20CN网络安全小组论坛 - 病毒专区 - 一个病毒怎么都删不掉！！帮忙

论坛: 病毒专区标题: 一个病毒怎么都删不掉！！帮忙

复制本贴地址

作者: mba [mba]

论坛用户

C:\WINNT\system32\wins\DLLHOST.EXE 就是这个
名字叫什么worm.killmsblast.10240 怎么都删不掉我到C盘里面直接删都不行怎么办！！！！谢谢

地主发表时间: 10/22 19:27

回复: ahdwj654 [ahdwj654]

论坛用户

用杀毒软件杀

B1层发表时间: 10/22 22:37

回复: abctm [abctm]

版主

在DOS下删除

B2层发表时间: 10/23 06:49

回复: cool [zjboyzone]

论坛用户

在安全模式或DOS杀..

B3层发表时间: 10/23 09:01

回复: kdbilly [kdbilly]

论坛用户

结束DLLHOST进程看能不能杀
如果不能杀的话就去金山网站上找冲击波的专杀工具
网址自己查

B4层发表时间: 10/24 17:02

回复: weidong [weidong]

论坛用户

是个系统文件，不是病毒。

B5层发表时间: 10/26 19:16

回复: Royy [royy]

论坛用户

是冲击波杀手，去找专杀工具。

B6层发表时间: 10/26 20:12

回复: tuzi [tuzi]

版主

(ZT)近期城域网上出现几种恶性网络蠕虫病毒，其中影响最严重的是W32/Nachi.Worm病毒，中文名称为“冲击波杀手”。不仅严重影响用户

工作，而且占用大量网络带宽，严重影响主干网性能。也是是近期网吧上网慢、断线、掉线的主要原因。

为此，要求各联网用户尽快采取如下措施：

1、所有WIN2K/XP/2003用户尽快检查自己的计算机，按照下文“计算机感染特征”的标准，确认是否受到病毒感染。
2、如果计算机受到病毒感染，请尽快升级杀毒程序查杀病毒，或按照下文“手动清除方法”步骤清除病毒。
3、无论有没有病毒感染，必须尽快安装相应的Windows补丁，以确保机器对该病毒免疫。

使用 WinNT4/2000/XP/2003 的用户请立即安装补丁 KB823980 ！这不是危言耸听，可能严重影响网络速度和系统安全！

如果您的计算机感染了Nachi蠕虫，可以用如下方法清除：

1、停止如下两项服务（开始->程序->管理工具->服务）：
WINS Client
Network Connections Sharing

2、检查、并删除文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE

3. 进入注册表（“开始->运行：regedit），删除如下键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch

4. 给系统打补丁（否则很快被再次感染）,
本地补丁下载地址:http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

病毒资料

蠕虫名称：W32/Nachi.Worm
影响系统：Windows 2000, Windows XP / Windows 2003
简单描述
W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统打上补丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。Nachi蠕虫感染机器后，会产生大量长度为92字节的ICMP报文，从而严重影响网络性能。
这些ICMP数据包的特征如下（其中xxx为隐去的IP地址）：

xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
4500 005c 1a8d 0000 7801 85be xxxx xxxx
xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa aaaa
计算机感染特征
1、被感染机器中存在如下文件：
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE

2、注册表中增加如下子项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch

3、增加两项伪装系统服务：
Network Connection Sharing
WINS Client
4、监听TFTP端口(69)，以及一个随机端口（常见为707）；
5、发送大量载荷为“aa”，填充长度92字节的icmp报文，大量icmp报文导致网络不可用。
6、大量对135端口的扫描；
蠕虫的详细信息
在被感染的机器上蠕虫会做以下操作：
1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe （%system%根据系统不同而不同，win2000为c:\winnt\system32,winxp为c:\windows\system32)

2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe

3、创建RpcTftpd服务，该服务取名Network Connections Sharing，并拷贝Distributed Transaction Coordinator服务的描述信息给自身。
服务的中文描述信息为：并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器
创建RpcPatch服务，该服务取名WINS Client，并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为：维护网络上计算机的最新列表以及提供这个列表给请求的程序。

4、判断内存中是否有msblaster蠕虫的进程，如果有就杀掉，判断system32目录下有没有msblast.exe 文件，如果有就删除。

5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段，检测这些地址段中存活的主机。

6、一旦发现存活的主机，便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看，通常都是707端口。

7、建立连接后发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，就将tfptd拷贝到%system%\wins\svhost.exe，如果没有，就利用自己建立的tftp服务将文件传过后再拷贝。

8、检测自身的操作系统版本号及server pack的版本号，然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。

9、监测当前的系统日期，如果是2004年，就将自身清除。

B7层发表时间: 10/26 21:38

回复: mba [mba]

论坛用户

我是XP 它上面的补丁一个是XP32 BIE, 一个是XP64 BIT 我应该下载哪个!!

B8层发表时间: 10/27 15:23

回复: Royy [royy]

论坛用户

32 bit。

B9层发表时间: 10/27 21:55

回复: kfjin [kfjin]

论坛用户

楼主，当务之急是：打补丁！
打完补丁后，可升级杀毒软件，进入安全模式下全面查杀！

B10层发表时间: 10/29 15:01

回复: sinolee [sinolee]

论坛用户

有个系统文件和这个同名
但是在system３２里面
这是病毒，冲击破杀手
为什么三不掉？我靠，它正在你系统里面工作，怎么杀的掉？

B11层发表时间: 10/30 13:44

回复: adam_xie [adam_xie]

论坛用户

冲击波杀手，专杀工具：http://www.symantec.com/avcenter/FixWelch.exe

B12层发表时间: 10/31 17:21

回复: mba [mba]

论坛用户

谢谢大家!! 我都搞定了真TMD烦我们寝室四台电脑全中了!!

B13层发表时间: 11/02 21:59

论坛: 病毒专区