发现： 2001 年 9 月 18 日

更新： 2007 年 2 月 13 日 11:46:19 AM

别名： W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ

类型: Worm, Virus

感染长度： 57,344 bytes

受感染的系统： Microsoft IIS, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考： CVE-2000-0884 CVE-2001-0154

由于该电子邮件例程是在其最初 10 天休眠期后重新激活的，Symantec 尚未发现该病毒的活动性有任何明显增加。

W32.Nimda.A@mm 是一种群发邮件蠕虫，它利用多种方式进行自身传播。此病毒的名称来自于“admin”一词的颠倒拼写。此蠕虫通过电子邮件方式发送自身、搜索公开的网络共享并尝试将自己复制到未修补过的或已存在攻击弱点的 Microsoft IIS Web 服务器上。此病毒既感染本地文件，也感染远程共享网络文件。

此蠕虫使用 Unicode Web Traversal 缺陷。有关此缺陷的详细信息及运行 Windows NT 4.0 Service Packs 5 和 6a、Windows 2000 Gold 或 Service Pack 1 操作系统的计算机的修补程序，请参阅 http://www.microsoft.com/technet/security/bulletin/ms00-078.asp。

借助电子邮件到达后，蠕虫就会使用 MIME 缺陷，该开发功能允许在阅读或预览文件时执行病毒。有关此缺陷的详细信息和修补程序，请参阅 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

如果访问一个已感染病毒的 Web 服务器，会被提示下载扩展名为 .eml (Outlook Express) 的电子邮件文件，此文件以附件形式包含蠕虫。可以在 Internet Explorer 的 Internet 安全区域选择禁用“文件下载”来防止此种危害。

蠕虫也将在受感染的计算机上创建公开的网络共享，以便允许访问系统。在此过程中，蠕虫将用管理员权限创建来宾帐户。

删除工具

Symantec 安全响应中心已公布了一个删除 W32.Nimda.A@mm 所引起的病毒感染的工具。请到此处下载该工具。

病毒定义

可以通过 LiveUpdate 或从此处下载病毒定义。

Symantec 解决方案

Symantec 提供许多保护和防止感染 W32.Nimda.A@mm 病毒的解决方案。单击这里（英文）可以查看 Symantec 提供的有关如何解决 W32.Nimda.A@mm 病毒以及类似的“混合威胁”的建议。

与 Macintosh 用户相关的信息：

虽然 Macintosh 计算机不会感染此蠕虫病毒，但是蠕虫会通过 Macintosh 的电子邮件将其传递到 Windows 计算机。同样，如果与 Windows 计算机共享一个网络，蠕虫也会将病毒文件放入 Macintosh 计算机的硬盘。有关详细信息，请参阅文档 Macintosh 是否受 Nimda 病毒的影响？（英文）

针对 Novell 用户的信息

Novell 服务器不会受到此病毒的直接攻击，但是在 Windows 下运行的 Novell 客户机可以访问 Novell 服务器，并在服务器上执行病毒文件（使用登录脚本或其它手段），这样便可以更进一步地传播病毒。

注意：Microsoft 已在 NT 4.0 SP5 中为 IIS 4.0 发布了累积的更新修补程序，同时也在更高版本中为 IIS 5.0 发布了全部安全修补程序。可以在 http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 找到此修补程序。

Microsoft 已在以下网站提供了有关此病毒的信息：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/nimda.asp

Norton AntiVirus

Norton AntiVirus 是全球最值得信赖的防病毒解决方案。它可以在不中断您工作的情况下自动修复常见的病毒感染。通过 Internet 可以很容易自动更新病毒定义。即使在病毒定义更新期间，Symantec 独有的禁止脚本技术也可通过标识和停止基于脚本的新病毒（如 “IloveYou”）来防御快速移动线程。为了保护您的 PC 并防止其将病毒传播给您的朋友或同事，Norton AntiVirus 对接收和发送的邮件都要进行扫描和清除。并且为了即时访问最需要的功能，它被集成到 Windows 资源管理器中。如果您还没有防病毒软件，请使用 Symantec 的获奖产品 Norton AntiVirus 2002 来防止计算机感染蠕虫和病毒。

