9,506
社区成员
发帖
与我相关
我的任务
分享高分求助在线wait......
是这样的,我的电脑中了Worm.Concept.e.57344,有谁知道...
我只知它14:00开始起动,
1。在,//D:\Inetpub\scripts/生成TFTP1024,TFTP136...等等。
2。生成readme.eml,很多很多。。。
3。在\recycled\生成dc.eml很多很多。。。
4。在*.html中加script window.open("readme.eml"...)
毒毒毒毒毒毒毒毒毒毒毒毒
我只知它14:00开始起动,
1。在,//D:\Inetpub\scripts/生成TFTP1024,TFTP136...等等。
2。生成readme.eml,很多很多。。。
3。在\recycled\生成dc.eml很多很多。。。
4。在*.html中加script window.open("readme.eml"...)
毒毒毒毒毒毒毒毒毒毒毒毒
...全文
请发表友善的回复…
发表回复
adminis 2002-07-02
- 打赏
- 举报
不会吧?楼上的兄弟怎么都这样,人家已经很痛苦了!动不动就叫人家格了!有没有搞错!
听我的,去金山毒霸上下一个最新的试用版,它里面有一个工具,启动盘!好像是这样说的,拿两张软盘,做一下。
重启,插入第一张!提示后再插入第二张!在DOS下干了它
听我的,去金山毒霸上下一个最新的试用版,它里面有一个工具,启动盘!好像是这样说的,拿两张软盘,做一下。
重启,插入第一张!提示后再插入第二张!在DOS下干了它
DURON800 2002-07-02
- 打赏
- 举报
我跟你有同样的经历,金山毒霸专杀工具是杀不掉尼姆达病毒的,只能临时清除,而后又会复发,真是痛苦啊!
我告诉你我的方法:
1、取消一切共享,避免感染;
2、断开网络;
3、用瑞星最新网络版杀毒工具或KV3000最新网络版杀毒;
4、ok,启动病毒防护工具,万事大吉。
我告诉你我的方法:
1、取消一切共享,避免感染;
2、断开网络;
3、用瑞星最新网络版杀毒工具或KV3000最新网络版杀毒;
4、ok,启动病毒防护工具,万事大吉。
sharkshi 2002-07-02
- 打赏
- 举报
标准备回答:
第一,断开网络,最好是物理断开,
第二,关闭所有程序,和服务。
第三,取消供享目录
第回,启动金山毒霸杀毒!
第五,最好不要去看别人机子上的,如*.eml ; *.nes 类型的文件。
GOOD LUCK GRIL !
第一,断开网络,最好是物理断开,
第二,关闭所有程序,和服务。
第三,取消供享目录
第回,启动金山毒霸杀毒!
第五,最好不要去看别人机子上的,如*.eml ; *.nes 类型的文件。
GOOD LUCK GRIL !
wlw88 2002-07-02
- 打赏
- 举报
哈哈,去微软上下个把补丁全部打上,一切ok!
ZorroX 2002-07-01
- 打赏
- 举报
最新闪亮登场的的"概念”(又称尼姆达)蠕虫,预测其破坏性极为巨大,如果用户您不幸深中此毒,大为恐慌之余,还需保持冷静,国内第一家首次发现此病毒的金山公司教您手工清除它,且请用户按照如下方法一步一步进行手动清除:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
</iframe></BODY></HTML> ”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
”,则删掉该文件。
<p> 只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”(又称尼姆达)蠕虫,赶快行动吧! </p>
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
</iframe></BODY></HTML> ”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
”,则删掉该文件。
<p> 只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”(又称尼姆达)蠕虫,赶快行动吧! </p>
xiaowei_2002 2002-07-01
- 打赏
- 举报
我想格式化重装的解决办法是最好的,即使你是通过手动的方法把病毒都清理了,可是还是会留下‘后遗症’的!
