中国教育和科研网紧急响应组

 China Education&Research Computer Emergency Response Team

 

|CCERT简介|CCERT首页| 安全公告 | 系统安全补丁| 安全工具|相关链接|

|相关资料 | 学术报告| 垃圾邮件处理 | 端口扫描处理| 联系我们|更新日志|

 

                                    

W32.Nimda.E@mm Removal Tool
最新更新时间:2001.10.30  13:39:03
Symantec 已提供W32.Nimda.E@mm的移除工具

工具介绍:
W32.Nimda.E@mm 移除工具会执行以下步骤:
	1.终止所有被病毒感染的程序
	2.终止Explorer.exe程序,将其重新运行。病毒会自动注入Explorer.exe,
		所以,这一步非常重要。在执行此步骤时,桌面可能会伴有闪烁(正常现象)。
	3.查找所有的被W32.Nimda.E@mm 感染的文件,修复可修复性文件,删除后坠
		名为.eml, .nws, .doc, .txt的被感染文件。

注意:该工具不会删除后缀名包含上面四个后缀名的文件,例如.eml.bad,这时需要手工将其删除。

	4.修复System.ini文件,移除病毒对shell=line的修改
	5.移除Adminstrator组中的Guest账号,并设置Guest组中的Guest账号为不可用。
	6.修复被改写的HTML文件
	7.恢复共享区和共享文件的默认安全设置

重点注意:
	● Windows NT/2000/XP
		在没有重启的时候,该工具将会恢复Windows NT/2000/XP上共享原来的安全设置。
		但有一种特殊情况是共享的权限设置中只有everyone[完全控制],这将无法辨别病
		毒是否对其进行过修改并将其加入到Administrator组[完全控制]中。
	●Windows 95/98/Me
		在装有windows95/98/me的计算机上,如果计算机没有重新启动,该工具将会把共享
		的安全设置恢复到被感染前的设置。如果机器已被重新启动,该工具将会实现以下设置:
			I 完全访问将会需要提供"win9x的共享读写口令"
			II只读访问将会需要提供"win9x的共享只读口令"
			III通过口令访问共享的设置也被激活
	8.删除注册表中被修改的使系统不显示隐藏文件和隐藏后缀名的值。并恢复他们的默认值。
		你可以修改成你希望的效果(在windows窗口中选"查看"或"工具",选择"文件家选项",
		在里面可进行修改)

工具中相应命令行:
/NOFIXSHARE - will disable share repair (use of this switch is not recommended).
/NOFIXREG - will disable registry repair (use of this switch is not recommended).
/SILENT, /S - enables silent mode.
/LOG=pathname - creates a logfile where pathname is the location in which to 
				store the output of the tool.
/RWPWD=password - apply this password to Win9x Read Write Shares
/ROPWD=password - apply this password to Win9x Read Only Shares
警告:
如果一台电脑遭到了W32.Nimda.E@mm的攻击,那很可能你的系统已被远程非法用户访问过。所以保证
受感染的系统不被损害是非常重要的。远程非法用户很可能会对你的系统做出至少以下这些行为:
	●窃取或更改口令或口令文件
	●安装后门
	●安装keystrok logging软件
	●修改防火墙规则
	●窃取信用卡号、银行业信息、个人数据等等
	●文件的删除或修改
	●通过客户Email账号散发垃圾邮件
	●修改用户的访问权限
	●删除日志文件中相应的行为纪录
如果要确保机构的安全性,你必须重新安装系统并从被感染前的数据备份中取出数据进行恢复,并且修改
所有的口令。这是唯一确保你的系统是安全的方法,要得到更多的安全方面的信息,你需要与系统管理员联系。

下载和使用工具:
注意:你必须在超级用户权限下在windowsNT/2000/XP下使用该工具。

重点注意:
如果你发现以下情况:
	I如果在运行完该工具后,Word等工具无法运行
	II如果在你运行该工具使出现类似于"The file "not" is infected and *$#&#$*#@ repaired"

