中了一个mmc.exe的木马，有人知道怎么杀吗？

我发的那个tel.xsl.exe的病毒也有这个出现MMC进程的现象，你去看看吧，也在这个版。

谢谢，就是这个狗木马，搞死我了

哎 我也中了

【分析处理】 使用杀毒软件对系统进行病毒扫描，发现感染了“尼姆达”（W32.Nimda.A@mm）蠕虫病毒。该病毒感染速度快，传播方式多，可以通过共享网络资源、电子邮件、微软的IIS服务器传播，同时也可以感染本地文件。如果不及时清除，就会给系统带来严重的危害。 此病毒的清除方法如下： 1. 断开故障电脑所有的网络连接。 2. 重新启动系统，结束此蠕虫病毒的进程。 3. 清空Temp文件夹。 4. 将系统目录下的57 344字节Load.exe文件以及C:\Windows目录下的Mmc.exe文件删除，在各逻辑盘的根目录下查找Admin.dll和Readme.eml文件，全部删除。 5. 使用干净无毒的Riched20.dll（约100K字节）文件替换染毒的同名文件（57 344字节）。 6. 如果使用的是Windows NT或Windows 2000的操作系统，禁用Guest账号。 说明：此病毒不易彻底清理，建议使用诺顿、金山毒霸等厂商制作的病毒专杀工具清理。

手工清除尼姆达蠕虫 ------------------------------------------------------------- 最新闪亮登场的“概念”（又称尼姆达）蠕虫(Worm.Concept.57344)病毒，预测其破坏性极为巨大，如果用户您不幸深中此毒，大为恐慌之余，还需保持冷静，国内第一家首次发现此病毒的金山公司教您手工清除它，且请用户按照如下方法一步一步进行手动清除： 初诊： 查看您的各个逻辑驱动器中的文件夹，如果发现大量文件夹下都存在一个.eml文件，长度为79225字节，基本上就可以确定了您已经中了现在流行极广的“概念”（尼姆达）病毒了。 处理方法如下： 预处理：在进行处理之前，建议您将机器从网络上断开，避免病毒从网络上再入侵您的机器。 处理过程： 1、打开进程管理器，查看进程列表； 2、结束其中进程名称为"xxx.tmp.exe"、"MMC.EXE"、"TFTP.EXE"以及"Load.exe"的进程（其中xxx为任意文件名）； 3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们； 4、切换到系统的System目录，寻找名称为Riched20.DLL的文件； 5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它； 6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它； 7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它； 8、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”； 9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除； 10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:\的完全共享； 11、搜索整个机器，查找文件名为*.eml的文件，长度为79225字节，如果文件内容中包含 “<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br> <iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br> </iframe></BODY></HTML> ” 以及 “Content-Type: audio/x-wav; name="readme.exe" Content-Transfer-Encoding: base64 ”，则删掉该文件。 12、搜索整个机器，查找所有的超文本语言类文件(如 html、htm、htt、asp、shtml、shtm 等)，若发现其中包含以下字符串： <html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html> 则删除该段字符串。具体操作方法如下：执行“开始 | 搜索 | 文件或文件夹”命令打开搜索窗口，在要搜索的文件或文件夹名栏里输入“*.html;*.htm;*.htt;*.asp;*.htm;*.shtm”，包含方字栏里输入上述字符串，搜索范围内选择“本地硬盘驱动器”。在每个搜索到的文件末尾可以上述字符串并删除。 13、最后，由于在某些情况下该蠕虫还会采用类似捆绑的方式感染一些.EXE文件，强烈建议您到毒霸的主页上下载“概念”病毒的专杀工具检查一遍硬盘，以确定清除了病毒。 尾声： 检查所有的共享文件夹设置，去除（或者设置访问密码）可写的共享文件夹； 如果您的机器是使用IE6以下版本或者开启了IIS服务，您还需要在http://www.iduba.net/secure/200109201370.htm上查看详尽的微软关于漏洞的解决方案，下载相应的补丁包安装。 如果经过了以上所有步骤，您就可以放心的将机器连上网络，正常使用了。 结束语： 尼姆达感染后使用字处理不正常等问题解决方法 被尼姆达感染后，发现不但ＯＦＦＩＣＥ不能正常使用，几乎所有的字处理工具都瘫痪，如下是手动修复的方法： 由于病毒用自身覆盖了system目录下的riched20.dll，所以WORD等字处理软件运行不正常。用户杀毒后，可以从安装盘里面找到相应的文件拷贝回来。 如Win98：在压缩包Win98_35.CAB中，解开找到riched20.dll拷贝到system目录。 Win98se：在压缩包Win98_41.CAB中。 WinME：在压缩包Win_14.CAB中。 Win2000：在system32\dllcache目录有备份，将它拷贝到system32目录。等等…… 或者也可以从其它未感染过病毒的机器拷贝该文件。 另外，还有一很简单的恢复方法，就是通过添加删除Windows的写字板程序，也可恢复被感染的WORD等字处理软件所需的riched20.dll文件。

