6,850
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
nikinana 2002-03-03
- 打赏
- 举报
免疫程序有什么用,安全设置才是关键。我的服务器只打sp2一样不中nimda
关键在于管理员的设置。
关键在于管理员的设置。
liuzhenyong 2001-11-24
- 打赏
- 举报
到网上搜索可以找到好多相关信息,你可以看看
有好多实用的方法,你爱用什么用什么。
有好多实用的方法,你爱用什么用什么。
hanbaby 2001-11-24
- 打赏
- 举报
老兄和我一样深受之苦,不过我现在已远离苦海了:
妮母达免役程序,http://www.downme.com/download/14569antinimda.zip
妮母达免役程序,http://www.downme.com/download/14569antinimda.zip
munn 2001-11-23
- 打赏
- 举报
金山毒霸nimda专杀工具
地址上面的兄弟已经给出
http://www.iduba.net/
地址上面的兄弟已经给出
http://www.iduba.net/
william920 2001-11-23
- 打赏
- 举报
解决方法:
=========
我们建议受到蠕虫感染的用户重新安装系统,以便清除其他潜在的后门。如果您不能立刻
重装系统,您可以参考下列步骤来清除蠕虫或者防止被蠕虫攻击:
1. 下载IE和IIS的补丁程序到受影响主机上
2. 安装杀毒软件和微软的CodeRedII清除程序
3. 备份重要数据
4. 断开网络连接(例如拔掉网线)
5. 执行杀毒工作,清除可能的CodeRedII蠕虫留下的后门
6. 安装IE和IIS的补丁
7. 重新启动系统
8. 再次运行杀毒软件以确保完全清除蠕虫病毒
9. 采取一些其他的预防措施(见下面的介绍)
10. 将计算机重新与网络连接
注:上述步骤仅供参考。
※ 清除蠕虫:
由于蠕虫修改和替换了大量的系统文件,因此手工清除可能比较繁琐而且不易清除干净。
我们建议用户使用最新版本的反病毒厂商的杀毒软件来进行清除工作。目前各大反病毒厂
商都已经可以查杀这种蠕虫病毒。您可能需要多次运行杀毒软件或清除程序,以确保彻底
杀掉受感染的文件。
我们建议您在杀毒之前备份您的重要数据,以避免可能的数据丢失。
具体清除步骤如下(这时应当已经断开网络连接):
1. 对于Windows 95/98/ME用户,您需要手工编辑C:\windows\system.ini(假设您的Windows
系统安装在C:\),找到如下行:
Shell = explorer.exe load.exe -dontrunold
将其改为:
Shell = explorer.exe
保存退出
重新启动计算机
2. 运行杀毒软件清除病毒
4. 运行清除CodeRedII蠕虫的工具
5. 重新禁止guest用户,并将guest用户从Administrators组中删除(只有对于Windows NT
/2000用户需要执行此步骤)
6. 检查您的共享。对于Windows 95/98/ME用户,应当删除各个硬盘的共享。
对于Windows NT/2000用户,确保您的管理员口令具有足够的强度。
7. 重启动计算机并再次运行杀毒软件以确保完全清除蠕虫病毒
※ 为了防止再次被蠕虫感染,您可能需要采取以下防范措施:
。对于不提供IIS服务的普通用户:
1. 您应当首先在IE浏览器菜单中选择:
工具|Internet选项|安全|Inernet|自定义级别...|
在“脚本”栏其中禁用"Java 小程序脚本"和"活动脚本"。在“下载”栏中禁止“文件
下载”。以防止用户浏览被蠕虫感染的页面时自动下载并执行蠕虫代码。
2. 不要执行收到邮件中的附件程序。
3. 根据您浏览器的版本,将您的IE升级到下列最新版本之一:
Internet Explorer 5.01 Service Pack 2:
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
Internet Explorer 5.5 Service Pack 2:
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Internet Explorer 6:
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
注:如果您并不需要使用IIS服务,但是由于缺省安装时选择了IIS服务,那么我们建议您
立刻卸载或者禁止启动IIS服务。
。对于需要提供IIS服务的用户:
1. 禁止任何用户执行tftp.exe和cmd.exe
对于使用NTFS分区的用户,您可以以管理员身份在命令行窗口中执行下列命令:
c:\> cacls %systemroot%\system32\tftp.exe /e /d Everyone
c:\> cacls %systemroot%\system32\cmd.exe /e /d Everyone
如果您的系统使用的是FAT32分区而不是NTFS分区,上述命令无效,您可以通过将
tftp.exe和cmd.exe改名来使蠕虫不能执行这两个程序。其他一些重要的程序可能也需要
进行权限限制,例如net.exe, ftp.exe等等
2. 检查是否您的系统中还有CodeRedII或者Sadmind/IIS蠕虫留下的后门,您可以使用微
软提供的清除工具CodeRedCleanup来进行清除:
