倾城之恋的意思:问个关于病毒的问题

尼姆达(Nimda)
一种通过电子邮件传播的恶意蠕虫。当用户邮件的正文为空时，似乎没有附件，实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS（没有安装微软的补丁包的情况下）收取邮件，在预览邮件时，病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复制到临时目录下，再运行在临时目录中的副本。

不建议杀毒软件杀毒,会使得好多感染文件删除
建议手工查杀

在手工查杀尼姆达（Nimda）时，需注意不同的平台采取不同的方法。

对于Windows 98用户：

1、打开进程管理器，查看进程列表，结束其中进程名称为”xxx.tmp.exe”以及”load.exe”的进程（其中xxx为任意文件名）；

2、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；

3、切换到系统System目录，寻找大小为57344字节名称为Riched20.DLL的文件并删掉它；

4、继续在系统System目录下寻找load.exe，删掉它；

5、如果遇到Office运行异常，请将Windows 98安装目录下的压缩包内的RICHED20.DLL文件复制到C:\windows\system下，替换掉到原有的RICHED20.DLL文件；

6、如发现C:盘共享，请打开共享文件夹管理，将共享”C$”去除；
7、打开System.ini文件，在[load]中如果有一行”shell=explorer.exe load.exe -dontrunold”，则改为”shell=explorer.exe”；

8、升级IE到6.0版本。对于Winodws2000 Professional/server/advanced server/NT4 Server：

1、首先安装IIS补丁及IE相应的最新补丁；

2、将服务器隔离，断开所有网线；

3、将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部移除；

4、当受到尼姆达病毒的入侵后，系统中会出现一些新的共享，如C、D等，应该将其共享属性去掉；

5、另外，查看一下administrators组中是否加进了”guest”用户，如果是，请将guest用户从administrators组中删除；

6、彻底清除Nimda病毒，查找与清除方式同Windows 98系统；

7、恢复网络连接；

8、如果按照以上步骤仍无法解决问题，说明IIS补丁安装有问题，请重新安装IIS补丁；

9、如果用户服务器不提供Web服务，请将Web服务停止，这样比较安全。