Norton AntiVirus 企业版

Norton AntiVirus 企业版在桌面和文件服务器层面上提供最佳的、多平台的面向企业范围的病毒防护。数字免疫系统是与 IBM® 合作开发两年的结晶，可以提供智能后端服务和独有的自动响应机制。闭环自动控制是一种响应功能，它可以分析和部署经过质检的抗病毒代码，其速度比病毒传播的速度要快。即使是面对病毒广泛传播期间异常大量的需求，Symantec 的可升级后端结构也能确保快速传输实现完全保护所需的病毒定义。

Norton AntiVirus 网关版

Norton AntiVirus 网关版在 SMTP 网关处扫描压缩文件，自动检测电子邮件附件（包括数量几乎不受限制的扩展名，如 ZIP、UUENCODE 和 MIME 格式）中的病毒。由于也对常见压缩格式文件内的文件进行扫描和修复，所以 Norton AntiVirus 网关版可以有效地防御隐藏在压缩文件中的病毒。使用集成的抢先防病毒功能，管理员可以在得到抗病毒代码前阻止新的和未知的病毒运行，从而防止病毒进入机构发作。

Norton AntiVirus Lotus Notes 版

Norton AntiVirus Lotus Notes/Domino 版为 Lotus Notes/Domino 数据库（其中包括 Lotus Domino R5）提供稳定、可靠的病毒保护。它为管理员提供了最全面的和自动的保护，用以抵御新的和已知的病毒，防止数据库感染病毒，并且可以自动扫描和修复 Notes 邮件和数据库文档中的文件附件和嵌入式 OLE 对象。高效率增加的扫描可将对网络性能的影响降至最低。由于管理员在发现新病毒时无需重新安装扫描引擎，所以会明显降低软件所有人的总拥有成本。由于所有操作都可在 Notes 客户端完成，所以 Norton AntiVirus 易于使用。

Norton AntiVirus Microsoft Exchange 版

Norton AntiVirus 2.5 Microsoft Exchange 版可以自动检测并删除 Exchange 服务器上的新旧病毒，提供最全面的自动病毒防护。采用 Microsoft 最新的病毒扫描 API，Norton AntiVirus Microsoft Exchange 版将同时对电子邮件正文和附件进行扫描，在尽可能缩小对网络性能影响的同时提供最有力的病毒防护。由于管理员在添加新病毒定义时无需重新安装扫描引擎， Norton AntiVirus 将明显地降低软件所有人的总拥有成本。

Norton Internet Security

Norton Internet Security 是 Symantec 的集成联机安全组件。Norton Internet Security 组件包括 Norton AntiVirus、Norton Personal Firewall、Norton Privacy Control 以及 Ad Blocking。通过 LiveUpdate 可以方便地更新组件（如最新的病毒定义、防火墙规则等等），这样可确保 Norton Internet Security 持续地为用户的计算机提供安全防护。

Symantec Desktop Firewall

Symantec Desktop Firewall 是易于使用且侵入可能性最小的解决方案，可以保护远程用户免受黑客攻击，还可以保护企业网络不受后门程序的攻击。此解决方案部署迅速并在后台工作，以监视入站和出站通信。远程安装能力和与主要 VPN 兼容的特性使其成为远程通信安全的主要解决方案。

Symantec Enterprise Firewall

Symantec Enterprise Firewall 和 Raptor Firewall 将通过适当的配置对 HTTP 的请求和响应进行分析，以确保其与 Requests for Comments (RFC) 中定义的 Web 协议相一致。这一机制有效禁止了许多常见的利用违反协议实施的攻击。另外，可将 Symantec Enterprise Firewall/Raptor Firewall 6.5 或更高版本配置为在规则中使用 URL 模式匹配以禁止对特定 Web 服务器平台的定量威胁。

Symantec VelociRaptor

VelociRaptor 是一个单机架单元高 (1RU) 的即插即用工具，用于确保完全控制进入和离开网络的信息。其先进的数据检查技术可过滤通信，并且将应用级的代理、网络系统分析和数据包筛选集成到网关安全结构中。为了禁止访问私人网络和保密信息，VelociRaptor 将应用完全检查扫描技术以确保在协议堆栈的全部七个级别（包括应用代理在内）对数据进行了验证。

Symantec Enterprise Security Manager (ESM)

Symantec Enterprise Security Manager 是依从并基于主机攻击弱点的、可升级的安全策略评估工具。可使用此工具检测运行 IIS 服务器的系统，检测具有 Web Directory Traversal Vulnerability 的系统，还可通过其快照技术检测已修改文件、新建文件和已删除文件。也可以检测在注册表中的其它修改，这在应用法医分析法时有用。如果在企业中尚未配置 ESM，虽然在修复由类似 W32.Nimda.A@mm 这种广泛传播的病毒造成危害时作用有限，但 ESM 减轻感染下一种 W32.Nimda.A@mm type 类型蠕虫危险的能力很强，原因是它会强制执行好的惯例，例如：标识不适当的修补级别、不需要的服务以及不安全的密码。单击这里可以查看在 Windows NT 和 Windows 2000 上针对 Nimda 的 Enterprise Security Manager 安全响应中心政策。

Symantec NetRecon

Symantec NetRecon 是具有根目录问题分析能力的网络攻击弱点评估扫描器。Symantec NetRecon 可以检测正在运行 Web 服务（特别是 Microsoft IIS）的系统，还会检测具有 Web Directory Traversal Vulnerability 的系统。

Symantec NetProwler

NetProwler 是 Symantec 提供的基于网络的入侵检测工具，它可以连续、透明地监视网络中的误用或滥用模式。如果安装了 Security Update 8，NetProwler 将检测运行于网络上的 CodeRed 蠕虫及其变体。 NetProwler 日志文件将会标识受 W32.Nimda.A@mm 蠕虫感染的每个系统。NetProwler 还可通过审阅日志文件内容指出网络上第一台感染蠕虫病毒的主机，此线索可以作为法医分析法的辅助信息。

Symantec Intruder Alert

Intruder Alert 是基于主机的入侵检测工具，它可以检测未经授权的和恶意的活动，从而防止对系统、应用程序和数据安全误用和滥用。Intruder Alert 的 FileWatch 功能可以监视和检测对关键任务文件的任何更改、删除或移动，这些改变可能是感染 W32.Nimda.A@mm 后进行未经授权的访问而导致的。此外，Intruder Alert 还提供可以开发自定义规则的工具，此规则可将已感染/已更改的文件还原为原始文件。Intruder Alert 还能监视系统的可疑行为，如安装 Rootkit 或 DDoS 代理、创建帐户或其它修改。Intruder Alert 可通过跨网络方式来集中管理日志文件，从而有助于法医分析法对已感染系统的分析。

Symantec Web Security

Symantec Web Security 通过对病毒、恶意代码以及不适当的 Web 内容进行一次性、高性能的扫描，来保护在 HTTP/FTP 网关处的 Web 通信。若要将基于列表的技术与启发式和上下文敏感式分析相结合，以便尽可能地确保系统免受已知和未知邮件以及与业务无关的 Web 站点的威胁，这是唯一的解决方案。

防护

* 病毒定义（每周 LiveUpdate™） 2001 年 9 月 18 日

* 病毒定义（智能更新程序） 2001 年 9 月 18 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Moderate

* 清除： Moderate

损坏

* 损坏级别： Medium

* 大规模发送电子邮件： Uses MAPI to send itself as Readme.exe (Readme.exe may not be visible as an attachment in the email received).

* 修改文件： Replaces multiple legitimate files with itself.

* 降低性能： May cause system slowdown.

* 危及安全设置： Opens the C drive as a network share.

分发

* 分发级别： High

* 附件名称： README.EXE (This file may not be visible as an attachment in the email received).

* 附件大小： 57344

* 端口： 69

* 共享驱动器： Opens network shares.

* 感染目标： Attempts to infect unpatched IIS servers.

通过 Web 服务器的方式感染

W32.Nimda.A@mm 试图感染未修补过的 Microsoft IIS Web 服务器。在 Microsoft IIS 4.0 和 5.0 上，可能会创建一个 URL，此 URL 将导致 IIS 定位至包含 Web 文件夹结构的逻辑驱动器上任何所需的文件夹，并且访问其中的文件。有关此缺陷的详细信息和修补程序，请参阅 http://www.microsoft.com/technet/security/bulletin/ms00-078.asp。

成功地利用 Directory Traversal Vulnerability 缺陷可以让攻击者有能力安装并运行代码，并且可以在已感染的服务器上添加、更改或删除文件及网页。原始攻击弱点的局限性包括以下内容：

1. 服务器配置。该攻击弱点仅允许访问与 Web 文件夹在同一逻辑驱动器上的文件。例如，如果 Web 管理员将服务器配置为操作系统文件安装在 C 驱动器，而 Web 文件夹安装在 D 驱动器上，则攻击者将无法通过此攻击弱点来访问操作系统文件。

