20CN网络安全小组论坛 - 病毒专区 - 他们说DLLHOST.EXE和SVCHOST.EXE是病毒？

论坛: 病毒专区标题: 他们说DLLHOST.EXE和SVCHOST.EXE是病毒？

作者: ceo_8008 [ceo_8008]

论坛用户

今天看到一个网页说DLLHOST.EXE 和SVCHOST.EXE是病毒，而我按照他们说的打开任务管理器，进程里确实有那两个东西，（好几个，重复一样的）我关闭进程，出现一个60秒倒计时，系统自动重新启动，出现RPC的东西，请问我的机器是不是中了RPC，其中的SVCHOST.EXE在WINDOW里杀不掉，目录是C：WINDOWS\SYSTEM32

不解~~~~~~~~~~~

地主发表时间: 08/27 19:48

回复: ceo_8008 [ceo_8008]

论坛用户

补充一下,关闭进程出现的60秒自动重启,

上面还有RPC之类的字眼,大概就是说意外服务终止

那就是RPC吧????

55555555555~~~~~~~~~~~~~~~

B1层发表时间: 08/27 20:05

回复: k_com [k_com]

论坛用户

确定的是，你中了冲击波~~
但那些SVCHOST.EXE和DLLHOST.EXE ，你自己检查服务吧~~那你就知道错在哪里了

B2层发表时间: 08/30 03:12

回复: xiean [xiean]

论坛用户

你那根本不是病毒

网上说的是 windwos\system32\wins\ 下的这两个文件是广外女生

请仔细看网站信息，dllhost, svchost 本来就是核心进程，而广外只是用他们的名字而已，但目录并不一样

B3层发表时间: 08/30 14:46

回复: dinghj [dinghj]

论坛用户

解决W32.Welchia.Worm病毒的办法
一、自动清除W32.Welchia.Worm的办法：
1、下载Symantec提供的杀毒工具
2、如果操作系统为Windows Me/XP，建议禁用掉系统中的系统恢复（System Restore）功能。
3、运行杀毒工具。
4、重新启动机器。
5、再次运行杀毒工具。
6、立刻打补丁和更新病毒库。
7、如果在2步骤中禁用了系统恢复（System Restore）功能，请重新打开。

Symatec提供的工具：
点击下载Symatec Tool

补丁：
1.关于RPC的补丁：
Windows 2000
Windows XP
2.关于WINDOWS2000系统：
windows2000_sp4

二、最简单的清除办法：
由于该病毒有自清除的特性，可以修改系统时间年份至2004年，并重新启动系统，病毒即可清除，然后安装漏洞补丁后再矫正系统时间。

三、手动清除W32.Welchia.Worm的办法：
1、如果操作系统为Windows Me/XP，建议禁用掉系统中的系统恢复（System Restore）功能。
2、在任务管理器关闭Dllhost.exe进程。
3、进入注册表（“开始->运行：regedit），删除如下键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
4、检查、并删除文件:
%SYSTEM%\WINS\DLLHOST.EXE
%SYSTEM%\WINS\SVCHOST.EXE

其中%System%表示（系统须是缺省安装目录）：
Windows 95/98/Me C:\Windows\System
Windows NT/2000  C:\Winnt\System32
Windows XP   C:\Windows\System32

5、重新启动机器。
6、立刻打补丁和更新病毒库。
7、如果禁用了系统恢复（System Restore）功能，请重新打开。

如还有该病毒的问题，可以发邮件给我  xiet5927@sina.com

[此贴被好好先生(dinghj) 在 09月01日16时29分编辑过]

B4层发表时间: 09/01 16:28