设为首页收藏本站

 找回密码
 注册账户
网络实验室»论坛 ≡ CnLabs 资源区 ≡ 软件资源共享 病毒“红色代码III”手动清除办法
返回列表 发新帖
查看: 703|回复: 0

病毒“红色代码III”手动清除办法

[复制链接]
admin 发表于 2008-4-14 01:11:13 | 显示全部楼层 |阅读模式



<BR><FONT size=2>&nbsp; &nbsp; </FONT>
<P><FONT size=2>  同样是有意针对中文 Windosws 操作系统的攻击性病毒,CodeRed III 与 CodeRed II 都将对简体中文/繁体中文 Windows 系统进行双倍的攻击。本文为您讲述如何手动“红色代码III”蠕虫。</FONT></P>
<P><FONT size=2>  微软已经发布了一个安全公告MS01-033,同时提供了针对NT和2000系统的补丁:Windows NT 4.0、Windows 2000 Professional,Server and Advanced Server。</FONT></P>
<P><FONT size=2>  需要说明的一点是,我们在这里所介绍的清除方法对II、III型都有效,手动清除方法如下:</FONT></P>
<P><FONT size=2>  如果不幸中了此病毒,应该立即关闭所有 80 端口的 web 服务,避免病毒继续传播。</FONT></P>
<P><FONT size=2>  1.清除的 web 服务器中的两个后门文件:/msadc/root.exe , /scripts/root.exe</FONT></P>
<P><FONT size=2>  这两个文件的物理地址一般情况下默认为:</FONT></P>
<P><FONT size=2>  C:inetpubscriptsroot.exe</FONT></P>
<P><FONT size=2>  C:progra~1common~1systemMSADCroot.exe</FONT></P>
<P><FONT size=2>  2.清除本地硬盘中:c:explorer.exe 和 d:explorer.exe</FONT></P>
<P><FONT size=2>  先要杀掉进程explorer.exe,打开任务管理器,选择进程。检查是否进程中有两个“exploer.exe”。如果您找到两个“exploer.exe”,说明木马已经在您的机器上运行了,在菜单中选择 查看 -&gt; 选定列 -&gt; 线程计数,按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”, 显示线程数为“1”的“exploer.exe”就是木马程序。您应当结束这个进程。</FONT></P>
<P><FONT size=2>  之后,您就可以删除掉C:exploer.exe和D:exploer.exe了,这两个程序都设置了隐藏和只读属性。您需要设置“资源管理器”的查看-&gt;选项-&gt;隐藏文件为“显示所有文件”才能看到它们。</FONT></P>
<P><FONT size=2>  3.清除病毒在注册表中添加的项目:</FONT></P>
<P><FONT size=2>  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon</FONT></P>
<P><FONT size=2>  删除键:SFCDisable 键值为:0FFFFFF9Dh</FONT></P>
<P><FONT size=2>  或将键值改为 0</FONT></P>
<P><FONT size=2>  ( 设置为0FFFFFF9Dh后,将在登陆时禁止系统文件检查 )</FONT></P>
<P><FONT size=2>  HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots</FONT></P>
<P><FONT size=2>  键:Scripts 键值为:,,217 改为 ,,201</FONT></P>
<P><FONT size=2>  ( 这个键默认就是被打开的,不过如果没有特别需要的话,可以关闭 )</FONT></P>
<P><FONT size=2>  ( 因为很多漏洞都是利用了这个虚拟目录下的文件攻击的。)</FONT></P>
<P><FONT size=2>  HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots</FONT></P>
<P><FONT size=2>  键:msadc 键值为:,,217 改为 ,,201</FONT></P>
<P><FONT size=2>  ( 同Scripts )</FONT></P>
<P><FONT size=2>  HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots</FONT></P>
<P><FONT size=2>  删除键:c 键值为:c:,,217</FONT></P>
<P><FONT size=2>  ( 它将本地硬盘中的 C 盘在 web 中共享为 c )</FONT></P>
<P><FONT size=2>  HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots</FONT></P>
<P><FONT size=2>  删除键:d 键值为:d:,,217</FONT></P>
<P><FONT size=2>  ( 它将本地硬盘中的 D 盘在 web 中共享为 d )</FONT></P>
<P><FONT size=2>  如果不删除注册表中的以上键,中毒服务器的本地硬盘 C、D 将被完全控制。</FONT></P>
<P><FONT size=2>  4.重新启动系统,以确保 CodeRed.v3 彻底清除。</FONT></P>
<P><FONT size=2>  注意:如果要确保清除病毒后不再次被感染,请安装微软发布的补丁。</FONT></P> <BR>

Font, 办法, 微软, 操作系统, 红色代码III

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册账户

本版积分规则

存档|黑屋|手机|网络实验室 本站服务器由美国合租以及IDCLayer国际数据提供!!!

GMT+8, 2026-6-13 18:26 , Processed in 0.059104 second(s), 9 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表