任务管理器”查看。

◆系统资源占用情况：打开“Windows任务管理器”查看系统资源占用情况：发现CPU占用率达到100%，计算机运行异常缓慢，则感染了该病毒。

◆进程：在“Windows任务管理器”的“进程”选项卡中查看是否有avserve.exe进程，如果有则感染了该病毒，如图4-1-8所示。

子任务4-1-3网络蠕虫病毒的清除与防范

图4-1-8“Windows任务管理器”窗口

（4）症状4——系统安装目录。查看系统安装目录（默认为C:\WINNT）是否产生了一个名为avserve.exe的病毒文件，如果有则感染了该病毒。

（5）症状5——查看注册表。病毒如果攻击成功，会在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中建立病毒键值：“avserve.exe”=“%WINDOWS%\avserve.exe”。

子任务4-1-3网络蠕虫病毒的清除与防范

2．清除震荡波蠕虫病毒

根据上面所描述的震荡波蠕虫病毒的表现症状，可从两大方面来着手实施该病毒的清除。

（1）手工清除。本方法虽然表现比较笨拙，但非常有效。具体步骤如下。

步骤1：断网打补丁。

如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击。用户应该先到/security/incident/sasser.asp下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。

子任务4-1-3网络蠕虫病毒的清除与防范

步骤2：清除内存中的病毒进程。

◆单一进程

要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以同时按下ctrl+shift+esc(ctrl+shift+esc)组合键，在弹出的“Windows任务管理器”对话框中选择“进程”选项卡，然后查找名为avserve.exe的进程或者是avserve2.exe、skynettave.exe进程，找到后选择这些进程，然后单击“结束进程”按钮，直到结束这些进程为止。

◆几个互相关联和监视的进程

子任务4-1-3网络蠕虫病毒的清除与防范

有的病毒会在“Windows任务管理器”中显示几个互相关联和监视的进程，当结束其中一个后，由于另外的进程没有结束，刚刚结束的进程又会被启动，除非同时结束这些进程。这可以利用ntsd–pPID命令来终止