我用了微軟的修正程式,為何還解不了code red?

kj · 2001-08-10, 10:10 AM

步驟:

1.關閉www service,並設為手動啟動
2.執行 fxcodec.exe (出現 code red c found in memory!)
3.執行微軟修正程式 Q293826_W2k_SP3_x86_tw.exe
4.重新開機
5.執行微軟修正程式 Q300972_W2k_SP3_x86_tw.exe

在執行了上述步驟後,若沒有啟動www service 則執行 fxcodec.exe 找不到 code red c
但啟動了www service後 code red c 就跟著被啟動了!

請問這該如何解? 謝謝!

**kulo** · 2001-08-10, 10:16 AM

2001/08/06: Code Red II 清除程序

1. 下載 Microsoft 提供之 IIS 修正檔

Windows NT 4.0
http://www.microsoft.com/Downloads/R...eleaseID=30833

Windows 2000
http://www.microsoft.com/Downloads/R...eleaseID=30800

2. 將主機自網路離線，以免再度感染。

3. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

4. 重開機以清除記憶體中的木馬程式。

5. 安裝 IIS 修正檔。

6. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

7. 修改 registry 值之前重新開機。

8. 刪除 C:\inetpub\scripts\root.exe 和 D:\inetpub\scripts\root.exe

9. 底下的 registry 值修改為 0 以啟用系統檔案保護
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable

10. Code Red II 設定了遠端 Web 存取，如果你用預設安裝，將以下的 registry 移除：

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d

如果你有用到遠端 Web 存取，設回原來的設定值。

11. 重新開機

12. 接上網路

kj · 2001-08-10, 10:54 AM

最初由 kulo
2001/08/06: Code Red II 清除程序

1. 下載 Microsoft 提供之 IIS 修正檔

Windows NT 4.0
http://www.microsoft.com/Downloads/R...eleaseID=30833

Windows 2000
http://www.microsoft.com/Downloads/R...eleaseID=30800

2. 將主機自網路離線，以免再度感染。

3. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

4. 重開機以清除記憶體中的木馬程式。

5. 安裝 IIS 修正檔。

6. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

7. 修改 registry 值之前重新開機。

8. 刪除 C:\inetpub\scripts\root.exe 和 D:\inetpub\scripts\root.exe

9. 底下的 registry 值修改為 0 以啟用系統檔案保護
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable

10. Code Red II 設定了遠端 Web 存取，如果你用預設安裝，將以下的 registry 移除：

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d

如果你有用到遠端 Web 存取，設回原來的設定值。

11. 重新開機

12. 接上網路

可是我的windows 2000 server 並沒有上述的第八項
而第九項的值也是零,更沒有第十項的那些機碼!
但我用Sniffer 來看卻看出來我的電腦有透過port 80丟資料出去!
該怎麼辦?!

**kulo** · 2001-08-10, 02:43 PM

就我得第一代"紅碼病毒"的經過
之前我也是不在意這個病毒
因為沒注意報導這是感染IIS5.0(以為是一般病毒)

我是先看到我的"網路連線"一直閃的不停幾乎是沒停過啦
於是我就在DOS底下打netstat -n

哇勒~~看到鬼勒~我的PORT開了一百多個傳送封包給其他IP的80 PORT
心想我連IE都沒開怎會自動去看網頁??
解救過程詳情
http://www.pczone.com.tw/showthread.php?t=16362

至於你的應該不是我ㄉ第一代"紅碼"
你會不會是第三代啊?
我轉貼ㄉ是第二代ㄉ耶
2001/08/06: Code Red II 清除程序

偶討厭大陸人這種行為~~~~

**kulo** · 2001-08-10, 06:00 PM

-----------------------------------
來看卻看出來我的電腦有透過port 80丟資料出去?????
-----------------------------------

port 80丟資料.是別人上網去看你ㄉ網站吧

Code Red 應該是開你其他XXXXX PORT傳送封包給其他80 PORT才對吧