2. 攻击者必须以交互方式登录到服务器。

3. 所获得的权限仅为本地登录用户的权限。此攻击弱点只会允许恶意用户对 IUSR_machinename 帐户的内容进行操作。

然而，通过采用 W32.Nimda.A@mm 蠕虫作为输送机制，攻击者便能远程攻击那些具有攻击弱点的 IIS 服务器。一旦攻击成功，无论 IIS 服务器安装在哪个驱动器上，蠕虫都会在目标服务器上创建一个具有管理员权限的本地帐户。蠕虫采用目录横越技术访问位于没有修补过的 IIS 服务器上的 cmd.exe 文件。该蠕虫也会试图利用此前已感染过 CodeRed II 病毒的服务器来进行传播，并且会通过此服务器的 Inetpub/scripts 目录访问 root.exe 文件。

注意：如果 Norton AntiVirus 实时保护程序在 Inetpub/scripts 文件夹中检测到“TFTP34%4.txt”之类的文件感染了 W32.Nimda.A@mm 病毒，则此计算机此前可能已感染过 CodeRed II 病毒。建议下载并执行 CodeRed 删除工具以确保已经清除了 CodeRed II 病毒对系统的威胁。单击这里可以找到该工具。

此蠕虫使用随机生成的 IP 地址搜索 Web 服务器。利用 Unicode Web Traversal 缺陷，蠕虫通过 TFTP 以 admin.dll 的方式将自己复制到 Web 服务器。已被感染的计算机将创建一个侦听 TFTP 的服务器（端口 69/UDP）来传输蠕虫的副本。

然后，此文件将在 Web 服务器上执行，并被复制到多个站点。除此缺陷之外，蠕虫还试图利用位于远程可执行 Web 目录中的 root.exe 或 cmd.exe 文件来开发已感染的 Web 服务器。

然后，蠕虫将尝试通过添加 JavaScript 来修改名为 default、index、main 或 readme 的文件，或扩展名为 .htm、.html 及 .asp 的文件。JavaScript 会让打开已感染页面的访问者收到由蠕虫创建的 Readme.eml 文件。Readme.eml 是一个将蠕虫作为附件的 Outlook Express 电子邮件文件。此电子邮件会利用 MIME 缺陷。因此，计算机可能因浏览已感染病毒的网页而轻易地感染病毒。

系统修改

蠕虫会在执行时确定其执行的位置。然后蠕虫将改写 \\Windows 文件夹中的 Mmc.exe 文件，或在 Windows 临时文件夹中创建自己的副本。

蠕虫随后会感染可执行文件，以 .eml 和 .nws 文件格式创建自己并将自己以 Riched20.dll 的形式复制到本地驱动器上含有 .doc 文件的文件夹内。蠕虫将按在下列注册表键中所列出的路径来搜索文件：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\

Windows\\CurrentVersion\\App Paths

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\

Windows\\CurrentVersion\\Explorer\\Shell Folders

蠕虫通过修改下列 System.ini 文件来钩连系统：

Shell = explorer.exe load.exe -dontrunold

它也会替换 Riched20.dll 文件。Riched20.dll 是由诸如 Microsoft Word 这样的程序使用的合法 Windows .dll 文件。通过替换此文件，每执行一次 Microsoft Word 这样的程序，就会同时执行一次蠕虫。

蠕虫也会将自己注册为服务进程或将自己作为远程线程添加到 Explorer 进程中。这样，即使用户没有经常登录，蠕虫也会继续执行。

蠕虫会作为下列文件复制自己：

%Windows\\System%\\load.exe

注意：%Windows\\System% 是变量。蠕虫将找到 \\Windows\\System 文件夹（默认位置为 C:\\Windows\\System），并将自己复制到此位置

接下来，蠕虫将通过修改下列注册表键，为计算机上的所有驱动器创建公开的网络共享：

HKLM\\Software\\Microsoft\\Windows\\

CurrentVersion\etwork\\LanMan\\[C$ -> Z$]

要使这些设置生效必需重新启动计算机。

蠕虫通过枚举网上邻居以及利用随机生成的 IP 地址来搜索网络上所有公开的共享。蠕虫会检查公开的网络共享中的所有文件，检查是否可以感染这些文件。除 Winzip32.exe 以外，所有 .exe 文件都将被蠕虫感染。

