[求助]一个病毒

xiaofeng_yh

W32.Welchia.B.Worm
XP操作系统,在诺顿中查出,无法删除.
路径为:c:\\windows\\system32\\config\\....\\WksPath[2].exe

相良宗介

原文由 莫尼卡 在 2004-03-12 08:44:26  发表
我晕~你看懂了 NAV 的提示没有！？我中过这个病毒~在 NAV 2004 下中病毒后会有三次提示~第一次提示在硬盘中...

已经装了诺顿2004了，并且更新了病毒库。
依然无法查出该病毒
不过过几天再看看硬盘空间会越来越少

莫尼卡

我晕~你看懂了 NAV 的提示没有！？我中过这个病毒~在 NAV 2004 下中病毒后会有三次提示~第一次提示在硬盘中发现病毒并且已经删除病毒~第二次报告成功拦截该病毒的非法远程连接。最后次报该系统尝试修复病毒文件失败（此病毒本身就一个 exe 是病毒体不会感染其它 exe 修复当然失败了。）最后你可以在隔离区内找到该病毒的样本。专杀工具的英文提示应该是没有在你的系统中发现病毒……并不是删除失败。
此病毒文件在系统中的名字是：%Windir%\system32\drivers\svchost.exe~它第一次入侵你的电脑是利用如下几个系统漏洞：
通过 TCP 端口 135 利用 DCOM RPC 漏洞（如Microsoft 安全公告 MS02-026 中所述）。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。
通过 TCP 端口 80 利用 WebDav 漏洞（如 Microsoft 安全公告 MS03-007 中所述）。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞，将会影响 Windows 2000 系统，并可能影响 Windows NT/XP 系统。
通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞（如 Microsoft 安全公告 MS03-049 中所述）。
通过 TCP 端口 445 利用 Locator 服务漏洞（如 Microsoft 安全公告 MS03-001 中所述）。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机。
我使用 fileinfo 3.01 扫描病毒文件得知使用的是 UPX 0.9~1.24 加的壳但实际用 UPXShell 3.0 脱不了壳 -_-b 估计是用 Upxfx 保护过了~在 Win98 下用 Filescaner 成功脱壳(我有研究壳的不良嗜好……)
此病毒在利用漏洞成功控制你的计算机后会干这几件事情~
1.建立远程 telnet 连接~并把自己复制到目标机器的 %systemroot%/Documents and seetings/your user name/Localsettings/Template/WksPatch

2.运行自己~然后往注册表里灌键值。（具体会造成多一个名为 WksPatch 的奇怪服务）
以上为自己通过 NAV 2004 分析出的系统特征~不过由于此病毒驻留内存的程序名字是 svchost.exe 所以……（旧版本的 nav 可能无法清除）
       

此贴由 莫尼卡 在 2004-03-12 08:59:47 最后编辑

xiaofeng_yh

原文由 元宝妹妹 在 2004-03-11 22:43:33  发表
怎么个不行？ 删不掉还是删了自己又出来？

在诺顿中查到病毒，可是无法删除，无法隔离。
然后我就想直接找到该文件将他删除
但是找遍了整个硬盘都没有找到（真是怪事）

然后下载专用杀毒软件，也找不到。

但是病毒会使C盘容量不断增加，只能手工删除

元宝妹妹

怎么个不行？ 删不掉还是删了自己又出来？

xiaofeng_yh

原文由 johnlee 在 2004-02-25 14:54:33  发表
直接删除这个文件或到norton网站上下载盖病毒专杀工具

是我姐姐的电脑，你说的两种方法我都试过了，都不行。

johnlee

直接删除这个文件或到norton网站上下载盖病毒专杀工具

网际逍遥

同意Guevara的看法，补丁一定要打，Windows系统漏洞很多啦！
我装Windows2000 server的，SP4打好至今还是很好！虽然电脑配置很差，但照样没问题！！还有杀毒软件一定要经常升级！

宁可MOON

英飞凌的东西的确好。看样子你买到好东西了。
不过在中国市场上很少能找的到。
他的销售业绩排在三星,华帮,HY之后,排第四,但是性能真的不逊他们

Guevara

偶喜欢 超级喜欢  英飞凌颗粒 做工比我原来那根KINGSTON还好