史萊姆論壇 - 開機不停重啟的解決方案(類似衝擊波的症狀)

前些日子我有一朋友的筆記型無法正常登入Windows，一進Windows就馬上出現一個類似震盪波病毒的對話視窗：

┌──────────────────────┬─┐
│系統關機 │ │
│ └─┤
├────────────────────────┤
│ 系統即將關機。請儲存所有正在執行的工 │
│ 作，然後註銷。未儲存的改動將會丟失掉。 │
│ 關機是由 NT AUTHORITY\SYSTEM 初始的 │
│ │
│ │
│ │
│ 離關機還有：00:00:59 │
│ │
│ ┌消息────────────────┐ │
│ │系統處理程序 │ │
│ │C:\WINDOWS\System32\services.exe意│ │
│ │外終止，狀態碼為－1073741819。系 │ │
│ │統現在將關機，並重新啟動。 │ │
│ │ │ │
│ │ │ │
│ └──────────────────┘ │
└────────────────────────┘

為什麼要說是類似呢？因為這個對話視窗裡的消息是「系統處理程序C:\WINDOWS\System32\services.exe意外終止」，而震盪波是「系統處理程序C:\WINDOWS\System32\lsass.exe意外終止」。

一開始我誤認為是中了震盪波病毒。往常遇到這樣的情況，只要按下Win＋R鍵彈出執行對話視窗（IBM的筆記本都沒有Windows徽標鍵，無法進行快捷操作，這一點很不方便，只有用滑鼠點擊工作列左端的「開始」，然後點擊「執行」），輸入「shutdown /a」，即可終止自動關機。

可是這次螢幕上除了這個對話視窗沒有任何東西，沒有桌面工作，我無法找到工作列，所以沒法終止自動關機。

於是只有重啟，F8，進入安全模式，用電腦上裝的卡巴斯基全面查毒，又用諾頓，瑞星的震盪波專殺工具搜尋是否中了震盪波，然後打修正檔，結果發現電腦上的Windows本身已經是SP2了，也就是說已經對震盪波病毒免疫了！！！

重啟，正常模式登入Windows，結果還是一樣，唯獨有一樣變了：「系統處理程序C:\WINDOWS\System32\services.exe意外終止」變成了「系統處理程序C:\WINDOWS\System32\lsass.exe意外終止」。難道真是震盪波？不可能啊？已經是SP2了。

鬱悶！百思不得其解，又重複了數遍上述操作，結果絲毫沒有任何改變。

最後在安全模式裡轉悠，發現系統裡除了裝有卡巴斯基，還安裝了Mcaffe。抱著試一試的態度我把Mcaffe卸載了。然後重啟，正常模式，登入Windows，居然沒有出現可惡的對話視窗了，系統執行一切正常！！！

總結：殺毒軟體還是不要裝兩個以上，會衝突的。我原來勸別人的時候別人都不信，這下有依據了。而且很多軟體在安裝的時候還會自動警告你系統中有其它殺毒軟體存在，不允許繼續安裝，比如EZAntivirus。不同的殺毒軟體之間是會衝突的。並不是安裝多個殺毒軟體就萬無一失了，還是選項一款好的，適合自己的殺毒軟體更舒服一些。卡巴斯基&Mcaffe的衝突就會出現類似震盪波病毒的自動關機對話視窗，使用戶無法正常登入系統。

關於衝擊波&震盪波

衝擊波(Worm.Blaster)

衝擊波（Worm.Blaster）病毒2003年8月12日全球突發，病毒執行時會不停地利用IP掃瞄技術尋找網路上系統為Win2K或XP的電腦，找到後就利用DCOM RPC緩衝區漏洞攻擊該系統，一旦攻擊成功，病毒體將會被傳送到對方電腦中進行感染，使系統操作異常、不停重啟、甚至導致系統崩潰。另外，該病毒還會對微軟的一個昇級網站進行拒絕服務攻擊，導致該網站堵塞，使用戶無法通過該網站昇級系統。在2003年8月16日以後，該病毒還會使被攻擊的系統喪失更新該漏洞修正檔的能力。

震盪波(Worm.Sasser)

2004年5月1日，"震盪波(Worm.Sasser)"病毒在網路出現，病毒在本機開闢後門，監聽TCP 5554連接阜，做為FTP伺服器等待遠端控制指令。病毒以FTP的形式提供文件傳送。黑客可以通過這個連接阜偷竊用戶機器的文件和其他訊息。病毒開闢128個掃瞄執行緒。以本機IP位址為基礎，取隨機IP位址，瘋狂的試探連接445連接阜，試圖利用windows的LSASS 中存在一個緩衝區溢位漏洞進行攻擊，一旦攻擊成功會導致對方機器感染此病毒並進行下一輪的傳播，攻擊失敗也會造成對方機器的緩衝區溢位,導致對方機器程序非法操作,以及系統異常等。

兩大惡性病毒的四大區別：

一、利用的漏洞不同：衝擊波利用的是系統的RPC漏洞，病毒攻擊系統時會使RPC服務（Remote Procedure Call (RPC)使用是WINDOWS使用的一個傳輸協定，提供工作間交互通信，允許程序在遠端電腦上執行任意程序）崩潰。震盪波利用的是系統的LSASS服務（Windows使用的本機安全認證子系統服務，提供了一個用於管理本機安全、域身份驗證和 Active Directory 服務工作的接頭，它處理客戶端和伺服器的身份驗證，另外還包含一些用於支持 Active Directory 實用工具的功能。）。

二、產生的文件不同：衝擊波執行時會在記憶體中產生名為msblast.exe的工作，在系統目錄中產生名為msblast.exe的病毒文件，震盪波執行時會在記憶體中產生名為avserve.exe的工作，在系統目錄中產生名為avserve.exe的病毒文件。

三、利用的連接阜不同：衝擊波會監聽連接阜69,模擬出一個TFTP伺服器，並啟動一個攻擊傳播執行緒,不斷地隨機產生攻擊位址，嘗試用有RPC漏洞的135連接阜進行傳播。震盪波會本機開闢後門，聽TCP的5554連接阜，然後做為FTP伺服器等待遠端控制指令，並瘋狂地試探連接445連接阜。

四、攻擊的目標不同：衝擊波攻擊所有存在有RPC漏洞的電腦和微軟昇級網站，而震盪波攻擊的是所有存在有LSASS漏洞的電腦。