然后，蠕虫将 .eml 和 .nws 文件复制到公开的网络共享，并将自己作为 Riched20.dll 文件复制到所有包含 .doc 文件的文件夹中。

蠕虫还将更改资源管理器的设置，使其不显示隐藏文件及已知文件的扩展名。

蠕虫将在 Guests 组和 Administrators 组中添加一个 Guest 用户。这将把管理权限赋予来宾帐户。另外，蠕虫还会积极地将 C$ = C:\\ 共享，此共享无需重新启动计算机。

群发邮件程序

Nimda 包含一个每隔 10 天便会执行的群发邮件例程。蠕虫首先通过搜索电子邮件地址来开始此例程。蠕虫将搜索本地系统中 .htm 和 .html 文件内的电子邮件地址。蠕虫还会使用 MAPI 来遍历任何兼容 MAPI 的电子邮件客户机中的全部邮件。所有支持 MAPI 的电子邮件客户机都可能受到影响，其中包括 Microsoft Outlook 和 Outlook Express。蠕虫将采用这些电子邮件地址作为“收件人：”和“发件人：”地址。因此，从受感染计算机发出的邮件的发件人地址将显示为 Nimda 所找到的地址，而不是受感染计算机的用户地址。

蠕虫使用其自己的 SMTP 服务器发送电子邮件，并使用所配置的 DNS 项来获取邮件服务器记录（MX 记录）。

通过电子邮件接收蠕虫时，蠕虫会使用一个旧的已知 MIME 缺陷自动执行。如果系统已针对此缺陷进行过修补，那么蠕虫将无法使用 Microsoft Outlook 或 Outlook Express 执行自己。有关此缺陷的详细信息，请参阅 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

感染可执行文件

蠕虫也将试图感染 .EXE 文件。首先，蠕虫会检查文件是否已受到感染。如果文件未受到感染，蠕虫将在临时目录中复制自己。受感染的文件将被嵌入到此副本内。然后，受感染的文件会覆盖此新文件，将原来干净的文件替换为受感染的版本。受感染的可执行文件约为 57344 字节。当执行受感染的文件时，蠕虫将把原始的干净文件取出放到临时文件中，并与自己一同执行。因此，您可能不会注意到可执行文件已受感染。

在执行期间，蠕虫将尝试删除其副本。如果文件正在使用或已锁定，蠕虫将创建一个 Wininit.ini 文件，此文件中带有重新启动时删除其自身的命令项。

感染文件时，蠕虫将在 Windows 临时文件夹中创建下列两个临时文件：

* mep[nr][nr][letter][nr].TMP.exe

* mep[nr][nr][letter][nr].TMP

两个文件都将被隐藏并都具有系统属性设置。

下面列出了此蠕虫所用的端口。应当注意到这些全都是标准端口。

TCP 25 (SMTP) -- 用于将电子邮件发送到目标地址，邮件地址从受感染的客户机处获得。

TCP 69 (TFTP) -- 为了对 admin.dll 文件进行 TFTP 传输而打开端口 69/udp，以感染 IIS。作为此协议的一部分，它让传出连接来传输文件。

TCP 80 (HTTP) -- 使用此端口确定存在攻击弱点的 IIS 服务器。

TCP 137-139，445 (NETBIOS) -- 在蠕虫的传输中使用。

另外，蠕虫会监测带有一列特定字节的连接，然后打开一个在传入连接请求中所指定的端口。此端口可以在任何范围内。

蠕虫含有编程错误，并且可能导致资源紧张。因此，并非所有操作都能出现，而且系统不稳定也是可以注意到的。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

Symantec 安全响应中心已公布了一个删除由 W32.Nimda.A@mm 引起的病毒感染的工具。请到此处下载该工具。

注意：一旦计算机已遭到 W32.Nimda.A@mm 病毒攻击，可能已有未授权的用户对该系统进行了远程访问。因此，将无法保证已受感染系统的完整性。远程用户可能已对该系统进行了更改，这些更改包括但不限于下列操作：

