DLLHOST.EXE 가 실행중이라면 - virus

수동치료 방법

1. 시작 -> 설정 -> 제어판 -> 관리도구 -> 서비스 아이콘을 더블클릭한다.
2. 실행중인 서비스명중 다음 서비스가 있는지 확인후 있다면 해당 서비스를 중지하도록 한다.
   - WINS Client
   - Network Connections Sharing
3. CTRL+ALT+DEL 키를 동시에 눌러 작업관리자를 실행후 -> 프로세스 탭으로 이동한다.
4. 현재 실행중인 프로세스 목록중에서 DLLHOST.EXE 가 실행중이라면 선택후

   '프로세스 종료'  버튼을 눌러 종료하도록 한다.
   * 서비스가 종료되면 해당 프로세스도 같이 종료되는 경우가 있다.

   이 경우는 별도로 프로세스를 종료하지 않아도 된다.
5. \WinNT\System32\Wins 또는 \Windows\System32\Wins 폴더로 이동후

   다음과 같은 파일을 삭제한다.
   - DLLHOST.EXE
   - SVCHOST.EXE

 

증 상
웜은 윈도우 시스템 폴더(일반적으로 \Winnt\system32, \windows\system32)의 하위폴더인 Wins 폴더에 아래의 파일들을 복사된 후 실행된다.
- dllhost.exe (10,240 바이트)
웜 본체로서 실행압축된 형태이며 Visual C++ 로 작성 되었다.

V3는 Win32/Welchia.worm.10240 로 진단
- svchost.exe (19,728 바이트)
원래는 tftpd.exe 파일이며 정상적인 파일로서 진단하지 않는다.
그리고 다음의 레지스트리 값에 추가된후 서비스로 등록되여 부팅시 마다 실행되도록 한다.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd