教您手工清除尼姆达蠕虫
-------------------------------------------------------------
金山毒霸报道
发布时间:2001-09-19 11:08:2
最新闪亮登场的的"概念”(又称尼姆达)蠕虫,预测其破坏性极为巨大,如果用户您不幸深中此毒,大为恐慌之余,还需保持冷静,国内第一家首次发现此病毒的金山公司教您手工清除它,且请用户按照如下方法一步一步进行手动清除:
初诊:
查看您的各个逻辑驱动器中的文件夹,如果发现大量文件夹下都存在一个.eml文件,长度为79225字节,基本上就可以确定了您已经中了现在流行极广的“概念”(尼姆达)病毒了。
处理方法如下:
预处理:在进行处理之前,建议您将机器从网络上断开,避免病毒从网络上再入侵您的机器。
处理过程:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为"xxx.tmp.exe"、"MMC.EXE"、"TFTP.EXE"以及"Load.exe"的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:/、D:/、E:/三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:/的完全共享;
11、搜索整个机器,查找文件名为*.eml的文件,长度为79225字节,如果文件内容中包含
“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
</iframe></BODY></HTML> ”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
”,则删掉该文件。
12、搜索整个机器,查找所有的超文本语言类文件(如 html、htm、htt、asp、shtml、shtm 等),若发现其中包含以下字符串:
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
则删除该段字符串。具体操作方法如下:执行“开始 | 搜索 | 文件或文件夹”命令打开搜索窗口,在要搜索的文件或文件夹名栏里输入“*.html;*.htm;*.htt;*.asp;*.shtml;*.shtm”,包含方字栏里输入上述字符串,搜索范围内选择“本地硬盘驱动器”。在每个搜索到的文件末尾可以上述字符串并删除。
13、最后,由于在某些情况下该蠕虫还会采用类似捆绑的方式感染一些.EXE文件,强烈建议您到毒霸的主页上下载“概念”病毒的专杀工具检查一遍硬盘,以确定清除了病毒。
尾声:
检查所有的共享文件夹设置,去除(或者设置访问密码)可写的共享文件夹;
如果您的机器是使用IE6以下版本或者开启了IIS服务,您还需要在http://www.iduba.net/secure/200109201370.htm上查看详尽的微软关于漏洞的解决方案,下载相应的补丁包安装。
如果经过了以上所有步骤,您就可以放心的将机器连上网络,正常使用了。
结束语:
如果您觉得以上的步骤太过繁琐,建议您下载毒霸的专杀工具进行处理。专杀工具中除了修改帐号信息、安装漏洞补丁等等用户自主性更强的动作没有处理以外,其他主动清除病毒包括恢复超文本文件都做了处理。您只需下载后,执行预处理步骤 、使用专杀工具杀毒、尾声步骤即可。
只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”(又称尼姆达)蠕虫,赶快行动吧!