Sorry,最近受病毒所困，散分！

itjune 2001-09-26 10:29:18

...全文

90 9 点赞打赏收藏举报

写回复

9 条回复

切换为时间正序

当前发帖距今超过3年，不再开放新的回复

发表回复

siyuan79 2001-09-26

怎么会需要从新安装系统呢？看看下面：
最新闪亮登场的的"概念”（又称尼姆达）蠕虫，预测其破坏性极为巨大，如果用户您不幸深中此毒，大为恐慌之余，还需保持冷静，国内第一家首次发现此病毒的金山公司教您手工清除它，且请用户按照如下方法一步一步进行手动清除：

初诊：

查看您的各个逻辑驱动器中的文件夹，如果发现大量文件夹下都存在一个.eml文件，长度为79225字节，基本上就可以确定了您已经中了现在流行极广的“概念”（尼姆达）病毒了。

处理方法如下：

预处理：在进行处理之前，建议您将机器从网络上断开，避免病毒从网络上再入侵您的机器。
处理过程：

1、打开进程管理器，查看进程列表；

2、结束其中进程名称为"xxx.tmp.exe"、"MMC.EXE"、"TFTP.EXE"以及"Load.exe"的进程（其中xxx为任意文件名）；

3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；

4、切换到系统的System目录，寻找名称为Riched20.DLL的文件；

5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它；

6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它；

7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它；

8、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；

9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除；

10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:\的完全共享；

11、搜索整个机器，查找文件名为*.eml的文件，长度为79225字节，如果文件内容中包含
　　 “<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
　　　<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
　　　</iframe></BODY></HTML> ”
　　以及
　　 “Content-Type: audio/x-wav;
　　 name="readme.exe"
　　 Content-Transfer-Encoding: base64
　　 ”，则删掉该文件。

12、搜索整个机器，查找所有的超文本语言类文件(如 html、htm、htt、asp、shtml、shtm 等)，若发现其中包含以下字符串：
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
则删除该段字符串。具体操作方法如下：执行“开始 | 搜索 | 文件或文件夹”命令打开搜索窗口，在要搜索的文件或文件夹名栏里输入“*.html;*.htm;*.htt;*.asp;*.shtml;*.shtm”，包含方字栏里输入上述字符串，搜索范围内选择“本地硬盘驱动器”。在每个搜索到的文件末尾可以上述字符串并删除。

13、最后，由于在某些情况下该蠕虫还会采用类似捆绑的方式感染一些.EXE文件，强烈建议您到毒霸的主页上下载“概念”病毒的专杀工具检查一遍硬盘，以确定清除了病毒。

尾声：
检查所有的共享文件夹设置，去除（或者设置访问密码）可写的共享文件夹；
如果您的机器是使用IE6以下版本或者开启了IIS服务，您还需要在http://www.iduba.net/secure/200109201370.htm上查看详尽的微软关于漏洞的解决方案，下载相应的补丁包安装。
如果经过了以上所有步骤，您就可以放心的将机器连上网络，正常使用了。
结束语：

如果您觉得以上的步骤太过繁琐，建议您下载毒霸的专杀工具进行处理。专杀工具中除了修改帐号信息、安装漏洞补丁等等用户自主性更强的动作没有处理以外，其他主动清除病毒包括恢复超文本文件都做了处理。您只需下载后，执行预处理步骤、使用专杀工具杀毒、尾声步骤即可。

只要用户您认真仔细地依照上述方法步骤，便可做到手动清除新“概念”（又称尼姆达）蠕虫，赶快行动吧！

查杀Nimda病毒后,彻底解决漏洞及手工修复的方案

--------------------------------------------------------------------------------

(瑞星公司)

针对win2000 Professional/server/Advanced server/win NT4 server

--基本步骤

1.首先安装IIS补丁(此IIS补丁防止遭受攻击)及IE相应最新补丁(IE补丁防止浏览带毒网页时中毒

IIS补丁程序
IIS4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665

IE补丁
Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序
Internet Explorer 5.01 Service Pack 2.
Internet Explorer 5.5 Service Pack 2.
Internet Explorer 6

--安全隔离

2.将服务器隔离,断开所有网线.

--解决病毒留下的后门程序

3.将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部移除.

--查杀病毒

4.使用瑞星杀毒软件进行查杀.彻底清除Nimda病毒.

--恢复网络

5.回复网络连接.

--去掉共享

6.当受到尼姆达病毒的入侵后，系统中会出现一些新的共享，如C、D等，应该将其共享属性去掉；

--查看管理权限

7.另外，查看一下administrators组中是否加进了“guest”用户，如果是，请将guest用户从administrators组中删除。

针对win98用户

只需安装相映的IE补丁程序，另外如果遇到OFFICE运行异常，请参照：

清除尼姆达病毒后如何修复OFFICE运行异常问题?

IE补丁
Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序
Internet Explorer 5.01 Service Pack 2.
Internet Explorer 5.5 Service Pack 2.
Internet Explorer 6

--注明

如果按照以上步骤仍无法解决问题,说明IIS补丁安装有问题.请重新安装IIS补丁.
如果用户服务器不提供Web服务的话,请将Web服务停止.,这样比较安全.