* 盗取或更改密码或密码文件

* 安装远程连接主控程序，也称后门程序

* 安装击键记录软件

* 配置防火墙规则

* 盗取信用卡号码、银行信息以及个人数据等等

* 删除或修改文件

* 从客户的电子邮件帐户发送不适当的或甚至连累客户的材料

* 修改用户帐户或文件的访问权限

* 删除日志文件的信息以隐藏此类活动

如果需要确保机构安全，则必须重新安装操作系统，用感染病毒之前的备份还原文件，并且更改可能已在受感染计算机上的所有密码或通过它们可访问到的所有密码。这是确保系统安全的唯一方法。有关机构安全的详细信息，请与系统管理员联系。

手动删除指导

如果无法获取删除工具，或者删除工具在您的环境下不能工作，请执行下列操作：

1. 运行 LiveUpdate 以确保具有最新的病毒定义。

2. 请执行下列任一操作：

* 如果运行的是 Windows NT/2000/XP，请跳到步骤 3。

* 如果运行的是 Windows 95/98/Me，请根据以下指导编辑 System.ini 文件：

1. 单击“开始”，然后单击“运行”。

2. 键入以下内容，然后单击“确定”：

edit c:\\windows\\system.ini

MS-DOS 编辑器打开。

注意：如果 Windows 安装在其它位置，请替换为相应路径。

3. 找到以 shell=\\ 开头的行

4. 将光标直接放到等号的右边。

5. 按 Shift+End 键选择等号右边的所有文本，然后按 Delete 键。

6. 键入以下文本：

explorer.exe

此行现在显示为：

shell=explorer.exe

注意：除 Explorer.exe 之外，有些计算机在 shell= 之后可能还有另一项。如果是这种情况，且正在运行备用 Windows 命令解释器，请立即将此行更改为 shell=explorer.exe。可在完成此过程之后将其改回首选的命令解释器。

7. 单击“文件”，并单击“退出”，当提示是否保存更改时，单击“是”。

3. 重新启动计算机。

注意：当计算机重新启动时，很可能会找到已被感染的文件。建议您尝试修复已受感染的文件。请将不可修复的所有文件隔离。

4. 启动 Norton AntiVirus (NAV)，确保将 NAV 配置为扫描所有文件。有关如何配置的说明，请参阅如何配置 Norton AntiVirus 以扫描所有文件。

5. 使用 NAV 扫描系统。有关如何用 NAV 进行扫描的说明，请参阅文档“如何扫描病毒”。

6. 对于每个检测为已感染 W32.Nimda.A@mm 或 W32.Nimda.A@mm (html) 病毒的文件，请选择“修复”。隔离所有无法修复的文件。

7. 对于每个检测为已感染 W32.Nimda.A@mm (dr)、W32.Nimda.enc 或 W32.Nimda.A@mm (dll) 病毒的文件，请选择“删除”。

8. 从备份中还原 Admin.dll 和 Riched20.dll 文件，如果必要也可通过 Microsoft Windows 或 Office .cab 文件来还原这两个文件。

9. 删除不必要的共享。

10. 从 Administrators 组中删除 Guest 帐户（如果可行）。

Windows Me/XP 中的系统还原选项

Windows Me/XP用户应该暂时关闭系统还原功能。此功能默认情况下是启用的，一旦计算机中的文件遭到破坏，Windows 可使用此功能将其还原。如果计算机感染了 蠕虫、病毒或特洛伊木马程序，则它们也有可能已经被备份。默认情况下，Windows 会防止外来程序对系统还原功能进行修改。因此，删除工具的任何修复尝试都将失败。若要解决此问题，必须禁用系统还原，然后重新启动计算机。此操作将清除 _RESTORE 文件夹的内容。然后必须再次运行删除工具。

* 如何禁用或启用 Windows XP 系统还原

* 如何禁用或启用 Windows Me 系统还原

如何提取 Riched20.dll 文件

如果在启动诸如 Microsoft Word 这样的程序时出错，或者无法启动程序，需要提取 Riched20.dll 文件。（另外，也可以选择重新安装操作系统和受影响的程序。）

请参阅操作系统的相应指导。

注意：这些指导是为了方便用户而提供的，它们适用于大多数计算机。有关提取文件（包括可能已损坏的 Windows 文件）的详细信息，请参阅下列信息之一：

* 如果正在使用 Microsoft Outlook 2002 或 Microsoft Office 2002，有一个较容易的方法。如果先将 Riched20.dll 文件重命名，这些程序将能够自己替换此文件。有关如何执行此操作的指导，请参阅 Microsoft Knowledge Base 文档“OL2002: Outlook Stops Responding with Riched20.dll Error Messages”（文章 ID：Q291651）。

