文件是在 c:\winnt\system32\wins\dllhost.exe
文件无法隔离, 病毒也无法删除,
因为我在外地,只能进行远程管理, 希望大家能够提出好的办法
---------------------------------------------------------------
参考水木清华virus版文章。
判断染毒方法:
1、进程中有dllhost进程在活动。 (符合此条仅仅是有可能,并不代表一定中毒)
辟谣:针对某些文章中通过svchost判断的,纯属误导。进程管理器一般不显示进程程序
所在位置。
2、服务中存在WINS Client这一项。
(普通Blaster: 在Windows system32文件夹中有MSBLAST.Exe文件;提示错误信息:RPC服
务失败,系统重启。BTW:RPC漏洞不影响win95/98/ME系统。)
解决办法:
1、手动:开始菜单->运行->键入"cmd"->确定
net stop RpcPatch(停止WINS Client服务)
net stop RpcTftpd(停止Network Connections Sharing服务)
开始菜单->运行->键入"regedit"->确定
找到"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"
和“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\”
删除.RpcPatch和RpcTftpd键(连同目录),退出注册表编辑器
删除系统(System32)目录下wins目录里面的dllhost.exe和Svchost.exe
2、借助杀毒工具:更新病毒库(Norton要求18日之后病毒定义)或者下载Norton(或者
瑞星、金山最新的专杀本地运行。(其他blaster变种亦可用此法清除,推荐。若清除失
败,进安全模式。)
http://bbs1.nju.edu.cn/file/w32.welchial-tool.rar
http://bbs1.nju.edu.cn/file/FixWelch.exe
3、(临时应急)停止、禁用wins服务。
(我的电脑右键->管理->服务和应用程序->服务里)
Service Name: RpcPatch Service Display Name: WINS Client
Service Binary: %System%\wins\dllhost.exe
win2000中文简体:
win2000cn_sp4下载:
http://download.microsoft.com/download/4/1/4/4140e2e0-0ad9-4438-ac52-da0e0429
c0e6/w2ksp4_cn.exe
win2000中文简体PRC补丁:
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759
e977/Windows2000-KB823980-x86-CHS.exe
winxp中文简体PRC补丁:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9
d2c0/WindowsXP-KB823980-x86-CHS.exe
因XP破解版本问题打不上补丁的,应禁用DCOM:
开始菜单->运行->键入" dcomcnfg "->确定,
控制台根目录-〉组件服务-〉computers/计算机->我的电脑
查看“我的电脑”的属性,默认属性是六个标签之一。(感谢Yury网友!)
“默认属性”->取消“在这台计算机上启用分布式COM”的复选框->“确定”。
建议安装网络防火墙。检查机器上不能存在完全网络共享的文件夹。
(XP我的电脑->共享文档很多就是完全共享)
---------------------------------------------------------------
解决W32.Welchia.Worm病毒的办法
一、最简单的清除办法:
由于该病毒有自清除的特性,可以修改系统时间年份至2004年,并重新启动系统,病毒即可清除,然后安装漏洞补丁后再矫正系统时间。
二、自动清除W32.Welchia.Worm的办法:
1、下载Symantec提供的杀毒工具
2、如果操作系统为Windows Me/XP,建议禁用掉系统中的系统恢复(System Restore)功能。
3、运行杀毒工具。
4、重新启动机器。
5、再次运行杀毒工具。
6、立刻打补丁和更新病毒库。
7、如果在2步骤中禁用了系统恢复(System Restore)功能,请重新打开。
Symatec提供的工具:
下载Symatec Tool :http://pkucert.pku.edu.cn/patch/FixWelch.exe
补丁:
1.关于RPC的补丁:
Windows 2000 :http://pkucert.pku.edu.cn/patch/Windows2000-KB823980-x86-CHS.exe
Windows XP :http://pkucert.pku.edu.cn/patch/WindowsXP-KB823980-x86-CHS.exe
2.关于WINDOWS2000系统:
windows2000_sp4:http://pkucert.pku.edu.cn/patch/w2ksp4_cn.exe
三、手动清除W32.Welchia.Worm的办法:
1、如果操作系统为Windows Me/XP,建议禁用掉系统中的系统恢复(System Restore)功能。
2、在任务管理器关闭Dllhost.exe进程。
3、进入注册表(“开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
4、检查、并删除文件:
%SYSTEM%\WINS\DLLHOST.EXE
%SYSTEM%\WINS\SVCHOST.EXE
其中%System%表示(系统须是缺省安装目录):
Windows 95/98/Me C:\Windows\System
Windows NT/2000 C:\Winnt\System32
Windows XP C:\Windows\System32
5、重新启动机器。
6、立刻打补丁和更新病毒库。
7、如果禁用了系统恢复(System Restore)功能,请重新打开。