lwfever 2002-07-01
- 打赏
- 举报
把网断开先!!!然后杀,不行就格了吧
长乐子 2002-07-01
- 打赏
- 举报
要不你就编个程序从14:00就开始删除后坠名为.eml的文件
长乐子 2002-07-01
- 打赏
- 举报
格了重装吧
pchaos 2002-07-01
- 打赏
- 举报
安装windows补丁,要不杀不干净的
hanry 2002-07-01
- 打赏
- 举报
朋友.Only this way?????
xiaowei_2002 2002-07-01
- 打赏
- 举报
关于Worm.Concept.e.57344的处理办法。。(转)
近期各式各样的病毒困饶着我们,求职信,蠕虫,中国一号......通过一个特定MIME 头的HTML 邮件;
通过浏览一个已受感染系统的WEB站点;
通过打开网络共享;通过一个未打补丁的 IIS 系统 ( 4.0 和 5.0). 入侵我们的系统。
当用户浏览一个携带有蠕虫的HTML邮件,或访问一个被感染的WEB站点,Internet Explorer 会下载一个执行Nimda.A 代码的附件程序( readme.exe )。这种情况的产生是因为微软Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱点。这个安全漏洞的详细描述和相应补丁可参见:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
对于运行IIS的系统,蠕虫可能利用如下HTTP安全漏洞:
Microsoft IIS 4.0/5.0文件许可规范漏洞( File Permission Canonicalization Vulnerability )
Microsoft IIS/PWS 字符逃离解码命令执行漏洞(Escaped Characters Decoding Command Execution Vulnerability )
Microsoft IIS 和 PWS 扩展统一编码目录可通过漏洞(Extended Unicode Directory Traversal Vulnerability )
蠕虫通过任意选择的IP地址查找有漏洞的Internet 服务器。这个地址的产生和进行的扫描是由一个名为mmc.exe 的进程来执行的(mmc.exe 文件被蠕虫本身的副本所覆盖)。当mmc.exe 进程执行的时候,Win NT/2000用户可能会明显感到系统性能变慢。此外,蠕虫会把自身复制为Admin.dll 文件到所有驱动器的根目录。(蠕虫会把Admin.dll 标记为真的DLL文件)
当蠕虫连接到受害机器的后,会搜索所有目录并通过在文件中加入一行JavaScript 代码来感染htm, asp 和 html文件 。在感染成功的每一个目录中,蠕虫都会生成含有它自身MIME 代码格式的文件eadme.eml 或 readme.nws。当一个受感染的htm* 或 asp文件被打开后蠕虫将在这些MIME文件中被执行。
蠕虫会感染Win32可执行文件(Winzip32.exe 文件除外),并让这些受感染的程序使用原来的图标。
Nimda.A也会以一个合法的文件名riched20.dll复制自身到含有.DOC文件的目录中。
特别是winNTserver,win2k adv.server等中招后,不要过分依赖杀病毒软件,最好老老实实的重装系统一遍,注意先不要把IIS组建选上,不要配置IP,dns 等,短开网线,先杀他一番,把下载的IE,IIS两个补丁打上,WindowsUpdate一下,重起,再杀。
近期各式各样的病毒困饶着我们,求职信,蠕虫,中国一号......通过一个特定MIME 头的HTML 邮件;
通过浏览一个已受感染系统的WEB站点;
通过打开网络共享;通过一个未打补丁的 IIS 系统 ( 4.0 和 5.0). 入侵我们的系统。
当用户浏览一个携带有蠕虫的HTML邮件,或访问一个被感染的WEB站点,Internet Explorer 会下载一个执行Nimda.A 代码的附件程序( readme.exe )。这种情况的产生是因为微软Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱点。这个安全漏洞的详细描述和相应补丁可参见:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
对于运行IIS的系统,蠕虫可能利用如下HTTP安全漏洞:
Microsoft IIS 4.0/5.0文件许可规范漏洞( File Permission Canonicalization Vulnerability )
