|
|
1、将机器从网络上断开,以避免重复感染和感染其它机器;
2、立即停止IIS服务。打开控制面板,打开"服务",点击World Wide Web Publishing Service. 选择"已禁用";
3、按Ctrl+Alt+Delete,选择“任务管理器” 选择“进程”标签 ,检查是否进程中有两个"exploer.exe"。如果您找到两个"exploer.exe",说明木马已经在您的机器上运行了,您应当立刻杀掉木马程序;否则,说明您还没有执行木马程序,您可以转到第(5)步;
4、在“任务管理器”菜单中选择:查看->选定列->线程计数,按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe",显示只有一个线程的"exploer.exe "就是木马程序。您应当立刻结束这个进程;
5、重新启动系统,运行cmd,在cmd窗口中运行以下命令(或下载批处理文件 ftp://ftp.ccert.edu.cn/pub/clean.bat),以删除蠕虫病毒留下的后门:
C:
CD C:\
ATTRIB -h -s -r explorer.exe
Del explorer.exe
Del C:\inetpub\scripts\root.exe
Del C:\progra~1\Common~1\System\MSADC\Root.exe
D:
CD D:\
Attrib -h -s -r explorer.exe
Del explorer.exe
Del D:\inetpub\scripts\root.exe
Del D:\progra~1\Common~1\System\MSADC\Root.exe
忽略其中任何错误。
6、修改被蠕虫改动过的注册表:
(1)运行regedit
(2)选择HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\W3SVC\Parameters\Virtual Roots;
(3)选择/C,选择删除;
(4)选择/D, 选择删除;
(5)选择/MSADC,将217换为201;
(6)选择/scripts,将271换为201;
注:对于Windows 2000,要打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon将SFCDisable改为0;
7、重新启动系统;
8、执行步骤4,给系统打补丁。 |
|
IP卡
狗仔卡
发表于 2003-10-14 01:50:45
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