完全杀除 Nimda 病毒手册
一旦计算机被 Nimda 攻击, 就很难确定系统的哪些安全设置受到了破坏。除非您通过阅读日志文件,绝对确定了您的计算机并没有受到任何其它恶意的操作,则最好能够备份所有的文件,将硬盘格式化,然后彻底重装操作系统和所有其它应用程序。这是唯一可以确保您的电脑干干净净的方法。
目前可利用的 Nimda 专杀工具:
金山毒霸专杀工具 Duba_Concept.exe 可从金山公司网站下载;
诺顿专杀工具 Fixnimd.com,可从以下站点下载http://securityresponse.symantec.com/avcenter/Fixnimd.com.
注意: 有些运行 Windows NT 4.0 的系统可能需要额外的文件,才能允许工具运行。这个文件名为 Psapi.dll,可以从以下站点下载及解压缩:
securityresponse.symantec.com/avcenter/Psapi.zip 将工具下载到一个方便的地方,如您的下载目录或 Windows 桌面。如果您是在网络上,则在所有计算机上,包括服务器上都要运行该工具。在运行工具以前关闭所有程序,包括任何病毒扫描程序,如NAV 的自动防护。小心: 不要跳过这一步。您必须在运行之前停用自动防护。如果您运行的是 Windows Me, 强烈建议您不要跳过这一步。
启动清除工具后让工具自己运行,建议您反复运行,直到系统报告说彻底没有病毒为止。
必要的话, 下载适当的 Microsoft 补丁程序修补系统漏洞。您可以在以下站点找到这些补丁:
www.microsoft.com/technet/security/bulletin/ms00-078.asp www.microsoft.com/technet/security/bulletin/MS01-020.asp www.microsoft.com/technet/security/bulletin/MS01-044.asp 如果您已连网并一直连接在 Internet 上, 将计算机从网上和Internet 上断开,停用所有网络共享或用密码将其保护起来,然后再重新连接到网络或 Internet 上。由于这个蠕虫可以通过网络共享传播,为避免在清理后再反复交叉感染,建议您将所有共享设为“只读”或利用密码保护。
重新启动系统。
再次运行修复工具,以确保系统清洁。
安装必要的 Microsoft 补丁,以便修补已知的漏洞。
重新将干净的系统连网,或者重新开启Internet连接。
如果您运行 Windows Me, 则重新启用 System Restore。
重新启用自动防护。
注意: 如果Windows ME 上的System Restore没有按上述要求停用,则这个修复过程可能不成功,因为Windows 会阻止外部程序修改 System Restore。因此, 清理工具的任何清理蠕虫的尝试都将失败。
注意:如果 Microsoft Word或其它类似的程序不再运行该怎么办?
如果在清除感染后, Microsoft Word 或 Office 等程序不再运行, 或者您在其启动时看到有关信息,则您需要替换文件 Riched20.dll。很多情况下, 您可能需要重装 Word 或 Office。要从windows98 的安装盘重新获得该文件,可简单的运行 sfc (98的系统文件检查器,一个鲜为人知的windows工具)进行扫描。
专杀工具做了哪些工作?
终止所有与病毒有关的进程。
终止 Explorer.exe 进程并重新启动之。由于病毒已寄生在 Explorer.exe 体内,因此,这一步很必要,您会因此步骤看到桌面闪动 (这是意料之中的事)。
检测所有类型的 W32.Nimda.A@mm 感染。修复那些可以修复的文件,删除那些被感染的 .eml, .nws, .doc 及 .txt 文件。
注意: 如果文件的扩展名不在上述四种之内,则此工具不会删除感染的 .eml 文件。例如,如果一个文件的扩展名变为.eml.bad,则不会被删除。要删除这个文件,需要用户的介入。
删除 system.ini 文件中对 sh*ll= 行的非法修改。
从“管理员”组中删除 guest 帐户,并禁用Guests 组中的guest 帐户。
Windows Me 中的System Restore 选项:
System Restore 是Windows Me 中几个新性能之一。这个性能默认情况下被启用,Windows 系统使用它来恢复被损坏的系统文件。Windows Me 将恢复信息保存在 _RESTORE 目录中。每个硬盘上都创建了一个 _RESTORE 目录,系统启动时这些目录会得到更新。
如果电脑被 W32.Nimda.A@mm 感染, 则可能这个蠕虫也被备份在 _RESTORE 目录中。默认情况下, Windows 会阻止外部程序修改系统恢复文件。因此, 任何由修复工具进行的修复尝试都会失败。要解决这个问题,您必须禁用 System Restore 并重新启动计算机。这将清除 _RESTORE 目录中的内容,然后您必须重新运行清理工具。