又出现Nimda.e病毒，再次更新详细解毒方案 返回顶部 一、winX系统的清除方法： 1． 使用干净DOS软盘启动机器。 2． 执行vrvdos, 查杀所有硬盘。 3． 在SYSTEM.INI文件中将LOAD.EXE的文件改掉，如没有变，就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目，否则清除病毒后，系统启动会提示有关load.exe的错误信息。 4． 开启vrv实时监测病毒防火墙。 5． 为了预防该病毒在浏览该带毒信笺可以自动执行的特点，必须下载微软的补丁程序。 地址是：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。 6．WINDOWS 2000如果不需要可执行的CGI，可以删除可执行虚拟目录,例如/scripts等等。 7．如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区。 8．对WINDOWS NT/2000系统，微软已经发布了一个安全补丁，可以从下列地址下载：http://www.microsoft.com/technet/security/bulletin/ms00-078.asp. 9．病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除，请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件，否则的话，写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是：431376字节。或重装office。 二、WINDOWS NT/2000系统的清除方： WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时，处理比较烦琐。因用DOS软盘引导后不认硬盘分区，所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管是服务器还是单机的硬盘染此毒了，要想杀干净病毒，可按如下方法杀毒： 1． 找一台没有感染病毒的、并装有WINDOWS NT/2000（NTFS)系统的计算机，将vrv2001 server安装到硬盘中，对硬盘进行查杀。 2． 如果有杀不掉的，用dos盘引导起动，再执行NTFSpro（在vrv网站可以下载）中的ntfspro.exe 即可，看到NTFS格式下的所有文件，将其删除，再回到正常模式下查杀。 3． 如果有多台机器，也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。 Nimda病毒解决方案 请大家尽快到微软网站下载更新程序，修补这些漏洞，以免中毒。收到可疑的信件，例如：Nimda病毒病毒附件为readme.exe，不要随意打开以免中毒， IE 5.x 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下载修复程序，避免浏览中毒网页就被感染。 IIS 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-044.asp、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下载修复程序，以修正Unicode漏洞。 另外：Win9x用户记得去掉共享，修改System.ini中shell=explorer.exe load.exe -dontrunold为shell=Explorer.exe ，Win2000则查看一下administrators组中是否加进了“guest”用户，如果是，请将guest用户从administrators组中删除，然后用最新版的杀毒软件扫描你的机器，查杀病毒。 自己动手对付CodeRed(红色代码)

昨天中的这个毒，今天刚杀完。 郁闷。。

重装了 哎 无赖了

上面那些方法基本可以判断不管用，这个东西感染exe文件，最彻底的是全硬盘格式化，折中的办法是格c盘，删除其它盘的exe文件，不然只能等杀毒软件更新了