是这样的,我的电脑中了Worm.Concept.e.57344,有谁知道...
我只知它14:00开始起动,
1。在,//D:\Inetpub\scripts/生成TFTP1024,TFTP136...等等。
2。生成readme.eml,很多很多。。。
3。在\recycled\生成dc.eml很多很多。。。
4。在*.html中加script window.open("readme.eml"...)
毒毒毒毒毒毒毒毒毒毒毒毒
---------------------------------------------------------------
尼姆达呀!!
快断开网络!!
不共享所有文件夹
然后用专杀工具
尼姆达终结者v4.5
http://www.ynxx.com/download/NoNimda.exe
或是下载金山毒霸的专杀工具
或升级杀毒软件至最新
杀!!
杀!!!!
杀1!!!
如果杀完后有些程序不能运行
就建议重装系统
记着保护措施做好一点
装个杀毒软件吧
现在病毒太厉害了
---------------------------------------------------------------
你要是不用IIS,就把IIS服务关了就行了:)
---------------------------------------------------------------
关于Worm.Concept.e.57344的处理办法。。(转)
近期各式各样的病毒困饶着我们,求职信,蠕虫,中国一号......通过一个特定MIME 头的HTML 邮件;
通过浏览一个已受感染系统的WEB站点;
通过打开网络共享;通过一个未打补丁的 IIS 系统 ( 4.0 和 5.0). 入侵我们的系统。
当用户浏览一个携带有蠕虫的HTML邮件,或访问一个被感染的WEB站点,Internet Explorer 会下载一个执行Nimda.A 代码的附件程序( readme.exe )。这种情况的产生是因为微软Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱点。这个安全漏洞的详细描述和相应补丁可参见:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
对于运行IIS的系统,蠕虫可能利用如下HTTP安全漏洞:
Microsoft IIS 4.0/5.0文件许可规范漏洞( File Permission Canonicalization Vulnerability )
Microsoft IIS/PWS 字符逃离解码命令执行漏洞(Escaped Characters Decoding Command Execution Vulnerability )
Microsoft IIS 和 PWS 扩展统一编码目录可通过漏洞(Extended Unicode Directory Traversal Vulnerability )
蠕虫通过任意选择的IP地址查找有漏洞的Internet 服务器。这个地址的产生和进行的扫描是由一个名为mmc.exe 的进程来执行的(mmc.exe 文件被蠕虫本身的副本所覆盖)。当mmc.exe 进程执行的时候,Win NT/2000用户可能会明显感到系统性能变慢。此外,蠕虫会把自身复制为Admin.dll 文件到所有驱动器的根目录。(蠕虫会把Admin.dll 标记为真的DLL文件)
当蠕虫连接到受害机器的后,会搜索所有目录并通过在文件中加入一行JavaScript 代码来感染htm, asp 和 html文件 。在感染成功的每一个目录中,蠕虫都会生成含有它自身MIME 代码格式的文件eadme.eml 或 readme.nws。当一个受感染的htm* 或 asp文件被打开后蠕虫将在这些MIME文件中被执行。
蠕虫会感染Win32可执行文件(Winzip32.exe 文件除外),并让这些受感染的程序使用原来的图标。
Nimda.A也会以一个合法的文件名riched20.dll复制自身到含有.DOC文件的目录中。
特别是winNTserver,win2k adv.server等中招后,不要过分依赖杀病毒软件,最好老老实实的重装系统一遍,注意先不要把IIS组建选上,不要配置IP,dns 等,短开网线,先杀他一番,把下载的IE,IIS两个补丁打上,WindowsUpdate一下,重起,再杀。
---------------------------------------------------------------
最新闪亮登场的的"概念”(又称尼姆达)蠕虫,预测其破坏性极为巨大,如果用户您不幸深中此毒,大为恐慌之余,还需保持冷静,国内第一家首次发现此病毒的金山公司教您手工清除它,且请用户按照如下方法一步一步进行手动清除:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板 ¦用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“
1<html><head></head><body bgcolor="3D#ffffff"><br/>
2<iframe height="3D0" src="3Dcid:EA4DMGBP9p" width="3D0"><br/>
3</iframe></body></html>
”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
”,则删掉该文件。
1<p> 只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”(又称尼姆达)蠕虫,赶快行动吧! </p>