您可以在下列地址下载此工具:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
3. 使用regedit删除下列键值(可选)
HKEY_CLASSES_ROOT\.eml
HKEY_CLASSES_ROOT\.nws
4. 删除不必要的可执行虚拟目录,例如/scripts,/MSADC, /_vti_bin等等。
5. 安装最新的安全补丁:
Windows NT 4系统
. 安装微软最新的IIS安全漏洞补丁合集:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
注: 在下拉框中选择相应的语言版本(例如简体中文版或者英文版)下载。
上述补丁可以安装在安装了SP5或者SP6的Windows NT系统中
Windows 2000系统
. 安装微软最新的IIS安全漏洞补丁合集:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011
注: 在下拉框中选择相应的语言版本(例如简体中文版或者英文版)下载
上述补丁可以安装在SP1或SP2的Windows 2000系统中
注意:安装补丁的时候最好断掉网络连接。
。对于提供了文件共享服务的用户:
检查您的文件共享目录,如果您并不真的需要提供文件共享服务。删除共享。
如果您必须要提供共享服务,确保为其设置足够强度的口令,并尽量禁止共享目录开放写
权限。
附录:各大杀毒厂商的地址:
杀毒软件厂商信息
Aladding Knowledge Systems
http://www.eSafe.com/home/csrt/valerts2.asp?virus_no=10087
Central Command, Inc.
http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005
Command Software Systems
http://www.commandsoftware.com/virus/nimda.html
F-Secure Corp
http://www.datafellows.com/v-descs/nimda.shtml
McAfee
http://vil.mcafee.com/dispVirus.asp?virus_k=99209
Panda Software
http://service.pandasoftware.es/library/card.jsp?Virus=Nimda
Proland Software
http://www.pspl.com/virus_info/worms/nimda.htm
Sophos
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
Symantec
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
金山公司:
http://www.iduba.net/resource/special/Concept/index.htm
瑞星公司:
http://www.rising.com.cn/
=========
我们建议受到蠕虫感染的用户重新安装系统,以便清除其他潜在的后门。如果您不能立刻
重装系统,您可以参考下列步骤来清除蠕虫或者防止被蠕虫攻击:
1. 下载IE和IIS的补丁程序到受影响主机上
2. 安装杀毒软件和微软的CodeRedII清除程序
3. 备份重要数据
4. 断开网络连接(例如拔掉网线)
5. 执行杀毒工作,清除可能的CodeRedII蠕虫留下的后门
6. 安装IE和IIS的补丁
7. 重新启动系统
8. 再次运行杀毒软件以确保完全清除蠕虫病毒
9. 采取一些其他的预防措施(见下面的介绍)
10. 将计算机重新与网络连接
注:上述步骤仅供参考。
※ 清除蠕虫:
由于蠕虫修改和替换了大量的系统文件,因此手工清除可能比较繁琐而且不易清除干净。
我们建议用户使用最新版本的反病毒厂商的杀毒软件来进行清除工作。目前各大反病毒厂
商都已经可以查杀这种蠕虫病毒。您可能需要多次运行杀毒软件或清除程序,以确保彻底
杀掉受感染的文件。
我们建议您在杀毒之前备份您的重要数据,以避免可能的数据丢失。
具体清除步骤如下(这时应当已经断开网络连接):
1. 对于Windows 95/98/ME用户,您需要手工编辑C:\windows\system.ini(假设您的Windows
系统安装在C:\),找到如下行:
Shell = explorer.exe load.exe -dontrunold
将其改为:
Shell = explorer.exe
保存退出
重新启动计算机
2. 运行杀毒软件清除病毒
4. 运行清除CodeRedII蠕虫的工具
5. 重新禁止guest用户,并将guest用户从Administrators组中删除(只有对于Windows NT
/2000用户需要执行此步骤)
6. 检查您的共享。对于Windows 95/98/ME用户,应当删除各个硬盘的共享。
对于Windows NT/2000用户,确保您的管理员口令具有足够的强度。
7. 重启动计算机并再次运行杀毒软件以确保完全清除蠕虫病毒
※ 为了防止再次被蠕虫感染,您可能需要采取以下防范措施:
。对于不提供IIS服务的普通用户:
1. 您应当首先在IE浏览器菜单中选择:
工具|Internet选项|安全|Inernet|自定义级别...|
在“脚本”栏其中禁用"Java 小程序脚本"和"活动脚本"。在“下载”栏中禁止“文件
下载”。以防止用户浏览被蠕虫感染的页面时自动下载并执行蠕虫代码。
