Board logo

标题: [求助] [打印本页]

作者: Matthew    时间: 2004-7-13 12:11

中毒症状如下图,由于我装了VC,可以对这种出错的程序调试,所以还能让他这样挂着挡一阵.中毒的症状和冲击波很像,提示在60秒内关机,可我去网上下了金山的专杀冲击波工具,没用啊~~~~感染的文件位置:

E:windows.0\system32\lsass.exe

这个东东可以删吗? ph34r.gif ph34r.gif
WHO CAN HELP ME?
作者: 逆风飞扬    时间: 2004-7-20 15:49

W32.Welchia.Worm
最简单的清除办法:
由于该病毒有自清除的特性,可以修改系统时间年份至2004年,并重新启动系统,病毒即可清除,然后安装漏洞补丁后再矫正系统时间。

二、自动清除W32.Welchia.Worm的办法:
1、下载Symantec提供的杀毒工具
2、如果操作系统为Windows Me/XP,建议禁用掉系统中的系统恢复(System Restore)功能。
3、运行杀毒工具。
4、重新启动机器。
5、再次运行杀毒工具。
6、立刻打补丁和更新病毒库。
7、如果在2步骤中禁用了系统恢复(System Restore)功能,请重新打开。

Symatec提供的工具:
点击下载Symatec Tool
http://pkucert.pku.edu.cn/patch/FixWelch.exe

补丁:
1.关于RPC的补丁:
Windows 2000 http://pkucert.pku.edu.cn/patch/Windows200...980-x86-CHS.exe
Windows XP http://pkucert.pku.edu.cn/patch/WindowsXP-...980-x86-CHS.exe
2.关于WINDOWS2000系统:
windows2000_sp4 http://pkucert.pku.edu.cn/patch/w2ksp4_cn.exe

三、手动清除W32.Welchia.Worm的办法:
1、如果操作系统为Windows Me/XP,建议禁用掉系统中的系统恢复(System Restore)功能。
2、在任务管理器关闭Dllhost.exe进程。
3、进入注册表(“开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
4、检查、并删除文件:
%SYSTEM%\WINS\DLLHOST.EXE
%SYSTEM%\WINS\SVCHOST.EXE

其中%System%表示(系统须是缺省安装目录):
Windows 95/98/Me C:\Windows\System
Windows NT/2000 C:\Winnt\System32
Windows XP C:\Windows\System32

5、重新启动机器。
6、立刻打补丁和更新病毒库。
7、如果禁用了系统恢复(System Restore)功能,请重新打开。

作者: 逆风飞扬    时间: 2004-7-20 15:50

对了 在操作前该做备份 一定别忘了!




欢迎光临 摆渡论坛 (http://bbs.wakin.org/) wakinchau.net