杀毒冲突导致倒计时重启

前些日子我有一朋友的笔记本无法正常登陆Windows，一进Windows就马上出现一个类似震荡波病毒的对话框：

┌──────────────────────┬─┐
│系统关机                 │Х │
│                   └─┤
├────────────────────────┤
│   系统即将关机。请保存所有正在运行的工   │
│   作，然后注销。未保存的改动将会丢失。   │
│   关机是由 NT AUTHORITY\SYSTEM 初始的   │
│                       │
│                       │
│                       │
│     离关机还有 ：00:00:59           │
│                       │
│   ┌消息────────────────┐   │
│   │系统处理程序           │   │
│   │C:\WINDOWS\System32\services.exe意│ │
│   │外终止，状态码为 －1073741819。系│   │
│   │统现在将关机，并重新启动。     │   │
│   │                 │   │
│   │                   │
│   └──────────────────┘   │
└────────────────────────┘

为什么要说是类似呢？因为这个对话框里的消息是“系统处理程序C:\WINDOWS\System32\services.exe意外终止”，而震荡波是“系统处理程序C:\WINDOWS\System32\lsass.exe意外终止”。

一开始我误认为是中了震荡波病毒。往常遇到这样的情况，只要按下Win＋R键调出运行对话框（IBM的本本都没有Windows徽标键，无法进行快捷操作，这一点很不方便，只有用鼠标点击任务栏左端的“开始”，然后点击“运行”），输入“shutdown /a”，即可终止自动关机。

可是这次屏幕上除了这个对话框没有任何东西，没有桌面进程，我无法找到任务栏，所以没法终止自动关机。

于是只有重启，F8，进入安全模式，用机器上装的卡巴斯基全面查毒，又用诺顿，瑞星的震荡波专杀工具查找是否中了震荡波，然后打补丁，结果发现机器上的Windows本身已经是SP2了，也就是说已经对震荡波病毒免疫了！！！

重启，正常模式登陆Windows，结果还是一样，唯独有一样变了：“系统处理程序C:\WINDOWS\System32\services.exe意外终止”变成了“系统处理程序C:\WINDOWS\System32\lsass.exe意外终止”。难道真是震荡波？不可能啊？已经是SP2了。

郁闷！百思不得其解，又重复了数遍上述操作，结果丝毫没有任何改变。

最后在安全模式里转悠，发现系统里除了装有卡巴斯基，还安装了Mcaffe。抱着试一试的态度我把Mcaffe卸载了。然后重启，正常模式，登陆Windows，居然没有出现可恶的对话框了，系统运行一切正常！！！

总结：杀毒软件还是不要装两个以上，会冲突的。我原来劝别人的时候别人都不信，这下有依据了。而且很多软件在安装的时候还会自动警告你系统中有其它杀毒软件存在，不允许继续安装，比如EZAntivirus。不同的杀毒软件之间是会冲突的。并不是安装多个杀毒软件就万无一失了，还是选择一款好的，适合自己的杀毒软件更舒服一些。卡巴斯基&Mcaffe的冲突就会出现类似震荡波病毒的自动关机对话框，使用户无法正常登陆系统。






关于冲击波&震荡波

冲击波(Worm.Blaster)

冲击波（Worm.Blaster）病毒2003年8月12日全球爆发，病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在2003年8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。


震荡波(Worm.Sasser)

2004年5月1日，"震荡波(Worm.Sasser)"病毒在网络出现，病毒在本地开辟后门，监听TCP 5554端口，做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。


两大恶性病毒的四大区别：

一、 利用的漏洞不同：冲击波利用的是系统的RPC漏洞，病毒攻击系统时会使RPC服务（Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议，提供进程间交互通信，允许程序在远程机器上运行任意程序）崩溃。震荡波利用的是系统的LSASS服务（Windows使用的本地安全认证子系统服务，提供了一个用于管理本地安全、域身份验证和 Active Directory 服务进程的接口，它处理客户端和服务器的身份验证，另外还包含一些用于支持 Active Directory 实用工具的功能。）。

二、 产生的文件不同：冲击波运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的病毒文件，震荡波运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe的病毒文件。

三、 利用的端口不同：冲击波会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。震荡波会本地开辟后门，听TCP的5554端口，然后做为FTP服务器等待远程控制命令，并疯狂地试探连接445端口。

四、 攻击的目标不同：冲击波攻击所有存在有RPC漏洞的电脑和微软升级网站，而震荡波攻击的是所有存在有LSASS漏洞的电脑。