大家能推籲一個好用的 Firewall 嗎~

**Man** · 2001-08-09, 04:00 PM

請問各位能推籲一個好用的 Firewall嗎？另外還有個問題想請教請教各位...

我的 Win2000 server 中了『Trojan.VirtualRoot』啊...我是用 Norton 2001 掃描時發現的，檔案名稱叫『explorer.exe』，但 Norton 說無法修復，之後我便去了 sarc.com 堿搨袨_的辦法，但那婸‘u要安裝了新的病毒定義，然後將那檔案刪除再重新安裝那檔案便可，我照著指示刪除了檔案，但卻不懂重新安裝，但電腦並沒有一點不正常，之後我再重新掃描後並沒有發現病毒了，但奇怪的是，每當重新啟動電腦時，Norton 都會再次說該兩個檔案受到感染無法修復，該兩個檔案是：『c:explorer.exe, d:explorer.exe』那麼我該怎辦呢？電腦仍然是含有病毒嗎？而且為什麼我刪除了該兩個 explorer.exe 後，在沒有還原的情況下我的電腦絲亳沒有受到影響呢？而且為什麼在每次重新開機時 Norton 還仍然說我的那兩個檔案受到感染呢？希望各位能幫幫我...給些意見呢！

昨天我還 download 了一套叫做『Trojan cleaner 3』的東西嘗試把它除掉...結果那套『cleaner』根本發覺不了那病毒，但 Norton 的警告卻依然響過不停呢...

**iamdc** · 2001-08-09, 04:51 PM

您中了 Code Red III 請看下文.還有好用的 Firewall 已經討論過粉多次請搜尋舊留言.

以下引自http://www.gsn-cert.nat.gov.tw [GSN-CERT/CC 政府網路安全危機處理研發中心 ]，請詳全文。
標題： Code Red III
來源： CERT/CC
日期： 2001-08-08
參考： Symantec
簡述：近日肆虐嚴重的紅色警戒病蟲 (CodeRed.Worm)已出現變種病蟲名為 CodeRed.version 3 (CodeRed.C)。隻變種病蟲與之前的紅色警戒病蟲最大不同之處是在自行複製前
詳細內容 :
受影響系統
Microsoft Windows NT 4.0 啟動IIS 4.0或IIS 5.0並且有安裝Index Server 2.0
Windows 2000 IIS 4.0 或 IIS 5.0 並且有安裝Indexing server
簡介
別名 : CodeRed.C, CodeRed III, W32.Bady.C
近日肆虐嚴重的紅色警戒病蟲 (CodeRed.Worm)已出現變種病蟲名為
CodeRed.version 3 (CodeRed.C)。隻變種病蟲與之前的紅色警戒病蟲最大不同之處是在自行複製前，會有超過300個步驟去尋找有弱點的主機。並且感染後，駭客能以遠程遙控受感染電腦主機。
病蟲造成的影響：
進行 DOS (Denial of Service)攻擊，建立後門讓駭客能完全地遠程遙控受感染電腦主機
感染方式：
透過 Ports：80
攻擊目標：微軟 IIS 網站伺服器
解決方法
1. 微軟網路伺服器是IIS 4.0、IIS 5.0的主機儘速至以下網站修補安全漏洞：
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
（之前已修復安全漏洞的主機，已不在危險範圍之中，但是還未修補電腦安全漏洞的主機，請儘速修補電腦安全漏洞。）
2. 停止病蟲的 process：
2.1 請按鍵盤鍵 CTRL-ALT-DELETE 並(用滑鼠)點選「工作管理員」。
2.2 點選「處理程序」，「影像名稱」照字母順序排序所有 Process 。
2.3 您會看到兩個 explorer.exe ，一個是病蟲的 Process，另一個是正當的 Process 。
2.4 點選「檢視」，「選擇欄位」，「執行緒計數」，然後按「確定」。
2.5 會出現一個新欄位叫「引線」，代表每個 Process 的 thread 數目。
2.6 點選擁有一個 thread 的 explorer.exe 。
2.7 點選「結束處理程序」。
2.8 之後會出現一個「工作管理員警告視窗」，點選「是」停止此 Process。
2.9 關掉 Windows 工作管理員視窗。
3. 移除病蟲建立的 explorer.exe 檔案，此檔案是唯讀系統隱藏檔。請依照下列方法移除那些檔案：
3.1 點選「開始」，「執行」。
3.2 打 cmd 然後按 Enter 鍵。
3.3 打 cd c:\ 然後按 Enter 鍵。
3.4 打 attrib -h -s -r explorer.exe 然後按 Enter 鍵。
3.5 打 del explorer.exe 然後按 Enter 鍵，將木馬會從 C 槽被移除掉。
3.6 打 cd d:\ 然後按 Enter 鍵。
3.7 打 attrib -h -s -r explorer.exe 然後按 Enter 鍵。
3.8 打 del explorer.exe 然後按 Enter 鍵，將木馬會從 D 槽被移除掉。
3.9 打 exit 然後按 Enter 鍵。
4. 移除下列檔案：
* C:\inetpub\Scripts\Root.exe
* D:\inetpub\Scripts\Root.exe
* C:\progra~1\Common~1\System\MSADC\Root.exe
* D:\Progra~1\Common~1\System\MSADC\Root.exe
5. 最後步驟是編輯 registry 和移除 keys 與其他被病蟲更改的元件。
請注意：建議先備份您的系統 registry
5.1 點選「開始」，「執行」。
5.2 打 regedit 然後按 Enter 鍵。
5.3 找下列 key：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\Virtual Roots
5.4 在右邊的視窗您會看到一些數值，請用以下方法移除那些數值：
5.4.1 點選 /C 。
5.4.2 按「刪除」，「是」。
5.4.3 點選 /D 。
5.4.4 按「刪除」，「是」。
5.4.5 連續點選兩次 /MSADC 。
5.4.6 把 217 數值改成 210 然後按「確定」。
5.4.7 連續點選兩次 /Scripts 。
5.4.8 把 217 數值改成 210 然後按「確定」。
5.5 第把 5.4.5 至 5.4.7 用於 Window2000 系統請找下列 key：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT
\CurrentVersion\WinLogon
5.6 連續點選兩次 SFCDisable
5.7 移除那些數值，改成 0，然後點選「確定」。
5.8 從新開機電腦，確認 CodeRed.v3 已經完整被移除。
GSN-CERT/CC 建議
請下載賽門鐵克所提供的免費下載 The "FixCodeR" Assessment Tool 。這項軟體可以偵測到你的電腦是否已感染這隻病蟲。
請更新您的病毒定義檔，偵測並修復這隻病蟲。
參考資料
微軟安全公告
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
http://www.microsoft.com/technet/support/kb.asp?ID=Q300972
賽門鐵克病毒公告
http://www.symantec.com/avcenter/venc/data/codered.v3.html