sh1超轻型122榴弹炮:我的电脑在开机的时候出现Generic host process for win32 sevices遇到一个问题,需要关闭.

转小熊论坛的一篇文章，楼主看看。
此病毒利用“震荡波”的后门及系统MS-4011漏洞进行传播，会尝试清除系统里的“震荡波”、“恶鹰”、“网络天空”等多个电脑病毒，可能造成系统异常。占用大量网络资源，可能会造成企业局域网运行缓慢甚至瘫痪。

一、病毒评估

1．病毒中文名：假警察
2．病毒英文名：Worm.Win32.Dabber.a
3．病毒别名：Worm.Win32.Dabber.A (AVP)
4．病毒大小：29,696字节
5．病毒类型：蠕虫病毒
6．病毒危险等级：★★★★
7．病毒传播途径：系统漏洞/后门
8．病毒依赖系统：Windows 9X（可感染，但无危害）NT/2000/XP（可危害）

二、技术细节

1．复制自己到系统目录并实现自启动

病毒运行后，将自己复制到%SYSTEM%目录，c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中，文件名为：package.exe。在注册表HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run中加入自己的键值：sassfix=%system%\package.exe，病毒使用"sas4dab"为互斥量。

2．试图清除一些病毒的注册表键值：

尝试删除注册表Run项中的以下键值，使之不能正常启动：
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve

3．建立四个线程实现一些功能。

（1）后门：
病毒监视9898端口，等待客户端的连接。该后门可以执行一些如：执行文件，从特定网站下载文件等功能。

（2）TFTP服务器：
病毒监听69端口，实现一个tftp服务器，一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。

（3）一个空线程：
病毒作者并没有实现任何代码。（可能下个版本将实现）

（4）利用漏洞进行攻击
病毒利用本地系统的ip进行计算，找到攻击目标地址并尝试对其5554端口（震荡波的后门）的连接。

A．如果联接失败：

病毒将尝试对其9898端口的连接（用以识别目标系统是否已被病毒感染过），失败（目标系统没有被病毒感染）时病毒利用MS04-011漏洞对目标系统进行攻击，并利用自己的tftp服务器将自己复制过去。

B．联接成功：

病毒将尝试对其9898端口的连接（用以识别目标系统是否已被病毒感染过）当失败（目标系统没有被病毒感染）时病毒利用震荡波的后门将自己复制过去。

三、解决方案：

升级杀毒软件的病毒库到最新版

希望能解决您的问题！！！