PCDVD數位科技討論區 - 中了 nimda 病毒的處置方法

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)

- - 中了 nimda 病毒的處置方法 (https://www.pcdvd.com.tw/showthread.php?t=44761)

中了 nimda 病毒的處置方法

最近 nimda 肆虐, 光是我們公司的十部pc, 就有九部中標! 而且這隻毒的特性不同於以往, symantic 列為四級病毒, 我則列為蟑螂級病毒.

將硬碟重新格式化過重建系統是解決的方案之一, 但是面對將近十部中毒 pc 的我並不打算這麼做, 算是懶啦. 我嘗試了一整天, 處理方式如下(以 norton antivirus 2001 為例):

0. 中毒的徵兆是 desktop 出現兩個不明 *.eml 檔.
1. 先將所有 pc 的硬碟"資料分享"關閉.
2. 馬上update 掃毒軟體病毒碼.
3. 將 system.ini 中的一段 "shell= ............. load ..............." 砍掉
4. 將windows目錄下的 load.exe 這個檔案砍掉, 砍不掉直接進入 ms-dos 模式砍.
5. 將 windows 的 [開始]/[程式集]/[啟動] 底下的所有 *.eml 檔砍掉.
6. 重新開機
7. 進行掃毒, 凡是中毒檔案沒辦法解毒者一律隔離或者直接刪除. 一定會掃到一個 readme.exe!
8. 將 desktop 的一切亂七八糟 *.eml 檔全部砍掉.
9. [開始]的視窗選項出現的 *.eml 檔也斬除.
10.再掃一次毒. 二度消毒.
11.凡是可疑的 *.eml 檔一律斬除.
12.進行 windows update 至少進行: 重大更新及網路問題兩項更新.
13.執行 iesetup6 將 ie 跟 outlook express 更版為第六版.
14.重新開機後一律再進行掃毒消毒.

接到四面八方同事同學的災情報導! 寧達真的很像蟑螂. :mad:
若有更新更快的解毒程序公佈, 也請大家指導一下.

那....
請問一下喔,
如果中獎最壞的結果會怎麼樣?!
(我的load.exe已經被我砍了...開機時都會顯示找不到此檔案)

因為我下午也中獎了,
對電腦我可是一竅不通呀.......啊
:mad: :mad: :mad: :mad:

我也中獎了,不過我沒有做那麼多步驟,我直接搜尋*.eml,抓到就砍調
還會取中文檔名:eek: ,砍完去趨勢網站抓個掃毒程式(專掃這型的)
看看還有沒有餘孽..現在應該是安全了,不過不敢開網路硬碟,怕又
來一次:p

賽門鐵克也發布了 fixnimd.com 這支專門解 nimda 毒蟲的程式, 很好用, 比我用土法煉鋼快多了, 建議大家找這支程式來掃. :D

引用:

Originally posted by tu_dou
那....
請問一下喔,
如果中獎最壞的結果會怎麼樣?!
(我的load.exe已經被我砍了...開機時都會顯示找不到此檔案)

因為我下午也中獎了,
對電腦我可是一竅不通呀.......啊
:mad: :mad: :mad: :mad:

砍了 load.exe 也要記得去刪 system.ini 裡面的那一行 shell=..... load ..... 指令, 不然開機就會出現找不到這個 load.exe 的訊息.

最壞的情況目前還沒有比較客觀的報告出來.
不過我處理過的九台中毒 pc 來講, 症狀是一直增生 *.eml, 最高多達九百多個檔, 而且到處都放. 另外這個 nimda 很容易透過 windows 網路芳鄰的資料分享硬碟傳染, 即使不存取, 也會受感染. 感覺搗蛋性質的成分比很高.

引用:

Originally posted by deepsky

砍了 load.exe 也要記得去刪 system.ini 裡面的那一行 shell=..... load ..... 指令, 不然開機就會出現找不到這個 load.exe 的訊息.

最壞的情況目前還沒有比較客觀的報告出來.
不過我處理過的九台中毒 pc 來講, 症狀是一直增生 *.eml, 最高多達九百多個檔, 而且到處都放. 另外這個 nimda 很容易透過 windows 網路芳鄰的資料分享硬碟傳染, 即使不存取, 也會受感染. 感覺搗蛋性質的成分比很高.

deepsky大大,
我照您的話做了,
現在正在更新我的IE5.0
晚點再報告情況...

感謝您..:)

引用:

Originally posted by tu_dou

deepsky大大,
我照您的話做了,
現在正在更新我的IE5.0
晚點再報告情況...

感謝您..:)

有沒有找到 fixnimd.com? 沒有的話我可以 e-mail 給你.:)

剛剛在趨勢抓了一個FIX_NIMDA1.22
就是這個嗎?

趨勢的也可以啦! 不過我用的是 NORTON 的 FIXNIMD.COM

應該是同一隻病毒吧，如下：
娜妲病毒(PE_Nimda.a)藉三種感染管道百毒齊下，擴散速度超越紅色警戒
網路防毒專家趨勢科技呼籲，收到Readme.exe(讀我)檔案，請直接刪除，勿開啟以免中毒;企業用戶即刻更新防毒元件、即時掃毒，網路連線電腦必須100 ％掃瞄

繼紅色警戒之後，又出現一隻全新攻擊模式的新病毒，正透過相當罕見的三重感染管道在網路上大量散播，包含：電子郵件、網路資源分享及微軟IIS伺服器感染。這隻名為”娜妲”(Pe_Nimda.a)的新病毒的傳播方式迥異於以往，已經引起全球矚目，該病毒的主要破壞行為是透過電子郵件大量散播夾帶名為Readme.exe(讀我)的電子郵件，造成網路頻寬的壅塞，使用者將明顯發現網路的速度變慢。另外，娜妲病毒會自動尋找網路上的芳鄰及微軟IIS網頁伺服器進行感染，電腦族如果不小心連上中毒網站，將遭病毒感染。如此，將造成一傳十、十傳百的無限迴圈式感染災情。

電腦族，若收到以下電子郵件，請直接刪除。
﹝郵件主旨﹞：不固定，隨機產生
﹝郵件內容﹞：無
﹝附加檔案﹞：readme.exe, readme.wav或readme.com
﹝破壞行為﹞：.尋找並修改htm, .html 及.asp等檔案修改為病毒格式檔案.使得其他人上網時感染病毒

這個蠕蟲(Worm)使用三種不同的方式繁殖(散播), 分別是利用e-mail, 資源分享, 及透過IIS 並且啟動”IIS Web Directory Traversal exploit” 服務的主機.當蠕蟲(Worm)利用e-mail散播時,信件會夾帶readme.exe或 readme.wav 或 readme.com等檔案,執行檔案時.會在C:\Windows\Temp 內建立meXXXXX.tmp.exe暫存檔檔案.這個檔案是e-mail格式,並且包含蠕蟲(Worm)所夾帶的病毒檔案

根據趨勢科技TrendLabs統計，該病毒目前已於美國、英國、義大利等地造成嚴重感染，截至目前為止約有數十萬台以上的電腦中毒，台灣也於今天(19日)傳出災情，趨勢科技已於上午對所有用戶發出高度風險病毒警訊。趨勢科技技術支援康宏旭經理表示：「這隻病毒結合了多種病毒特性，包括：駭客攻擊模式(如：紅色警戒)、探險蟲病毒及ILoveYou我愛你病毒，其擴散速度及感染力更勝一籌。」