这是怎么回事呢？我在瑞星的主页里面查Worm.Welchia.b.enc这个病毒的资料，原来这是一个利用多个漏洞进行传播的蠕虫病毒，病毒运行后将自己复制到%System%\drivers\svchost.exe并在注册表中加入一个服务名为：WksPatch，其文件路径指向%System%\drivers\svchost.exe，显示名为以下3组字符串随机组合的服务。
                  　
    字串组1：
                  　　
    Security
                  　　
    Remote
                  　　
    Routing
                  　　
    Performance
                  　　
    Network
                  　　
    License
                  　　
    Internet
                  　　
    字串组2：
                  　　
    Manager
                  　　
    Procedure
                  　　
    Accounts
                  　　
    Event
                  　　
    字串组3：
                  　　
    Sharing
                  　　
    Messaging
                  　　
    Client

    但是这个病毒为啥杀了之后，重启电脑还会检测出病毒呢？笔者估计是Worm.Welchia.b.enc这个病毒在自己的电脑中留了一个后门，采用了一个随机的端口作为一个http服务器：当收到Get   WksPatch.exe请求后，向请求发送WksPatch.exe文件，这样只要上网，就会感染病毒。由于笔者不知道Worm.Welchia.b.enc的后门具体在哪里，查起来也比较费尽，所以我们只能以防为主。首先启动瑞星2004主程序，在“工具”菜单中选择“系统工具扫描”。接下来在“安全漏洞”和“安全设置”的前面打上对号，然后点击下面的“开始扫描”按钮，这样瑞星2004就会查找电脑里面的漏洞。在“安全漏洞”这个选项里面列出了具体有那些漏洞，并且提供了补丁的下载地址，这里将这些补丁都下载到硬盘上，然后进行安装。能保证机器本身没有漏洞，这样被攻击的几率就少了很多。