网络带给了我们方便，网络病毒却带给我们了恐惧，由于校园局网内的很多人都没有安全常识造成网络病毒在校园里的泛滥。目前危害我们局网的病毒主要有爱情后门、振荡波、冲击波等几个可数的病毒。但其变种却成千上万。请大家不要小看之。现把这几种病毒的发作现象及防治办法阐述如下，希望对大家有点帮助。

1. 爱情后门
病毒发作现象：

1)d, e, f, g盘不能双击打开，硬盘驱动器根目录下存在Autorun.inf

2) 在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件，文件名多为pass, work, install ,letter大小约为126K

3) 在每个硬盘驱动器根目录下存在COMMAND.EXE

4) WinHelp.exe、spoolsv.exe、hxdef.exe、IEXPLORE.EXE、NetManager.exe、NetMeeting.exe等进程占用了cup。感觉机器很慢。

5) 有可能出现rpc关闭也倒计时重启的现象

6) 杀毒后出现Windows无法找到COMMAND.EXE文件，要求定位该文件。

7) 在任务管理器上看到多个cmd.exe进程.

病毒处理：

1）先断网后下载爱情后门(Worm.LovGate)病毒专杀工具。

http://download.rising.com.cn/zsgj/RavLovGate.com

查杀几遍，重启后再杀一遍，如出现杀毒失败再做第二步。

2）升级杀毒软件病毒库、断网后进入安全模式查杀病毒。（进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止, 选择安全模式进入Windows) 。建议最好使用纯DOS查毒。使用江民2004的制作DOS杀毒盘功能。在清除完病毒后，完成以下三步。以防病毒复发.

3） 请给系统账户设置足够复杂的登陆密码，建议是字母+数字+特殊字符。

4）关闭共享文件夹。

5） 打补丁
开始-->Windows Update...
升级程序会自动检测你需要打哪些补丁
安装好所有系统必须的关键更新和Service Pack
安装
MS03-039（KB824146）补丁　（Windows 2000 简体中文版）；
MS03-039（KB824146）补丁　（Windows XP 简体中文版）。

2. 震荡波(Worm.Sasser)

病毒发作现象：

该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。在C:\WINDOWS目录下产生名为avserve.exe的病毒体。

病毒处理：

如果已经被该病毒感染，首先应该立刻断网，手工删除该病毒文件，手工删除方法：查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。如实在来不及上网升级请到未感染病毒的机器上上网下载下面补丁：http://download.rising.com.cn/zsgj/RavSasser.exe 该程序为瑞星专杀工具，在运行它的同时会为windows打上一内存补丁。

该内存补丁工具适用于以下几种用户:
1、该补丁适合于所有未打过或者无法打上微软官方MS04-011漏洞补丁的电脑，也适合于由于业务需要能打补丁、但不能进行系统重启的核心业务电脑。
2、该补丁能自动检测操作系统类型，动态生成内存补丁，并立即生效，适合于Windows 2000系列操作系统，以及Windows XP系列操作系统。
3、由于版本等其它原因，无法正常下载和安装微软补丁程序。

或到微软网站下载补丁，关于此病毒的更多内容以及下载补丁请访问：

http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

3. 冲击波（Worm.Blaster）

病毒发作现象：

冲击波（Worm.Blaster）病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows2000、XP、Server 2003。

该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。

病毒详细说明：
1. 病毒运行时会将自身复制到window目录下，并命名为： msblast.exe。
2. 病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。
3. 病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。
4. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值："windows auto update"="msblast.exe"，以便每次启动系统时，病毒都会运行。
5. 病毒体内隐藏有一段文本信息：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。
7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。
8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。
9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Windows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。
10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。

病毒处理：

1) 清除方案：

一、到下面网址下载专杀工具：

http://download.rising.com.cn/zsgj/ravblaster.exe

用此工具查杀几遍，如清除不了执行下面方法。

二、 DOS环境下清除该病毒：
1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.
操作命令集：
C:
CD C:\windows (或CDc:\winnt)

2. 查找目录中的“msblast.exe”病毒文件。
命令操作集：
dir msblast.exe /s/p

3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。
Del msblast.exe

4．或使用江民DOS伴侣查杀病毒。

三、在安全模式下清除病毒
如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。

2) 给系统打补丁：

关于几种常见病毒的防治办法
作者：moonseam 转贴自：外语系 点击数：3763 文章录入：moonseam

当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。以下是补丁的具体下载地址：
· Windows 2000 ：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
· Windows XP 32 位版本：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074

上述三种是现在校局域网常见的病毒，也是危害最大的，此外比如还有使win2000弹出WINDOWS文件保护的框的劳拉(Win32.Xorala)，以及讨人厌的QQ病毒。

针对网络病毒的泛滥对大家提出以下几条建议，希望大家养成很好的习惯，在你方便的同时，也帮助了局网内的其他用户。

安全建议：

1.建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2.关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3.经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，像蠕虫、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

查看注册表启动项

查看程序的cpu使用率：

升级windows，开启防火墙。