W32.Welchia.B.Worm jak go zabić ???

[Watcher]

witam

uzywam programu nav2003 z najnowszymi bazami (13.02.2004). Autoochrona co jakiś czas wywala że pliki:

C:WINDOWSsystem32driverssvchost.exe

C:WINDOWSTEMPTemporary Internet FilesContent.IE5GTURCXMJWksPatch[1].exe

sa zainfekowane wirusem W32.Welchia.B.Worm. Problem polega na tym, że norton nie jest w stanie znaleźć tego wirusa gdy skanuje system. Nie potrafi tego również narzędzie symanteca przeznaczone do jego wywalania: http://securityresponse.symantec.com/avcen...moval.tool.html

 

już sam nie wiem co robić, przywracanie systemu wyłączone.

 

help :!:

[SGJ]

Wywal te pliki z HDD, nie powinno ich wogóle być.

[Watcher]

spoko tak robiłem, tylko że one wracają :!: i jeszcze jedno:

http://www.mks.com.pl/baza.html?show=descr...ription&id=2641

 

jeszcze nie wspomniałem ze autoochrona nortona sie wiesza gdy wykrywa witusa wych plikach

 

a co do Svchost.exe

 

Pliki Dllhost.exe i Svchost.exe są prawidłowymi plikami systemu Windows, jednak powinny znajdować się w folderze %windir%System32, a nie w folderze %windir%System32Wins. Ponadto plik Svchost.exe kopiowany przez ten wirus do folderu %windir%System32Wins jest kopią pliku Tftpd.exe systemu Windows. Plik Dllhost.exe kopiowany przez ten wirus do folderu %windir%System32Wins jest kopią wirusa. Rozmiar wersji pliku zawierającej wirus zazwyczaj jest większy niż 10 000 bajtów. Rozmiar prawidłowego pliku Dllhost.exe systemu Windows jest równy 5 632 bajtów (system Windows Server 2003), 4 608 bajtów (system Windows XP) lub 5 904 bajtów (system Windows 2000).

http://support.microsoft.com/default.aspx?...id=kb;PL;826234

 

jak wywalic zeby nie wrocił Welchia :?:

 

UPDATE:

aha te pliki nie istnieją :!:

symantecowy onlineowy skaner nie wykrywa wirusa (wcale mu sie nie dziwie) :?

[SGJ]

Odwiedz windows Update i zainstaluj aktualizacje krytyczne.

[Watcher]

Nie można sprawdzić poprawności klucza produktu

:lol:

 

UPDATE:

ustawiłem date systemową na 02-czerwca-2004r mam na dzieje ze pomoze :lol:

 

jakieś inne pomysły :?:

[paulo]

jak wywalic zeby nie wrocił Welchia  :?:

Robak tworzy dwa żądania, które wysyłane są do komputerów zdalnych. Pierwsze z nich wykorzystuje lukę WebDav, natomiast drugie - DCOM RPC (niemal identycznie, jak robił to robak Lovesan).Następnie Welchia.b wybiera adres IP, wysyła żądanie ICMP i oczekuje na odpowiedź. Jeżeli zdalny komputer odpowie na żądanie, robak łączy się z nim za pośrednictwem portu 135 (identycznie jak Lovesan) lub 80 (jeżeli na atakowanym komputerze zainstalowany jest serwer IIS). Na koniec robak wysyła do atakowanego komputera pakiet, który pobiera zainfekowany kod.

Więcej informacji.

Znasz już sposób rozprzestrzeniania się wiruska, więc zrób co trzeba.

[Watcher]

czyli co :?:

[wunat]

poblokowac porty ?

[paulo]

1. Załataj RPC, możesz też w firewallu zablokować port 135.

2. Jeżeli nie używasz IIS'a to go wyłącz. Jeżeli go potrzebujesz to są programy, które zwiększają jego bezpieczeństwo (nie pamiętam nazwy, jak znajdę to dopiszę).

3. Możesz zablokować w firewallu ping'i (ICMP).

[Watcher]

zmienilem klucz w xp i zainstalowalem wszystko jak leci z witryny windowsupdate, narazie cisza

 

UPDATE:

wirus welchia iz gone :!:

[Kronos_3]

ja mam ten sam problem tez mam tego wiusa i nie moge sie go pozbyc sciagnolem antywirusa do nie go i nic za jakis czas sie pojawia i mam pytanie czy reinstalka systemu pomoze ??

[paulo]

...czy reinstalka systemu pomoze ??

A po co :?:

Musisz zablokować możliwość zainfekowania twojego komputera, a nie instalować system na nowo.

[Kronos_3]

tak ale i tak musze zrobic reinstalke a sposoby z ezmiana daty nie pomagaja a zmienic cd key nie moge nie wiemczemu a wiec pomuzcie

[Kronos_3]

wczoraj zrobilem reinstalke bo winda juz nie hciala wstac:(. A dzisiaj nagle norton masz wirusa "welchia" nie mam juz sil pomuzcie mi go sie pozbyc i wytlumaczcie to jak lamerowi bo ja nie kumaty jestem w tych sprawach plz!!!!!!!!!!!

[SGJ]

Idziesz do sklepu, kupujesz oryginalnego windowsa, instalujesz, wchodzisz na windows update i instalujesz wszystkie poprawki i po problemie.

[paulo]

...pomuzcie mi go sie pozbyc i wytlumaczcie to jak lamerowi bo ja nie kumaty jestem w tych sprawach plz!!!!!!!!!!!

Wszystko jest wyjaśnione w tym topicu. Napisz konkretnie z czym masz problem.

[Kronos_3]

1. Załataj RPC, możesz też w firewallu zablokować port 135.

2. Jeżeli nie używasz IIS'a to go wyłącz. Jeżeli go potrzebujesz to są programy, które zwiększają jego bezpieczeństwo (nie pamiętam nazwy, jak znajdę to dopiszę).

3. Możesz zablokować w firewallu ping'i (ICMP).

napisales tu co zrobic a ja nie wiem jak to zrobic a firewall jak mialem to non stop cos wyskakiwalo i niec nie moglem zrobic.poweic mi tylko co i jak to zrobic zeby tego h..a wywalic i zeby nie wrucil. np jak zalatac RPC ? itp

[SGJ]

jak zalatac RPC

Windowsupdate>aktualizacje krytyczne.

[Kronos_3]

a gzdie to jest i co to jest ? muwilem tlumaczzie jak lamerowi

[paulo]

Łatka do RPC.

W każdym firewallu będzie podobnie, ale np. w Sygate Personal Firewall robi się to tak: tools-->advanced rules-->add-->ports and protocols-->TCP/UDP-->Local-->135 (w zakładce general - block).

Blokowanie ping'ów podobnie ...-->ports and protocols-->ICMP-->all (w zakładce general - block).

W Win2003 IIS domyślnie jest wyłączony. Nie pamiętam jak się go wyłączało w XP - poszukaj pod hasłem Menedżer internetowych usług informacyjnych.

[Kronos_3]

spoko znalazlem jeszcze jedna latke do xp i jest narazie spokuj z tym h...m. wkacu nie ma to jak wspanialy czysty komp bez wirusuw

[DrastiC]

Przejrzalem poprzednia strone na temat tego Virusa.I niedzialaja zedne Removale i Fixy wzucilem nakladki i tez nic.Z tymi portami niewiem jak zrobic Aprop. Mam Neostrade.MAcie jeszcze jakies pomysly?