终止load.exe进程delete C:\windows\system where file_name like 'riched%' and file_size between 60KB and 90KBdelete C:\windows\system where file_name='load.exe' and file_size between 60KB and 90KBdelete harddisk where file_name like '%.eml' and file_size between 60KB and 90KB然后将system.ini中shell=....的load.exe去掉,重起
temp数据库如果自动truncate的话,不可能这么大的。
再杀
1、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(xxx为任意文件名)
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”
5、在硬盘区的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它
6、打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除
7、把C盘的完全共享取消掉
8、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,NIMDA病毒病毒将利用你的系统漏洞重新运行。