Microsoft IIS/PWS 字符逃离解码命令执行漏洞(Escaped Characters Decoding Command Execution Vulnerability )
Microsoft IIS 和 PWS 扩展统一编码目录可通过漏洞(Extended Unicode Directory Traversal Vulnerability )
蠕虫通过任意选择的IP地址查找有漏洞的Internet 服务器。这个地址的产生和进行的扫描是由一个名为mmc.exe 的进程来执行的(mmc.exe 文件被蠕虫本身的副本所覆盖)。当mmc.exe 进程执行的时候,Win NT/2000用户可能会明显感到系统性能变慢。此外,蠕虫会把自身复制为Admin.dll 文件到所有驱动器的根目录。(蠕虫会把Admin.dll 标记为真的DLL文件)
当蠕虫连接到受害机器的后,会搜索所有目录并通过在文件中加入一行JavaScript 代码来感染htm, asp 和 html文件 。在感染成功的每一个目录中,蠕虫都会生成含有它自身MIME 代码格式的文件eadme.eml 或 readme.nws。当一个受感染的htm* 或 asp文件被打开后蠕虫将在这些MIME文件中被执行。
蠕虫会感染Win32可执行文件(Winzip32.exe 文件除外),并让这些受感染的程序使用原来的图标。
Nimda.A也会以一个合法的文件名riched20.dll复制自身到含有.DOC文件的目录中。
特别是winNTserver,win2k adv.server等中招后,不要过分依赖杀病毒软件,最好老老实实的重装系统一遍,注意先不要把IIS组建选上,不要配置IP,dns 等,短开网线,先杀他一番,把下载的IE,IIS两个补丁打上,WindowsUpdate一下,重起,再杀。
hanry 2002-07-01
- 打赏
- 举报
帮助我搞定这个:
http://www.csdn.net/expert/topic/840/840162.xml?temp=.1496698
http://www.csdn.net/expert/topic/840/840162.xml?temp=.1496698
hanry 2002-07-01
- 打赏
- 举报
后来有没有有些程序不能运行
danliyou 2002-07-01
- 打赏
- 举报
帮助我搞定这个:
http://www.csdn.net/expert/topic/840/840162.xml?temp=.1496698
我用DELPHI不是很多。
谢谢!!!!
http://www.csdn.net/expert/topic/840/840162.xml?temp=.1496698
我用DELPHI不是很多。
谢谢!!!!
danliyou 2002-07-01
- 打赏
- 举报
我们的局域网曾经遇到过你的那种情况,
同意setcdq9801(www.蓝鸽@我是你.net) 办法。
同意setcdq9801(www.蓝鸽@我是你.net) 办法。
hanry 2002-07-01
- 打赏
- 举报
关了是一个好办法。我试一试.有创意....
InsideBlue 2002-07-01
- 打赏
- 举报
你要是不用IIS,就把IIS服务关了就行了:)
setcdq9801的专栏 2002-07-01
- 打赏
- 举报
尼姆达呀!!
快断开网络!!
不共享所有文件夹
然后用专杀工具
尼姆达终结者v4.5
http://www.ynxx.com/download/NoNimda.exe
或是下载金山毒霸的专杀工具
或升级杀毒软件至最新
杀!!
杀!!!!
杀1!!!
如果杀完后有些程序不能运行
就建议重装系统
记着保护措施做好一点
装个杀毒软件吧
现在病毒太厉害了
快断开网络!!
不共享所有文件夹
然后用专杀工具
尼姆达终结者v4.5
http://www.ynxx.com/download/NoNimda.exe
或是下载金山毒霸的专杀工具
或升级杀毒软件至最新
杀!!
杀!!!!
杀1!!!
如果杀完后有些程序不能运行
就建议重装系统
记着保护措施做好一点
装个杀毒软件吧
现在病毒太厉害了
hanry 2002-07-01
- 打赏
- 举报
楼上大哥们我用了
但是它只要是系统时间是14:00开始起动,
金山毒霸专杀工具杀了又有。。。。。何解。。。。。???
但是它只要是系统时间是14:00开始起动,
金山毒霸专杀工具杀了又有。。。。。何解。。。。。???
加载更多回复(5)
