回首頁

紅色警戒病毒怎麼砍掉
原文轉錄自 [http://www.cert.org.tw/cindex.htm]
2001/08/06: Code Red II 清除程序
1. 下載 Microsoft 提供之 IIS 修正檔
Windows NT 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

2. 將主機自網路離線,以免再度感染。
3. 如果 C:\explorer.exe 或 D:\explorer.exe 存在,刪除掉,這是木馬程式。
4. 重開機以清除記憶體中的木馬程式。
5. 安裝 IIS 修正檔。
6. 如果 C:\explorer.exe 或 D:\explorer.exe 存在,刪除掉,這是木馬程式。
7. 修改 registry 值之前重新開機。
8. 刪除 C:\inetpub\scripts\root.exe 和 D:\inetpub\scripts\root.exe
9. 底下的 registry 值修改為 0 以啟用系統檔案保護SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable
10. Code Red II 設定了遠端 Web 存取,如果你用預設安裝,將以下的 registry 移除:
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d
如果你有用到遠端 Web 存取,設回原來的設定值。
11. 重新開機
12. 接上網路
 

回首頁