computer 版 (精华区)

发信人: ghost (月光下的小星星), 信区: network
标  题: 手工清楚redcode地方法
发信站: 听涛站 (2001年08月07日16:33:15 星期二), 站内信件

发信人: heavyweight (我是悍匪我怕谁), 信区: BattleNet
标  题: 手工彻底清除Code Red Worm的方法 (转载)
发信站: BBS 水木清华站 (Tue Aug  7 12:09:52 2001)

【 以下文字转载自 THUNet 讨论区 】
发信人: Quaful (夸父·逐日), 信区: THUNet
标  题: 手工彻底清除Code Red Worm的方法 (转载)
发信站: BBS 水木清华站 (Tue Aug  7 09:52:43 2001)

发信人: Quaful (夸父·逐日), 信区: Security
标  题: 手工彻底清除Code Red Worm的方法
发信站: BBS 水木清华站 (Tue Aug  7 09:52:12 2001)

前几天重装Win2000系统的时候不幸中招，只好自己琢磨清除方法，
现将步骤列举如下，如有不妥，请各位大虾指正。

1. 立即停止IIS服务。为稳妥起见，还可暂时在“服务”工具中禁用World
   Wide Web Publishing Service.

2. 安装MS的补丁Q300972_W2k_SP3_x86_cn.exe. 为稳妥起见还可删除idq和
   ida的映射。

3. 删除以下程序（路径可能需要作相应修改）：
   C:\explorer.exe
   C:\inetpub\scripts\root.exe
   C:\progra~1\common~1\system\MSADC\root.exe
   如果不是网站特殊需要，建议把C:\inetpub\scripts目录整个都给
删掉吧，至少不能与2000系统在同一个驱动器下，以防IIS的其他漏洞。

4. 删掉注册表
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
   下的可疑键值。

5. 恢复被病毒禁用的Win2000系统文件保护：
   运行 SFC /ENABLE 或者直接删除注册表
   SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 中的
   SFCDisable项。

--
     ▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁

     ▏Microsoft ScanDisk 2000                                       ×

     ▏  ScanDisk检测到你的计算机上存在盗版软件并已经将其全部删除。    
▏
     ▏                          ▁▁▁▁▁                            
▏
     ▏                         ｜  确定   ▏                          
▏
     ▏                          ▔▔▔▔▔                            
▏


※ 来源:·BBS 水木清华站 smth.org·[FROM: 166.111.168.99]

--
一个男人，最重要的是要对你做过的事情负责，勇于承担所作事情的后果
（不论它结局是好还是坏）

                                     ---无名氏
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]