會員 | NT/2000 下的 Nimda Worm 解毒方法 最近看到網路上一堆解 Nimda Worm 的方法, 大多是 95/98/me 的部分 對於NT/2000 的系統管理員來說...根本沒用...病毒還是傳的亂七八糟... 究竟該麼辦呢? 請按照以下的程序, 跟 Nimda Worm 說Bye! Bye! 吧...... 判斷已中毒的主機... 1.ctrl + alt + del 到工作管理員的處理程序 會有一個mmc.exe 無法停止服務.... 2.每個磁碟的根目錄會有admin.dll 3.會產生很多的 *.eml 4.用記事本編輯 *.htm檔....最後一行是javascript的 open.windows('readme.eml,........ 5. Administrators 群組的成員中加入了guest... 原本guest被停用的權限被打開 解毒方法: 此時,記憶體還有病毒(MMC.EXE) 1. 到 winnt 目錄下把一個56kb大小的 mmc.exe delete掉 2. 每個硬碟的 根目錄下的admin.dll delete掉 3. 將日期為2001/9/18以後的*.eml,*.nws或是檔案內容中含有"Kz29vb29oWsrLPh4eisrPb09Pb2"的*.eml/*.nws delete掉 4. 先關掉 IIS服務 5. 將administrators群組 內的guest 成員去掉.....如非必要請將 guest 權限--停用 6. 從乾淨的機器上取得 riched20.dll , 將住中毒機器上的置換掉 7. 重新開機 ( 一定要重開, 因為記憶體內有病毒 ) (MMC.EXE被我們刪掉了,記憶體無毒的狀況...) 8. 到 symantec 去下載 Fixnimda.com (你也可以去其他防毒軟體下載啦...) 9. 執行fix (如果你有太多時間可以自己做....將*.htm檔尾的javascript去掉...還有一些檔案內容中有'fsdhqherwqi2001'的exe或dll處理一下) 10. patch 一下 IIS 的漏洞 ( http://www.microsoft.com/technet/tre...n/MS01-026.asp http://www.microsoft.com/technet/tre...n/MS01-027.asp http://www.microsoft.com/technet/tre...n/MS01-044.asp 11. Patch 一下IE 5 的漏洞 http://www.microsoft.com/technet/tre...n/ms01-020.asp (OK....毒都已經清光光啦...可以準備重新開幕了.....) 12. 開啟 IIS 呵呵....這樣下次就不會再被Nimda 騷擾了 .... Kuen-ts'an Wu... |
回覆 |
會員 | 真是不錯的文章 寫得很詳細 給您加加油! 不過希望有更簡單的解毒步驟 或寫一個*.bat也不錯 再次謝謝你的說明 我剛裝win2000 pro 挺怕此一病毒 防火牆(ZoneAlarm)一堆警告 |
回覆 |
即將墮入修羅道~* | 呦~~ 感謝喔...... 回家試試看~~~~~ |
回覆 |
會員 | 阿~~~~~ 偶解完毒之後把IIS移除 然後在重裝 這樣可以ㄇ??? |
回覆 |
進階會員 | 你是好人 |
回覆 |
IDLE會員 | 我的環境是 win2000(sp2)+norton antivirusv7.03 我是裝不久,而且一裝好win2000(sp2)就直接裝norton 然後才掛在線上 而每次norton antivirus都會掃到nimda病毒 而它都說無法清除隔離成功 醬子到底有沒有中呀 對系統會不會有影嚮呢??? |
回覆 |
英英會員 | 引用:
照你的描述應該是中了 最近的毒是很厲害, 利用IE瀏覽器MIME的漏洞, 只要你點一下信件預備瀏覽就完了. 建議改用其他軟體取代IE, 或更新為IE6.0, 再到Windows update下戴IE6的Patch !!! 如果你只裝SP2, 那還差SP2 Hotfix 兩個及SP3 Patch 13個. 講這樣太複雜了, 請上: http://www.microsoft.com/technet/mpsa/start.asp (連不上稍後再試) 按一下Scan Now不用三分鐘, 你的系統<所有問題>"該如何做","建議","Patch下戴路徑"通通在Report上面. 你可按步就班的去修正更新..........為避免有3~4個Patch需重開機的麻煩, 可先全部下戴完畢再安裝. 當確實搞完這些, 我證實不裝防火牆Trojan也進不來 點選norton的報告, 檢視病毒活動日誌, 如果中毒自己又無把握解, 最好是把 文, 圖檔備份到一個磁區, 其他磁區在重新安裝Windows 2k時Format掉(任何exe, dll檔不可留)..... | |
回覆 |
訪客 | 在我的電腦中出現這檔案...我是使用win2000p C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll 我有使用FIX_NIMDA4.0解除但是用掃毒軟體也沒發現病毒... 而且這個檔還是存在.. 請問該如何解決..謝謝!!!!! 在系統C:\WINNT\system32\mms.exe 出現這檔案....而且也砍不掉....而且該檔的安全選項中出現了everyone的權限 而令我感到不解.... winservc.exe 這個檔案也找不到....是否中毒了 |
回覆 |
會員 | 引用:
NORTON也掃不到毒........耐也安ㄋ??? | |
回覆 |
英英會員 | 他是說在"根目錄"下的admin.dll及"size 56kb"的mmc.exe, 已清楚的指明啦~ 這病毒無法由防毒軟體自動解掉, 需手動, 因此非得先去瀏覽各家的論述, 明白後才解毒. 下面的連結去看看吧: http://binbin690.tripod.com/computer...0919/nimda.htm everyone是系統預設, 但是要檢查每個硬碟/安全/everynoe/完全控制如有"打勾"請取消掉! nimda是利用MIME的漏洞, 只要你預覽信件藏在HTML內的Script就感染上了, 上網瀏覽也一樣會中. 我朋友一台給小朋友打天堂的, 中了毒, 我拿回來做研究(因要重灌)檢查日誌發現是下戴時中毒, 產生很多的 *.nws, *.eml檔, 只要點"一下"該檔立刻跑出"新郵件"並夾帶一封readme.exe的附檔要寄出去...... 在無緣無故時HUB的燈也會狂閃, 因為它要找尋網路磁碟來傳染..... 務必在消毒或重灌後, 把所有IE(建議用6.0)及Win2k的安全更新完全裝好, 不然你亂開信件檔案連防毒軟體也救不了. 檢查你的Win2k安全性及缺失請連此網頁自行測試及安裝新Hotfix !!! |
回覆 |
|
類似的主題 | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
【問題】關於windons 2000 NT 的網路設定 | emailjeff | -- NB 筆記型電腦 & PDA 討 論 版 | 2 | 2008-10-22 12:30 PM |
【轉貼】NetExec 讓你在本機Windows NT 以及 2000 快速切換多個帳號 | purk | -- 其 他 軟 體 討 論 版 | 0 | 2002-10-29 11:37 PM |
NT PDC 網域帳號移轉NT 2000 AD網域? | doku | -- Windows 討 論 版 | 3 | 2002-07-20 10:42 PM |
Windows NT 4.0 升級為 2000 AD?? | casperyang | -- Windows 討 論 版 | 3 | 2002-06-13 01:23 PM |
NT 2000 server NAT Port Mapping | realyoming | -- 網 路 技 術 版 | 2 | 2001-06-05 03:24 PM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。