worm.win32.ms08-067

这是一个利用微软漏洞进行传播的蠕虫病毒。它利用微软操作系统的MS08-067漏洞，将自己植入未打补丁的电脑，并以局域网、U盘等多种方式传播。

病毒运行后会进行以下操作：

1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统，如果是病毒才继续执行；

2、给病毒所在进程添加 SeDebugPrivilege 权限，对本机计算机名称进行 CRC32 计算，通过得到的 CRC32 值创建病毒互斥量，判断自己是否是 rundll32.exe 程序启动的；

3、判断是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 进程，将自己代码放到那两个中的一个里面去，然后修改注册表不显示隐藏文件；

4、针对services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"进程进行DNS查询以及TCP传输过程拦截；

5、针对杀毒软件关键字进行过滤，其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站；

6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务，并且改为手动；解决办法

首先断开网络，运行WSYSCHECK工具（没有请自己下载）找到进程svchost进程（病毒进程 红色）右击之，选择结束!在WSYSCHECK中的文件管理器中找到C:WINDOWSsystem32svchost.exe 病毒主文件svchost.exe直接删除！然后在活动文件选项中修复

svchost.exe！最后运行Serng工具修复被病毒损坏的系统（工具自动修复）！然后重新安装杀毒软件，升级到最新病毒库，全面查杀，将病毒残留物清除干净！

如果，以上的操作你不会，可以下载金山清理专家，启动其工具箱——进程管理器，选找出风险进程，找到后结束之，然后在文件管理器中找到C:WINDOWSsystem32svchost.exe 病毒主文件svchost.exe直接删除！并选择修复系统！

7、针对这个病毒现在瑞星杀毒可以直接查杀，你不防先安装瑞星免费版查杀，方便，快捷！