2. 不要执行收到邮件中的附件程序。
3. 根据您浏览器的版本,将您的IE升级到下列最新版本之一:
Internet Explorer 5.01 Service Pack 2:
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
Internet Explorer 5.5 Service Pack 2:
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Internet Explorer 6:
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
注:如果您并不需要使用IIS服务,但是由于缺省安装时选择了IIS服务,那么我们建议您
立刻卸载或者禁止启动IIS服务。
。对于需要提供IIS服务的用户:
1. 禁止任何用户执行tftp.exe和cmd.exe
对于使用NTFS分区的用户,您可以以管理员身份在命令行窗口中执行下列命令:
c:\> cacls %systemroot%\system32\tftp.exe /e /d Everyone
c:\> cacls %systemroot%\system32\cmd.exe /e /d Everyone
如果您的系统使用的是FAT32分区而不是NTFS分区,上述命令无效,您可以通过将
tftp.exe和cmd.exe改名来使蠕虫不能执行这两个程序。其他一些重要的程序可能也需要
进行权限限制,例如net.exe, ftp.exe等等
2. 检查是否您的系统中还有CodeRedII或者Sadmind/IIS蠕虫留下的后门,您可以使用微
软提供的清除工具CodeRedCleanup来进行清除:
您可以在下列地址下载此工具:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
3. 使用regedit删除下列键值(可选)
HKEY_CLASSES_ROOT\.eml
HKEY_CLASSES_ROOT\.nws
4. 删除不必要的可执行虚拟目录,例如/scripts,/MSADC, /_vti_bin等等。
5. 安装最新的安全补丁:
Windows NT 4系统
. 安装微软最新的IIS安全漏洞补丁合集:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
注: 在下拉框中选择相应的语言版本(例如简体中文版或者英文版)下载。
上述补丁可以安装在安装了SP5或者SP6的Windows NT系统中
Windows 2000系统
. 安装微软最新的IIS安全漏洞补丁合集:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011
注: 在下拉框中选择相应的语言版本(例如简体中文版或者英文版)下载
上述补丁可以安装在SP1或SP2的Windows 2000系统中
注意:安装补丁的时候最好断掉网络连接。
。对于提供了文件共享服务的用户:
检查您的文件共享目录,如果您并不真的需要提供文件共享服务。删除共享。
如果您必须要提供共享服务,确保为其设置足够强度的口令,并尽量禁止共享目录开放写
权限。
附录:各大杀毒厂商的地址:
杀毒软件厂商信息
Aladding Knowledge Systems
http://www.eSafe.com/home/csrt/valerts2.asp?virus_no=10087
Central Command, Inc.
http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005
Command Software Systems
http://www.commandsoftware.com/virus/nimda.html
F-Secure Corp
http://www.datafellows.com/v-descs/nimda.shtml
McAfee
http://vil.mcafee.com/dispVirus.asp?virus_k=99209
Panda Software
http://service.pandasoftware.es/library/card.jsp?Virus=Nimda
Proland Software
http://www.pspl.com/virus_info/worms/nimda.htm
Sophos
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
Symantec
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
金山公司:
http://www.iduba.net/resource/special/Concept/index.htm
瑞星公司:
http://www.rising.com.cn/
laozhongcheng 2001-11-23
- 打赏
- 举报
装上SP2可以防止nimda再次入侵
码农界扛把子 2001-11-22
- 打赏
- 举报
把网全断了,才能够杀清
zych72 2001-11-22
- 打赏
- 举报
金山毒霸的自动防护功能不能阻止nimda入侵,我用nordon2000效果不错。
zhy97031 2001-11-22
- 打赏
- 举报
去毒霸网站看方法,然后断开网络,慢慢杀吧,
不然全部格式化重装也行,装好一台后用ghost。
不然全部格式化重装也行,装好一台后用ghost。
