NT/2000 下的 Nimda Worm 解毒方法

[kuentsan]

最近看到網路上一堆解 Nimda Worm 的方法, 大多是 95/98/me 的部分
對於NT/2000 的系統管理員來說...根本沒用...病毒還是傳的亂七八糟...
究竟該麼辦呢?
請按照以下的程序, 跟 Nimda Worm 說Bye! Bye! 吧......

判斷已中毒的主機...
1.ctrl + alt + del 到工作管理員的處理程序 會有一個mmc.exe 無法停止服務....
2.每個磁碟的根目錄會有admin.dll
3.會產生很多的 *.eml
4.用記事本編輯 *.htm檔....最後一行是javascript的 open.windows('readme.eml,........
5. Administrators 群組的成員中加入了guest... 原本guest被停用的權限被打開


解毒方法:
此時,記憶體還有病毒(MMC.EXE)

1. 到 winnt 目錄下把一個56kb大小的 mmc.exe delete掉
2. 每個硬碟的 根目錄下的admin.dll delete掉
3. 將日期為2001/9/18以後的*.eml,*.nws或是檔案內容中含有"Kz29vb29oWsrLPh4eisrPb09Pb2"的*.eml/*.nws delete掉
4. 先關掉 IIS服務
5. 將administrators群組 內的guest 成員去掉.....如非必要請將 guest 權限--停用
6. 從乾淨的機器上取得 riched20.dll , 將住中毒機器上的置換掉
7. 重新開機 ( 一定要重開, 因為記憶體內有病毒 )

(MMC.EXE被我們刪掉了,記憶體無毒的狀況...)
8. 到 symantec 去下載 Fixnimda.com (你也可以去其他防毒軟體下載啦...)
9. 執行fix (如果你有太多時間可以自己做....將*.htm檔尾的javascript去掉...還有一些檔案內容中有'fsdhqherwqi2001'的exe或dll處理一下)
10. patch 一下 IIS 的漏洞
( http://www.microsoft.com/technet/tre...n/MS01-026.asp
http://www.microsoft.com/technet/tre...n/MS01-027.asp
http://www.microsoft.com/technet/tre...n/MS01-044.asp

11. Patch 一下IE 5 的漏洞
http://www.microsoft.com/technet/tre...n/ms01-020.asp

(OK....毒都已經清光光啦...可以準備重新開幕了.....)

12. 開啟 IIS

呵呵....這樣下次就不會再被Nimda 騷擾了 ....

Kuen-ts'an Wu...

[pcsony]

真是不錯的文章

寫得很詳細

給您加加油！

不過希望有更簡單的解毒步驟

或寫一個*.bat也不錯

再次謝謝你的說明

我剛裝win2000 pro

挺怕此一病毒

防火牆(ZoneAlarm)一堆警告

[Marko]

呦~~
感謝喔......
回家試試看~~~~~

[syh88]

阿~~~~~
偶解完毒之後把IIS移除

然後在重裝

這樣可以ㄇ???

[-Hero-]

你是好人

[jentze]

我的環境是

win2000(sp2)+norton antivirusv7.03

我是裝不久,而且一裝好win2000(sp2)就直接裝norton
然後才掛在線上
而每次norton antivirus都會掃到nimda病毒

而它都說無法清除隔離成功

醬子到底有沒有中呀

對系統會不會有影嚮呢???

[ehawk]

最初由 jentze 發表
我的環境是

win2000(sp2)+norton antivirusv7.03

我是裝不久,而且一裝好win2000(sp2)就直接裝norton
然後才掛在線上
而每次norton antivirus都會掃到nimda病毒

而它都說無法清除隔離成功

醬子到底有沒有中呀

對系統會不會有影嚮呢???

在安裝norton時就要網路連線, 設定安裝完畢立即線上更新(掃描引擎及最新病毒碼).
照你的描述應該是中了
最近的毒是很厲害, 利用IE瀏覽器MIME的漏洞, 只要你點一下信件預備瀏覽就完了.
建議改用其他軟體取代IE, 或更新為IE6.0, 再到Windows update下戴IE6的Patch !!!
如果你只裝SP2, 那還差SP2 Hotfix 兩個及SP3 Patch 13個. 講這樣太複雜了, 請上:
http://www.microsoft.com/technet/mpsa/start.asp (連不上稍後再試)
按一下Scan Now不用三分鐘, 你的系統<所有問題>"該如何做","建議","Patch下戴路徑"通通在Report上面. 你可按步就班的去修正更新..........為避免有3~4個Patch需重開機的麻煩, 可先全部下戴完畢再安裝. 當確實搞完這些, 我證實不裝防火牆Trojan也進不來
點選norton的報告, 檢視病毒活動日誌, 如果中毒自己又無把握解, 最好是把 文, 圖檔備份到一個磁區, 其他磁區在重新安裝Windows 2k時Format掉(任何exe, dll檔不可留).....

[shim]

在我的電腦中出現這檔案...我是使用win2000p

C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll

我有使用FIX_NIMDA4.0解除但是用掃毒軟體也沒發現病毒...
而且這個檔還是存在..
請問該如何解決..謝謝!!!!!

在系統C:\WINNT\system32\mms.exe
出現這檔案....而且也砍不掉....而且該檔的安全選項中出現了everyone的權限
而令我感到不解....

winservc.exe 這個檔案也找不到....是否中毒了

[jungchun]

最初由 shim 發表
在我的電腦中出現這檔案...我是使用win2000p

C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll

是用掃毒軟體也沒發現病毒...而且這個檔還是存在..
請問該如何解決..謝謝!!!!!

我也有耶∼∼∼可是我是用WIN ME說.....檔案修改日期是1999/10/7說.....
NORTON也掃不到毒........耐也安ㄋ？？？

[ehawk]

他是說在"根目錄"下的admin.dll及"size 56kb"的mmc.exe, 已清楚的指明啦~
這病毒無法由防毒軟體自動解掉, 需手動, 因此非得先去瀏覽各家的論述, 明白後才解毒.
下面的連結去看看吧:
http://binbin690.tripod.com/computer...0919/nimda.htm
everyone是系統預設, 但是要檢查每個硬碟/安全/everynoe/完全控制如有"打勾"請取消掉!
nimda是利用MIME的漏洞, 只要你預覽信件藏在HTML內的Script就感染上了, 上網瀏覽也一樣會中. 我朋友一台給小朋友打天堂的, 中了毒, 我拿回來做研究(因要重灌)檢查日誌發現是下戴時中毒, 產生很多的 *.nws, *.eml檔, 只要點"一下"該檔立刻跑出"新郵件"並夾帶一封readme.exe的附檔要寄出去......
在無緣無故時HUB的燈也會狂閃, 因為它要找尋網路磁碟來傳染.....
務必在消毒或重灌後, 把所有IE(建議用6.0)及Win2k的安全更新完全裝好, 不然你亂開信件檔案連防毒軟體也救不了.
檢查你的Win2k安全性及缺失請連此網頁自行測試及安裝新Hotfix !!!