那说明windows下的Riched20.dll文件被病毒损坏。你必须重新覆盖该文件,并且多数情况下,你必须重新
安装Word 或Office。请看文档末尾的"如何恢复Riched20.dll"章节。
1.从本地下载FxNimdaE.com文件,并将其保存到明显的地方例如常用的下载文件夹或桌面
2.为了确定数字签名请看"数字签名"章节
3.在运行该工具前关掉所有正在运行的程序
4.如果你使用的是windowMe,要关掉System Restore.详细信息请看"Windows me 中的System Restore"
注意:如果你使用的是windows me ,我们强烈提醒您不要忽略此步
5.双击Fixnimdae.com来运行该工具
警告:如果你是连在网上的话,要对所有的联网机器使用该工具,包括服务器
6.点击开始运行
7.该工具将反复运行直到系统报告已清理完毕
8.如果可能,最好下载已发布的微软的补丁,并给系统打上补丁。这些补丁可在下面网址找到:


o   http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
o   http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
o   http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

9.如果你的网络全时连接到internet,把计算机从网络上断开。在你再次连接到网络之前,禁用
文件共享或使用口令进行文件共享。由于该蠕虫利用网络计算机上的共享文件夹传播,需要确认计
算机从网络上断开后没有被再次感染。Symantec建议使用只读方式或口令保护进行共享。要知道
如何做到这一点,可以参考Windows文档或文档"如何配置Windows共享文件夹以最大程度的保护
网络"。
10.重新启动计算机
11.再次运行修理工具以保证系统没有被感染。
12.安装Microsoft的补丁来消除已知的漏洞。
13.如果运行Windows Me系统,恢复使用System Restore功能。
14.运行即时更新,确保你的病毒库是最新的。

注意:
    如果没有按照先前的说明关闭Windows Me的SystemRestore功能,可能不能成功的消除蠕虫。
	这是因为Windows使外部程序无法修改System Restore,这样一来消除工具消除蠕虫的努力
	可能会失败。
消除工具停止运行后,会显示消息,说明计算机是否被W32.Nimda.E@mm感染。如果成功消除了蠕虫,程序
显示下面的结果:
    扫描文件的数量
	删除文件的数量 
	修复文件的数量
	结束的由病毒产生的进程的数量
数字签名
    Fixnimdae.com采用数字签名。Symantec建议直接从SARC下载网站下载Fixnimdae.com的版本。按
	照下列步骤检查数字签名的授权:
    1.访问http://www.wmsoftware.com/pub/chktrust.exe
    2.将Chktrust.exe与Fixnimdae.com保存在同一目录下,例如C:\Downloads
    3.运行Start->Programs->MS-DOS
    4.改变当前路径为存储Fixnimdae.com的路径
    5.键入chktrust -i FixNimdaE.com
        例如,你在C:\Downloads文件夹中保存上述文件,执行以下命令:
        cd\
	cd downloads
	chktrust -i FxNimdaE.com
    6.如果数字签名是有效的,会显示如下信息:
        Do you want to install and run "FxNimdaE.com" signed on 10/30/2001 10:12 AM 
		and distributed by Symantec Corporation.
    注意:
        如果你的计算机不是太平洋时区,显示的日期和时间将调整为你所在的时区。
        如果你使用夏时制,显示的时间将提前一小时。
	如果没有显示该信息,则不要使用FxNimdaE.com,它不是Symantec提供的。
    7.点击Yes关闭对话框
    8.键入exit并回车,退出MS-DOS。

Windows Me中的System Restore选项
    System Restore是Windows Me的一个新的特征。该特征在缺省状态下有效,Windows使用System
	Restore恢复受到破坏的文件。Windows Me将恢复信息保存在_RESTORE文件夹中。计算机的每个硬盘
	都有一个_RESTORE文件夹,在计算机重新启动的时候更新。
    计算机被W32.Nimda.E@mm感染后,蠕虫可能在_RESTORE文件夹中有备份。缺省设置下,Windows禁止
	外部程序修改System Restore。这样一来,清除工具的修复尝试就会失败。为了避免这样,在重新启动
	计算机前要禁止System Restore功能。这样会清除_RESTORE文件夹的内容。这时需要再次运行清除工具。
禁止System Restore功能:
    对照下图,参考图中的数字进行操作。

