Sorry,最近受病毒所困,散分!

itjune 2001-09-26 10:29:18
...全文
84 点赞 收藏 9
写回复
9 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
siyuan79 2001-09-26
怎么会需要从新安装系统呢?看看下面:
最新闪亮登场的的"概念”(又称尼姆达)蠕虫,预测其破坏性极为巨大,如果用户您不幸深中此毒,大为恐慌之余,还需保持冷静,国内第一家首次发现此病毒的金山公司教您手工清除它,且请用户按照如下方法一步一步进行手动清除:

初诊:

查看您的各个逻辑驱动器中的文件夹,如果发现大量文件夹下都存在一个.eml文件,长度为79225字节,基本上就可以确定了您已经中了现在流行极广的“概念”(尼姆达)病毒了。

处理方法如下:



预处理:在进行处理之前,建议您将机器从网络上断开,避免病毒从网络上再入侵您的机器。
处理过程:

1、打开进程管理器,查看进程列表;

2、结束其中进程名称为"xxx.tmp.exe"、"MMC.EXE"、"TFTP.EXE"以及"Load.exe"的进程(其中xxx为任意文件名);

3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;

4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;

5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;

6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;

7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;

8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;

9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;

10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;

11、搜索整个机器,查找文件名为*.eml的文件,长度为79225字节,如果文件内容中包含
   “<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
   <iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
   </iframe></BODY></HTML> ”
   以及
   “Content-Type: audio/x-wav;
   name="readme.exe"
   Content-Transfer-Encoding: base64
   ”,则删掉该文件。

12、搜索整个机器,查找所有的超文本语言类文件(如 html、htm、htt、asp、shtml、shtm 等),若发现其中包含以下字符串:
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
则删除该段字符串。具体操作方法如下:执行“开始 | 搜索 | 文件或文件夹”命令打开搜索窗口,在要搜索的文件或文件夹名栏里输入“*.html;*.htm;*.htt;*.asp;*.shtml;*.shtm”,包含方字栏里输入上述字符串,搜索范围内选择“本地硬盘驱动器”。在每个搜索到的文件末尾可以上述字符串并删除。

13、最后,由于在某些情况下该蠕虫还会采用类似捆绑的方式感染一些.EXE文件,强烈建议您到毒霸的主页上下载“概念”病毒的专杀工具检查一遍硬盘,以确定清除了病毒。



尾声:
检查所有的共享文件夹设置,去除(或者设置访问密码)可写的共享文件夹;
如果您的机器是使用IE6以下版本或者开启了IIS服务,您还需要在http://www.iduba.net/secure/200109201370.htm上查看详尽的微软关于漏洞的解决方案,下载相应的补丁包安装。
如果经过了以上所有步骤,您就可以放心的将机器连上网络,正常使用了。
结束语:

如果您觉得以上的步骤太过繁琐,建议您下载毒霸的专杀工具进行处理。专杀工具中除了修改帐号信息、安装漏洞补丁等等用户自主性更强的动作没有处理以外,其他主动清除病毒包括恢复超文本文件都做了处理。您只需下载后,执行预处理步骤 、使用专杀工具杀毒、尾声步骤即可。


只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”(又称尼姆达)蠕虫,赶快行动吧!


查杀Nimda病毒后,彻底解决漏洞及手工修复的方案


--------------------------------------------------------------------------------


(瑞星公司)

针对win2000 Professional/server/Advanced server/win NT4 server

--基本步骤

1.首先安装IIS补丁(此IIS补丁防止遭受攻击)及IE相应最新补丁(IE补丁防止浏览带毒网页时中毒

IIS补丁程序
IIS4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665

IE补丁
Microsoft 安全公告(Security Bulletin) MS01-020提供的补丁程序
Internet Explorer 5.01 Service Pack 2.
Internet Explorer 5.5 Service Pack 2.
Internet Explorer 6

--安全隔离

2.将服务器隔离,断开所有网线.

--解决病毒留下的后门程序

3.将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部移除.

--查杀病毒

4.使用瑞星杀毒软件进行查杀.彻底清除Nimda病毒.

--恢复网络

5.回复网络连接.

--去掉共享

6.当受到尼姆达病毒的入侵后,系统中会出现一些新的共享,如C、D等,应该将其共享属性去掉;

--查看管理权限

7.另外,查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除。

针对win98用户

只需安装相映的IE补丁程序,另外如果遇到OFFICE运行异常,请参照:

清除尼姆达病毒后如何修复OFFICE运行异常问题?

IE补丁
Microsoft 安全公告(Security Bulletin) MS01-020提供的补丁程序
Internet Explorer 5.01 Service Pack 2.
Internet Explorer 5.5 Service Pack 2.
Internet Explorer 6



--注明

如果按照以上步骤仍无法解决问题,说明IIS补丁安装有问题.请重新安装IIS补丁.
如果用户服务器不提供Web服务的话,请将Web服务停止.,这样比较安全.


回复
itjune 2001-09-26
nimda把我害惨了,重装系统。
:(
回复
itjune 2001-09-26
nimda
回复
sanjianxia 2001-09-26
不知道老兄是什么意思!
回复
青润 2001-09-26
itjune(小鱼儿):
没有问题吧?
需要查什么病毒?说出来呀。无缘无故的散分,会影响社会治安的!老大!
回复
chenyun2000 2001-09-26
来干啥?
回复
sanjianxia 2001-09-26
有什么需要帮助的吗?
回复
itjune 2001-09-26
大家赶快来啊!
回复
itjune 2001-09-26
thanks
我已经搞定了!
回复
相关推荐
发帖
研发管理
创建于2007-08-27

1221

社区成员

软件工程/管理 管理版
申请成为版主
帖子事件
创建了帖子
2001-09-26 10:29
社区公告
暂无公告