“红色代码III”手动清除指南

原创 2001年08月14日 19:06:00

 

 

编者:虽然本文介绍了手动清除“红色代码”蠕虫的方法,但对于大多数普通用户来说,我们认为采用微软提供的解决方法或是选用专业的反病毒厂商的相关安全产品清除该蠕虫,是最安全和便捷的方法。

  背景资料

banner.gifbanner.gif banner.gifbanner.gif banner.gifbanner.gif banner.gifbanner.gif banner.gifbanner.giftech;sz=1x1;num=28729036424615452?

  追踪“红色代码”

  同样是有意针对中文 Windosws 操作系统的攻击性病毒,CodeRed III 与 CodeRed II 都将对简体中文/繁体中文 Windows 系统进行双倍的攻击。本文为您讲述如何手动“红色代码III”蠕虫。

  微软已经发布了一个安全公告MS01-033,同时提供了针对NT和2000系统的补丁:Windows NT 4.0、Windows 2000 Professional,Server and Advanced Server。

  需要说明的一点是,我们在这里所介绍的清除方法对II、III型都有效,手动清除方法如下:

  如果不幸中了此病毒,应该立即关闭所有 80 端口的 web 服务,避免病毒继续传播。

  1.清除的 web 服务器中的两个后门文件:/msadc/root.exe , /scripts/root.exe

  这两个文件的物理地址一般情况下默认为:

  C:\inetpub\scripts\root.exe

  C:\progra~1\common~1\system\MSADC\root.exe

  2.清除本地硬盘中:c:\explorer.exe 和 d:\explorer.exe

  先要杀掉进程explorer.exe,打开任务管理器,选择进程。检查是否进程中有两个“exploer.exe”。如果您找到两个“exploer.exe”,说明木马已经在您的机器上运行了,在菜单中选择 查看 -> 选定列 -> 线程计数,按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”, 显示线程数为“1”的“exploer.exe”就是木马程序。您应当结束这个进程。

  之后,您就可以删除掉C:\exploer.exe和D:\exploer.exe了,这两个程序都设置了隐藏和只读属性。您需要设置“资源管理器”的查看->选项->隐藏文件为“显示所有文件”才能看到它们。

  3.清除病毒在注册表中添加的项目:

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

  删除键:SFCDisable 键值为:0FFFFFF9Dh

  或将键值改为 0

  ( 设置为0FFFFFF9Dh后,将在登陆时禁止系统文件检查 )

  HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

  键:Scripts 键值为:,,217 改为 ,,201

  ( 这个键默认就是被打开的,不过如果没有特别需要的话,可以关闭 )

  ( 因为很多漏洞都是利用了这个虚拟目录下的文件攻击的。)

  HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

  键:msadc 键值为:,,217 改为 ,,201

  ( 同Scripts )

  HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

  删除键:c 键值为:c:\,,217

  ( 它将本地硬盘中的 C 盘在 web 中共享为 c )

  HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

  删除键:d 键值为:d:\,,217

  ( 它将本地硬盘中的 D 盘在 web 中共享为 d )

  如果不删除注册表中的以上键,中毒服务器的本地硬盘 C、D 将被完全控制。

  4.重新启动系统,以确保 CodeRed.v3 彻底清除。

  注意:如果要确保清除病毒后不再次被感染,请安装微软发布的补丁。 (责任编辑 吴北)


banner.gif banner.gifbanner.gif banner.gif banner.gifbanner.gif

病毒名称:红色代码II(CodeRedII…

病毒名称:红色代码II(CodeRedII) 别名:CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red ...
  • shantikai
  • shantikai
  • 2015年01月23日 20:59
  • 1174

ucos iii学习笔记——为什么选择ucos iii

首先我们得先讨论前后台系统和RTOS(Real Time OS)的区别。前后台系统,也即是我们所说的裸机程序,它的结构通常包括一个死循环和若干个中断服务程序,直接上图,我们有一个直观认识: ...
  • lbt111
  • lbt111
  • 2016年09月01日 12:24
  • 635

MySQL 手动清除binlog

新接手的四套库MySQL库,采用主从结构。之前配置的伙计备库的bin log 日志全部是打开状态。运维人员反映,空间告警几次。均手动上去处理。 备库开启了bin log 也影响备库的性能,虽然这四...
  • zhouchang3
  • zhouchang3
  • 2016年11月28日 19:04
  • 333

IntelliJ IDEA---新建项目名称全是红色的

今天搭框架,发现搭好之后,项目名称全是红色的,一开始以为是没有建类的原因,可是建立了类还是这么个问题!!然后又认为自己搭错了,但是Maven的clean命令和install命令都执行成功了,也没有报错...
  • u013045959
  • u013045959
  • 2017年06月10日 16:30
  • 3963

UCOS-III学习笔记(个人总结)

一、UCOSIII简介 二、USOSIII源代码分析 1、EvalBoards文件夹      STM32F4的工程文件。 2、UC-CPU文件夹      与CPU相关的代码。 3、UC-LIB文件...
  • sinat_21197153
  • sinat_21197153
  • 2015年07月03日 14:25
  • 4046

手动清除MY123.com

手动清除MY123com流氓软件 流氓软件 MY123com流氓软件 手动清除MY123com流氓软件步骤手动清除MY123.com流氓软件流氓软件:就是一些处于病毒与正常软件之间的小程序。它们有的有...
  • qq_39216184
  • qq_39216184
  • 2017年12月29日 12:44
  • 20

《软技能——代码之外的生存指南》总结

作者:王威 链接:https://zhuanlan.zhihu.com/p/21926306 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 这本书是...
  • txtxtxtx2014
  • txtxtxtx2014
  • 2016年10月31日 16:33
  • 1509

如何正确有效清除jwgkvsq.vmx病毒

电脑染上这个可恶的病毒很长时间了,一直懒得弄。主要是除了每次插U盘都会在U盘下生成隐藏的RECYCLER文件夹和autorun.inf之外,好像并没有危害过我别的东西。可每次拿我的U盘去别人电脑那里总...
  • shuizhuw
  • shuizhuw
  • 2013年10月16日 20:39
  • 811

uCOS-III学习笔记

前一段时间笔者学习uCOS-III,第一次接触OS这个概念吧。下面把个人的学习笔记分享出来,仅供参考。...
  • yzhajlydy
  • yzhajlydy
  • 2015年05月03日 20:21
  • 5124

代码之外——《软技能:代码之外的生存指南》

如果你是一个入行几年进入迷茫期的程序员,感觉到了上升的瓶颈也经常受到亚健康的折磨,那么《软技能:代码之外的生存指南》就值得你一读。...
  • dongfeng9ge
  • dongfeng9ge
  • 2016年09月25日 15:56
  • 3167
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:“红色代码III”手动清除指南
举报原因:
原因补充:

(最多只允许输入30个字)