Nimda cũ mà không xưa!!!!!!!

Nimda cũ mà không xưa!!!!!!!

Bạn nào biết xin chỉ giùm cám ơn.
Tôi có 2 cái PC, 1 cái xài Win 98 SE, một cái xài Win 2K, cả 2 cái đều bị nhiểm W32.Nimda_Worm.
Tôi dùng BKAV for Win thì chỉ diệt được cho máy xài Win 98SE thôi, còn máy Win 2K thì khi diệt lần đầu nó diệt được hết nhưng khi restart lại thì nó lại bị nhiểm như cũ. Bây giờ tôi cũng dùng BAKV diệt lại lần nữa thì nó không còn tác dụng nữa. Ai biết xin chỉ giùm.
Xin chân thành cảm ơn!!!


aNhDaYnEcUnG

có lẽ master boot record đã bị nhiễm rồi nên sau khi quét xong, khởi động lại thì vẫn bị nhiễm. Sở dĩ như vậy là vì BKAV không thể nào can thiệp vào master boot record, bạn nên tìm một chương trình diệt nào đó cực mạnh có khả năng can thiệp vào master bootrecord, bạn thử Pccillin.. xem sao?

aNhDaYnEcUnG

Tôi có ý kiến sau, bạn thử xem sao:
Con Nimda này chủ yếu là lây nhiễm bằng con đường truyền thông qua ngõ internet. Nếu không có con đường truyền thông thì hình như nó sẽ nằm yên rồi chờ cơ hội để ra tay khi tìm thấy ngõ để truyền thông. Một trong những ngõ mà nó chọn là qua ngõ web server và ftp server.
Nếu bạn xài win2k và khi khởi đông máy con Nimda chạy ầm ầm (nếu bạn dùng task manager để check thì sẽ thấy mức độ của CPU vào khỏang 5%-20%) thì bạn nên tắt ftp server và web server trong máy. Thông thường bạn có thể thấy tên của nó trong task manager khi nó đang chạy. Tên của nó thông thường có 1 hay nhiều khoảng trống ở phía trước. Nếu bạn dùng task manager để ngưng nó, trước khi ngưng nó sẽ tạo ra 1 con khác ).
start->programs->administrative tools -> Internet Service Manager
Khi cái Internet Information services window hiện lên, bạn bấm vào dấu cộng kế bên tên của máy của bạn. Bạn sẽ thấy các services như "Default FTP site", "Default web site"...
Bấm chuột phải vào từng service trên và chọn "stop". Sau đó khởi động máy lại. Bạn sẽ thấy mức hoạt động của Nimda chậm lại hoặc ngừng. Tuy nhiên con Nimda vẩn còn trong memory ở dưới dạng services và tạm ngũ.
Nimda có nhiều biến thể, mỗi loại hoạt động mội kiểu. Ðại để như sau:
Tạo ra nhiều file với extension .eml và nws.
Windows Media Player có thể bị nhiểm và Nimda dùng chương trình này để lấy nhiểm ra bên ngoài.
Nimda nhiểm vào các file .exe và có thể thay đổi icon của những file này thành icon của htm file.
Tạo ra file admin.dll và riched20.dll ở gốc của mỗi patition (như c:, d:, e:...)
Nimda sẽ thay đổi những set up trong explorer (tools -> folder options...) trong phần "view" thành như sau:
"Do no show hidden files and folders"
"Hide file extension of known file types"
Do đó nếu bạn muốn thấy những file mà con Nimda này tạo ra (trước khi diệt nó), bạn sữa options trong explorer (tools -> folder options... ->View) thành "Show hidden files and folders " và không chọn cái "hide extension của unknown files". Sau đó bạn tìm những files có extension *.eml, *.nws, *.dll, *.exe, *.htm, *.asp tạo ra trong vòng 1 ngày (hoạc lâu hơn, tùy theo máy bạn bị nhiểm bao lâu). Chắc bạn sẽ thấy rất nhiều (có thể lên tới trên 1 ngàn files).
Theo ý của tôi thì bạn nên nhờ máy của 1 người nào đó dùng win2k và có Norton Antivirus (có cập nhật mới nhất) và tạo ra bộ dĩa mềm. Dùng bộ dĩa mềm này để diệt Nimda. Tôi không có cơ hội dùng những chương trình diệt virus khác nên không nói gì được về những chương trình đó. Tôi có xài norton và nó diệt được Nimda.
Vài đóng góp nhỏ, chúc bạn may mắn.

chào,
tình trạng bị Nimda tại OS Wìnk2 Adva Server của mình thì bị hàng ngày.
ở đây mở dịch vụ truy cập Net mà cấm đi phần FTP thì coi bộ là không được rồi.
Bây giờ server đang chạy Norton Antivirus và quét hàng ngày, nhưng nếu nó nằm trong mastor or sector boot thì tại sao program virus không thấy.

alonestar