嘉定都市网

标题: [求助]一个病毒 [打印本页]
作者: xiaofeng_yh    时间: 2004-2-24 19:52
标题: [求助]一个病毒
W32.Welchia.B.Worm
XP操作系统,在诺顿中查出,无法删除.
路径为:c:\\windows\\system32\\config\\....\\WksPath[2].exe
作者: Guevara    时间: 2004-2-24 19:54
http://www.symantec.com/region/cn/index.html
怎么这么多人中这个
作者: xiaofeng_yh    时间: 2004-2-24 20:07
Thank You!!!
不过这个工具也无法删除
       

此贴由 xiaofeng_yh 在 2004-02-24 20:16:13 最后编辑
作者: 雨後的天空    时间: 2004-2-24 21:10
看样子有必要置顶一张帖子了
作者: Guevara    时间: 2004-2-24 21:40
勤打补丁勤升级 我的XP装了半年 还是贼快贼稳 今天加了根256m内存更爽了

BTW:今天买了根256m DDR266 卖家说是清华同方品牌机上的 ramaxel的牌子 英飞凌颗粒的  200大洋
       

此贴由 Guevara 在 2004-02-24 21:40:54 最后编辑
作者: 过期的罐头    时间: 2004-2-24 21:44
同方的内存不好,我不喜欢,原来老碰到装xp无法复制文件的!我不喜欢,超级不喜欢!!
作者: Guevara    时间: 2004-2-24 21:48
偶喜欢 超级喜欢  英飞凌颗粒 做工比我原来那根KINGSTON还好
作者: 宁可MOON    时间: 2004-2-24 22:57
英飞凌的东西的确好。看样子你买到好东西了。
不过在中国市场上很少能找的到。
他的销售业绩排在三星,华帮,HY之后,排第四,但是性能真的不逊他们
作者: 网际逍遥    时间: 2004-2-25 00:00
同意Guevara的看法,补丁一定要打,Windows系统漏洞很多啦!
我装Windows2000 server的,SP4打好至今还是很好!虽然电脑配置很差,但照样没问题!!还有杀毒软件一定要经常升级!
作者: johnlee    时间: 2004-2-25 14:54
直接删除这个文件或到norton网站上下载盖病毒专杀工具
作者: xiaofeng_yh    时间: 2004-3-11 22:39
原文由 johnlee 在 2004-02-25 14:54:33  发表
直接删除这个文件或到norton网站上下载盖病毒专杀工具


是我姐姐的电脑,你说的两种方法我都试过了,都不行。
作者: 元宝妹妹    时间: 2004-3-11 22:43
怎么个不行? 删不掉还是删了自己又出来?
作者: xiaofeng_yh    时间: 2004-3-11 22:46
原文由 元宝妹妹 在 2004-03-11 22:43:33  发表
怎么个不行? 删不掉还是删了自己又出来?


在诺顿中查到病毒,可是无法删除,无法隔离。
然后我就想直接找到该文件将他删除
但是找遍了整个硬盘都没有找到(真是怪事)

然后下载专用杀毒软件,也找不到。

但是病毒会使C盘容量不断增加,只能手工删除
作者: 莫尼卡    时间: 2004-3-12 08:44
我晕~你看懂了 NAV 的提示没有!?我中过这个病毒~在 NAV 2004 下中病毒后会有三次提示~第一次提示在硬盘中发现病毒并且已经删除病毒~第二次报告成功拦截该病毒的非法远程连接。最后次报该系统尝试修复病毒文件失败(此病毒本身就一个 exe 是病毒体不会感染其它 exe 修复当然失败了。)最后你可以在隔离区内找到该病毒的样本。专杀工具的英文提示应该是没有在你的系统中发现病毒……并不是删除失败。
此病毒文件在系统中的名字是:%Windir%\system32\drivers\svchost.exe~它第一次入侵你的电脑是利用如下几个系统漏洞:
通过 TCP 端口 135 利用 DCOM RPC 漏洞(如Microsoft 安全公告 MS02-026 中所述)。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。
通过 TCP 端口 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞,将会影响 Windows 2000 系统,并可能影响 Windows NT/XP 系统。
通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。
通过 TCP 端口 445 利用 Locator 服务漏洞(如 Microsoft 安全公告 MS03-001 中所述)。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机。
我使用 fileinfo 3.01 扫描病毒文件得知使用的是 UPX 0.9~1.24 加的壳但实际用 UPXShell 3.0 脱不了壳 -_-b 估计是用 Upxfx 保护过了~在 Win98 下用 Filescaner 成功脱壳(我有研究壳的不良嗜好……)
此病毒在利用漏洞成功控制你的计算机后会干这几件事情~
1.建立远程 telnet 连接~并把自己复制到目标机器的 %systemroot%/Documents and seetings/your user name/Localsettings/Template/WksPatch

2.运行自己~然后往注册表里灌键值。(具体会造成多一个名为 WksPatch 的奇怪服务)
以上为自己通过 NAV 2004 分析出的系统特征~不过由于此病毒驻留内存的程序名字是 svchost.exe 所以……(旧版本的 nav 可能无法清除)
       

此贴由 莫尼卡 在 2004-03-12 08:59:47 最后编辑
作者: 相良宗介    时间: 2004-3-12 13:39
原文由 莫尼卡 在 2004-03-12 08:44:26  发表
我晕~你看懂了 NAV 的提示没有!?我中过这个病毒~在 NAV 2004 下中病毒后会有三次提示~第一次提示在硬盘中...


已经装了诺顿2004了,并且更新了病毒库。
依然无法查出该病毒
不过过几天再看看硬盘空间会越来越少




欢迎光临 嘉定都市网 (http://www.jiading.com.cn/) Powered by Discuz! X3.1