* Microsoft Knowledge Base 文档“How to Extract Original Compressed Windows Files”（文章 ID：Q129605）

* 如何在 Windows 98 和 Windows Me 中提取文件。

Windows 95/98

请在 DOS 提示符下使用 Extract 命令。请根据所用操作系统的指导执行下列操作。

注意：

o 需要一张 Windows 98/Me 启动盘。（如果操作系统为 Windows 95，则仍需一张在 Windows 98/Me 计算机上创建的启动盘）。有关如何创建启动盘的指导，请参阅文档“如何创建 Windows 启动盘”。

o 准备好 Windows 安装 CD。

o 键入命令时，用 CD-ROM 驱动器的驱动器盘符替代字母 x。例如，如果操作系统为 Windows 98 且 CD-ROM 驱动器是驱动器 D，则应键入

extract /a d:\\win98\\win98_28.cab riched20.dll /L c:\\windows\\system

o 如果 Windows 没有安装在 C:\\Windows，而是安装在另一个文件夹中，请在命令的最后一部分（引用 \\Windows 文件夹）中，用适当的路径或文件夹名称进行替换。

o 有关使用 Extract 命令的详细指导，请参阅 Microsoft 文档“How to Extract Original Compressed Windows Files”（文章 ID：Q129605）。

o 还有一种较为容易的方法：如果使用的是 Windows 98 操作系统，则可使用系统文件检查器来还原文件。有关如何执行此操作的信息，请参阅 Windows 文档。

1. 关闭计算机，关掉电源。关闭计算机后，将 Windows 98/Me 启动盘插入软盘驱动器，并重新启动计算机。在菜单中选择“Start with CD-ROM support”。

2. 键入适用于操作系统的命令：

* 如果操作系统为 Windows 98，请键入以下命令，然后按 Enter 键：

extract /a d:\\win98\\win98_28.cab riched20.dll /L c:\\windows\\system

* 如果操作系统为 Windows 95，请键入以下命令，然后按 Enter 键：

extract /a win95_10.cab riched20.dll /L c:\\windows\\system

注意：如果出现任何错误消息，请重复步骤 2，确保键入的命令是适用于操作系统的正确命令，且与以上显示的完全一致。否则，键入 exit，然后按 Enter 键。

Windows NT 4.0

1. 确保 Windows 设置为显示所有文件。

2. 搜索并删除所有 Riched20.dll 文件。

3. 再次应用最新的 Service Pack。Service Pack 将用新的副本替换此文件。

4. 如果在替换了 Riched20.dll 文件后，Microsoft Word 或 Office 这样的程序不再运行，或在启动时出现错误消息，可能必须重新安装 Microsoft Office。

Windows 2000

如果操作系统为 Windows 2000，其内置程序将查找并替换丢失或损坏的系统文件。若要替换已损坏的 Riched20.dll 文件，请执行下列操作：

1. 确保已启用系统文件检查器：

1. 单击“开始”，然后单击“运行”。

2. 键入 cmd，并单击“确定”。

3. 键入以下内容，然后按 Enter 键：

sfc /enable

4. 键入 exit，然后按 Enter 键。

2. 确保 Windows 设置为显示所有文件：

1. 打开 Windows 资源管理器。

2. 单击“工具”菜单，然后单击“文件夹选项”。

3. 单击“查看”选项卡。

4. 清除“隐藏已知文件类型的文件扩展名”的选中标记。

5. 清除“隐藏受保护的操作系统文件”的选中标记，并在“隐藏文件”文件夹下单击“显示所有文件和文件夹”。

6. 单击“应用”，然后单击“确定”。

3. 搜索 Riched20.dll 文件：

1. 单击“开始”，将光标指向“查找”或“搜索”，然后单击“文件或文件夹”。

2. 确保将“查找范围”设置为 (C) 并且选中“包含子文件夹”。

3. 在“名称”或“搜索…”框中，键入（或复制并粘贴）以下文件名：

riched20.dll

4. 单击“开始查找”或“立即搜索”。

5. 删除找到的文件。

4. 重新启动计算机。

5. 系统文件检查器将替换所有丢失的 Riched20.dll 文件。如果在替换了 Riched20.dll 文件后，Microsoft Word 或 Office 这样的程序不再运行，或在启动时出现错误消息，可能必须重新安装 Microsoft Office。

描述者： Eric Chien