我的电脑中有一个explorer.exe的文件夹，用瑞星杀毒软件杀毒时显示中毒了
文件位置：C：\winnt
双击explorer.exe之后里面的文件与C:\Documents and Settings一子目录下的
的文件相同。

CERNET各地区网络中心、 省节点网络中心和各联网单位网络中心：

　　对于可能受红色蠕虫病毒感染的计算机系统，包括安装有IIS 4.0或者IIS 5.0的Microsoft Windows NT 4.0和Windows 2000的主机，需要采取以下措施进行病毒预防和病毒感染处理。

一、立即采取以下两种安全防范措施之一，预防红色蠕虫病毒感染。

方法1：从微软的网站下载打补丁软件，地址为：
　　　http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
　　　或者从CCERT的网站下载打补丁软件，地址为：
　　　对Windows NT：ftp://ftp.ccert.edu.cn/pub/CHSQ300972i.exe
　　　对Win2000：ftp://ftp.ccert.edu.cn/pub/Q300972_W2k_SP3_x86_cn.exe

方法2：把%windowsdir%\system32中的idq.dll做备份，然后删除。

二、检察系统是否已被感染红色蠕虫病毒。如果在系统文件中发现有下列后门（木马）程序：C:\explorer.exe，D:\explorer.exe，则说明系统已经被病毒感染。

三、对于已经感染病毒的主机，按以下步骤手工消除病毒：
　　(1) 将该机器从网络上断开，以避免重复感染和感染其它机器。

　　(2) 立即停止IIS服务。打开控制面板，打开"服务"，点击World Wide Web Publishing Service. 选择"已禁用"。

　　(3) 打开任务管理器，选择"进程"。检查是否进程中有两个"exploer.exe".如果您找到 两个"exploer.exe"，说明木马已经在您的机器上运行了，您应当立刻杀掉木马程 序；否则，说明您还没有执行木马程序，您可以转到第四步。

　　(4) 在菜单中选择 查看| 选定列 | 线程计数，按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe", 显示只有一个线程的"exploer.exe "就是木马程序。您应当立刻结束这个进程。

　　(5) 重新启动机器，运行cmd，在cmd窗口中运行以下命令（或下载批处理文件　ftp://ftp.ccert.edu.cn/pub/clean.bat），以删除蠕虫病毒留下的后门。
　　　　C:
　　　　CD C:\
　　　　ATTRIB -h -s -r explorer.exe
　　　　Del explorer.exe
　　　　Del C:\inetpub\scripts\root.exe
　　　　Del C:\progra~1\Common~1\System\MSADC\Root.exe
　　　　D:
　　　　CD D:\
　　　　Attrib -h -s -r explorer.exe
　　　　Del explorer.exe
　　　　Del D:\inetpub\scripts\root.exe
　　　　Del D:\progra~1\Common~1\System\MSADC\Root.exe
　　　　忽略其中任何错误。

(6) 修改被蠕虫改动过的注册表：
　　运行regedit
　　选择：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
　　Services\W3SVC\Parameters\Virtual Roots
　　选择/C,选择删除；选择/D, 选择删除。
　　选择：/MSADC，将217换为201。
　　选择：/scripts，将271换为201。
　　对于Windows 2000系统，需要打开：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
　　将SFCDisable改为0。

(7) 重新启动机器。

四、推荐采用微软公司提供的工具软件消除病毒，方法如下：
　　(1) 从下列地址下载此工具：
　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
　　或
　ftp://ftp.ccert.edu.cn/pub/CodeRedCleanup.exe
　　(2) 在命令行窗口中运行：
c:\> CodeRedCleanup.exe
　　或者
c:\> CodeRedCleanup.exe -disable (如果您不需要IIS服务)
　　(3) 重新启动系统
　　(4) 安装补丁或者采取其他解决措施
　　(5) 再次运行此清除程序，以防止重新启动后再次被蠕虫感染。
　　(6) 重新启动系统。

五、参考网站
　　[1.] eEye 的分析报告：　http://www.eeye.com/html/advisories/coderedII.zip
　　[2.] CERT Incident Note IN-2001-09 ：　http://www.cert.org/incident_notes/IN-2001-09.html
　　[3.] Symantec CodeRed.v3：　http://www.sarc.com/avcenter/venc/data/codered.v3.html
　　[4.] 【绿盟紧急安全公告】 防范"CodeRedII"蠕虫!
http://security.nsfocus.com/showQueryL.asp?libID=580



中国教育和科研计算机网CERNET 　　

网络中心 　　

2001年8月8日