论坛: 病毒专区 标题: 大家快救救我,我染了尼幕达。 复制本贴地址    
作者: niulong [niulong]    论坛用户   登录
我的机子的系统是windows me的,最近染了尼幕达,型号是worm.concept.57344。请问怎么拆除!!!谢谢大家了!!!

5555555555555――


地主 发表时间: 11/04 11:26

回复: hatorry [hatorry]   论坛用户   登录
金山毒霸专杀工具!
或者断网就可以手工清除了!

B1层 发表时间: 11/04 19:53

回复: CyberSpy [cyberspy]   论坛用户   登录
  Worm.Concept.57344概念蠕虫病毒简介(蠕虫病毒)
   尼姆达专杀工具  
  这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe -dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20.dll。而riched20.dll目录在windows系统中就存在,而它就把它覆盖掉了。
  而病毒复制到临时目录下的副本(有两个文件,文件名为???????.tmp.exe),病毒会在系统下次启动时将他们删除(修改wininit.ini文件)。
为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址将带毒邮件发送出去。
  病毒的第二种传播途径就是用跟CodeBlue极其相似的方法,使用了IIS的UNICODE漏洞。
  病毒的第三种传播途径是通过局域网的共享,传播到其它windows系统下。
另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。



B2层 发表时间: 11/04 23:11

回复: niulong [niulong]   论坛用户   登录
请问怎么手工删除?
谢谢啦!!!:(

B3层 发表时间: 11/05 15:09

回复: CyberSpy [cyberspy]   论坛用户   登录
1、打开进程管理器,查看进程列表; 
 结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);病毒此时已经没有运行了~ 
2、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;切换到系统的System目录,寻找名称为Riched20.DLL的文件; 
3、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它; 
4、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;如果出现“此程序正在被用,文件不能被删除”,则再结束进程一下~ 
5、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它; 
6、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”,这是在系统进入是就运行的一种方法~ 
7、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除,防止被攻击~ 
8、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享; 
9、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含 
“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
</iframe></BODY></HTML> ” 
以及 “Content-Type: audio/x-wav; 
 name="readme.exe" 
 Content-Transfer-Encoding: base64 ”,则删掉该文件。

应该ok了~ 

   


B4层 发表时间: 11/05 20:11

回复: niulong [niulong]   论坛用户   登录
我的那个进程里面没有exe的东西,但是有一个叫做cq的exe文件。不知道是不是你说的那个文件,还有,我用瑞行2003的杀毒软件,但是最后还是没有杀干警,天哪

B5层 发表时间: 11/06 15:14

回复: CyberSpy [cyberspy]   论坛用户   登录
     到安全模式或者纯dos下杀

B6层 发表时间: 11/06 22:57

回复: liuqingzhi [liuqingzhi]   论坛用户   登录
杀呀!

B7层 发表时间: 01/28 17:35

回复: china04561 [china04561]   论坛用户   登录
老大~~使用金山毒霸专杀工具!简单有效呀!干嘛使用手工呢~如果你不熟悉的话!

B8层 发表时间: 01/31 13:08

回复: baboo [baboo]   论坛用户   登录
升级病毒库啊,要是盗版的话,就快去买正版的啊

B9层 发表时间: 02/03 18:30

回复: liuqingzhi [liuqingzhi]   论坛用户   登录
杀!

B10层 发表时间: 02/09 15:52

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号