我用了微軟的修正程式,為何還解不了code red?

kj

步驟:

1.關閉www service,並設為手動啟動
2.執行 fxcodec.exe (出現 code red c found in memory!)
3.執行微軟修正程式 Q293826_W2k_SP3_x86_tw.exe
4.重新開機
5.執行微軟修正程式 Q300972_W2k_SP3_x86_tw.exe

在執行了上述步驟後,若沒有啟動www service 則執行 fxcodec.exe 找不到 code red c
但啟動了www service後 code red c 就跟著被啟動了!

請問這該如何解? 謝謝!

kulo

2001/08/06: Code Red II 清除程序

1. 下載 Microsoft 提供之 IIS 修正檔

Windows NT 4.0
http://www.microsoft.com/Downloads/R...eleaseID=30833

Windows 2000
http://www.microsoft.com/Downloads/R...eleaseID=30800

2. 將主機自網路離線，以免再度感染。

3. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

4. 重開機以清除記憶體中的木馬程式。

5. 安裝 IIS 修正檔。

6. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

7. 修改 registry 值之前重新開機。

8. 刪除 C:\inetpub\scripts\root.exe 和 D:\inetpub\scripts\root.exe

9. 底下的 registry 值修改為 0 以啟用系統檔案保護
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable

10. Code Red II 設定了遠端 Web 存取，如果你用預設安裝，將以下的 registry 移除：

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d

如果你有用到遠端 Web 存取，設回原來的設定值。

11. 重新開機

12. 接上網路

kj

引用:

最初由 kulo
2001/08/06: Code Red II 清除程序

1. 下載 Microsoft 提供之 IIS 修正檔

Windows NT 4.0
http://www.microsoft.com/Downloads/R...eleaseID=30833

Windows 2000
http://www.microsoft.com/Downloads/R...eleaseID=30800

2. 將主機自網路離線，以免再度感染。

3. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

4. 重開機以清除記憶體中的木馬程式。

5. 安裝 IIS 修正檔。

6. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

7. 修改 registry 值之前重新開機。

8. 刪除 C:\inetpub\scripts\root.exe 和 D:\inetpub\scripts\root.exe

9. 底下的 registry 值修改為 0 以啟用系統檔案保護
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable

10. Code Red II 設定了遠端 Web 存取，如果你用預設安裝，將以下的 registry 移除：

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d

如果你有用到遠端 Web 存取，設回原來的設定值。

11. 重新開機

12. 接上網路

可是我的windows 2000 server 並沒有上述的第八項
而第九項的值也是零,更沒有第十項的那些機碼!
但我用Sniffer 來看卻看出來我的電腦有透過port 80丟資料出去!
該怎麼辦?!

kulo

就我得第一代"紅碼病毒"的經過
之前我也是不在意這個病毒
因為沒注意報導這是感染IIS5.0(以為是一般病毒)

我是先看到我的"網路連線"一直閃的不停幾乎是沒停過啦
於是我就在DOS底下打netstat -n

哇勒~~看到鬼勒~我的PORT開了一百多個傳送封包給其他IP的80 PORT
心想我連IE都沒開怎會自動去看網頁??
解救過程詳情
http://www.pczone.com.tw/vbb3/showthread.php?t=16362

至於你的應該不是我ㄉ第一代"紅碼"
你會不會是第三代啊?
我轉貼ㄉ是第二代ㄉ耶
2001/08/06: Code Red II 清除程序

偶討厭大陸人這種行為~~~~

kulo

-----------------------------------
來看卻看出來我的電腦有透過port 80丟資料出去?????
-----------------------------------

port 80丟資料.是別人上網去看你ㄉ網站吧

Code Red 應該是開你其他XXXXX PORT傳送封包給其他80 PORT才對吧

類似的主題
主題	主題作者	討論版	回覆	最後發表
【教學】圖片出現 Red X 下載不完全的一些解決方法	lamina	-- 網路軟體討論一版 (Browser,Email	0	2003-08-03 08:03 AM
【求助】一直收到code red	aeolus0829	-- 防駭 / 防毒版	4	2003-03-27 10:08 AM
red hat linux上唔到網?	spider	-- FreeBSD & Linux 討論版	1	2002-06-26 06:39 PM
【求助】linux red hat	joseph_liu	-- FreeBSD & Linux 討論版	3	2002-05-28 11:19 PM
請問如何備份 Red Alert 2?	wilwai	-- 光碟燒錄討論版	4	2001-02-07 07:35 AM

kulo 會員	----------------------------------- 來看卻看出來我的電腦有透過port 80丟資料出去????? ----------------------------------- port 80丟資料.是別人上網去看你ㄉ網站吧 Code Red 應該是開你其他XXXXX PORT傳送封包給其他80 PORT才對吧
	回覆