怎样提取Riched20.dll
如果启动MS Word等程序时出现错误或无法启动,你需要提取Riched20.dll文件(或者,重新安装操作系统
和被感染的程序)。详细步骤可以参考你操作系统的说明或手册。
这里给出的说明只是一个快捷方式,关于提取文件的进一步信息,请参考以下文档:
	●如果你使用了Outlook 2002或 Office 2002,参阅Microsoft 知识库文章:怎样提取压缩的原始文件
	,文章编号:Q129605;
	●如果你使用Windows 98/ME,请参阅怎样在Windows 98/ME下提取文件。
	http://service1.symantec.com/support/tsgeninfo.nsf/docid/ 2001011114021106
Windows 95/98 
需要在DOS提示符下使用Extract命令。遵循以下步骤:
注意:
	●你需要一个Windows 98/Me 的启动盘 (如果你在使用windows 95,你还需要一张Win98/me下生成的启动盘)
	。关于怎样制作启动启动盘,请参考 
	http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001022709560139
	●准备Windows的安装光盘;
	●键入以下命令(把D替换成你的光驱的逻辑盘符,如E、F等) 
	extract  /a  D:\win98\win98_28.cab riched20.dll /L  c:\windows\system
	●如果Windows 不是安装在C:\windows下,把c:\windows替换成实际的目录;
	●关于Extract 命令的详细使用方式,请参考 怎样提取压缩的原始文件
	(http://support.microsoft.com/support/kb/articles/Q129/6/05.ASP),文档编号:Q129605
1.关闭计算机,插入Windows 98/me启动软盘,重新启动计算机。出现菜单选项时,选择 start with CD-ROM support
2.键入以下命令:
		如果你使用windows 98 :
			extract   /a  d:\win98\win98_28.cab riched20.dll  /L c:\windows\system   
		如果你使用windows 95:	    
			extract  /a win95_10.cab riche20.dll  /L c:\windows\system
注意: 如果遇到错误,重复第2步;确保你的操作系统和你键入的命令一致。
Windows NT 4.0
	1.把Windows设置成可以看到所有文件。
	2.查找并删除所有名字为Riched20.dll的文件。
	3.安装最新的"服务包"(service pack)。已被删除的Riched20.dll文件将被替换成新的文件。
	4.如果替换新的Riched20.dll文件之后,Microsoft Word 或Office不能运行,或者启动后出现
	  错误信息,则你应该重新安装Microsoft Office.
Windows 2000
如果你使用Windows 2000, 可以用一个内置程序替换被破坏或者缺少的系统文件。以下步骤帮助你替换被
破坏的Riched20.dll文件:
1.把"系统文件检查器"(System File Checker)设置成enabled:
	⑴.单击"开始"(Start)再单击"运行"(Run).
	⑵.输入cmd,再单击"确认"(OK).
	⑶.输入如下一行,再按回车。
	  sfc /enable
	⑷.输入exit, 再按回车。
2.把 Windows 设置成可以看到所有文件:
	⑴.启动 Windows资源管理器(Windows Explorer).
	⑵.单击"工具"菜单(Tools),再单击"文件夹选项"(Folder Options).
	⑶.单击"查看"
	⑷.不选择"隐藏已知文件类型的扩展名"。
	⑸.不选择"隐藏受保护的操作系统文件"。在"隐藏文件和文件夹"的目录下,选择"显示所有文件和文件夹"。
	⑹.单击"应用"(Apply),并单击"确认"(OK).
3.查找Riched20.dll
	⑴.单击"开始"(Start),再选择"搜索"并单击"文件或文件夹"。
	⑵.把"搜索范围"设成(C),这会搜索所有子目录。
	⑶.在"要搜索的文件或文件夹名为"的输入框,输入(或者拷贝/粘贴)以下文件名:
	  riched20.dll
	⑷.单击"立即搜索"。
	⑸.删除所有被找到的文件。
4.重起机器
5.系统文件检查器"(System File Checker)将会替换所有找不到的Riched20.dll 文件。如果替换新的
  Riched20.dll文件之后,Microsoft Word 或Office不能运行,或者启动后出现错误信息,则你应该重
  新安装Microsoft Office.

Copyright CCERT 2001

*email:webmaster@ccert.edu.cn

Phone:86-10-62784301