判斷已中毒的主機...
1.ctrl + alt + del 到工作管理員的處理程序 會有一個mmc.exe 無法停止服務....
2.每個磁碟的根目錄會有admin.dll
3.會產生很多的 *.eml
4.用記事本編輯 *.htm檔....最後一行是javascript的 open.windows('readme.eml,........
5. Administrators 群組的成員中加入了guest... 原本guest被停用的權限被打開

解毒方法:
此時,記憶體還有病毒(MMC.EXE)

1. 到 winnt 目錄下把一個56kb大小的 mmc.exe delete掉
2. 每個硬碟的 根目錄下的admin.dll delete掉
3. 將日期為2001/9/18以後的*.eml,*.nws或是檔案內容中含有"Kz29vb29oWsrLPh4eisrPb09Pb2"的*.eml/*.nws delete掉
4. 先關掉 IIS服務
5. 將administrators群組 內的guest 成員去掉.....如非必要請將 guest 權限--停用
6. 從乾淨的機器上取得 riched20.dll , 將住中毒機器上的置換掉
7. 重新開機 ( 一定要重開, 因為記憶體內有病毒 )

(MMC.EXE被我們刪掉了,記憶體無毒的狀況...)
8. 到 symantec 去下載 Fixnimda.com (你也可以去其他防毒軟體下載啦...)
9. 執行fix (如果你有太多時間可以自己做....將*.htm檔尾的javascript去掉...還有一些檔案內容中有'fsdhqherwqi2001'的exe或dll處理一下)
10. patch 一下 IIS 的漏洞
( http://www.microsoft.com/technet/tr...in/MS01-026.asp
http://www.microsoft.com/technet/tr...in/MS01-027.asp
http://www.microsoft.com/technet/tr...in/MS01-044.asp

11. Patch 一下IE 5 的漏洞
http://www.microsoft.com/technet/tr...in/ms01-020.asp

(OK....毒都已經清光光啦...可以準備重新開幕了.....)

12. 開啟 IIS