6,849
社区成员
发帖
与我相关
我的任务
分享关于突然出现n个eml文件的解决方法(尼姆达病毒!!!)
转贴:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,
如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“
”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64”,则删掉该文件。
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,
如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“
”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64”,则删掉该文件。
...全文
请发表友善的回复…
发表回复
