HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon 蠕虫已经将其变为0FFFFFF9Dh,将这一项的值改变为0。7. 安装微软提供的补丁。 微软已经发布了一个安全公告MS01-033: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 同时提供了针对NT和2000系统的补丁: . Windows NT 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833 . Windows 2000 Professional, Server and Advanced Server: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800 8. 重新启动系统
C:\explorer.exe
D:\explorer.exe
或者
inetput\scripts\root.exe
以下是CSDN的解决办法1. 您应当首先停止IIS服务,以防止蠕虫的进一步攻击2. 打开任务管理器,选择进程。检查是否进程中有两个\"exploer.exe\".如果您找到两个
\"exploer.exe\",说明木马已经在您的机器上运行了,您应当立刻杀掉木马程序;否则,
说明您还没有执行木马程序,您可以转到第四步。3. 在菜单中选择 查看| 选定列 | 线程计数,按确定。这时您会发现显示框中增加了新的
一列\"线程数\"。检查两个\"exploer.exe\", 显示只有一个线程的\"exploer.exe\"就是木马
程序。您应当结束这个进程的操作。4. 您需要删除C:\\exploer.exe和D:\\exploer.exe。注意:这两个程序都设置了隐藏和只读
属性。您需要设置\"资源管理器\"的 查看 | 选项 | 隐藏文件为\"显示所有文件\"才能看
到它们。5. 您需要删除root.exe. 它们在IIS的scripts和MSADC目录下。缺省可能是下列目录: C:\\inetpub\\scripts\\root.exe
D:\\inetpub\\scripts\\root.exe
C:\\program files\\common files\\system\\MSADC\\root.exe
D:\\program files\\common files\\system\\MSADC\\root.exe 6. 修复蠕虫创建的注册表项: * 备份注册表
* 使用regedit,找到下列表项:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\ Virtual Roots
将\"/C\"和\"/D\"的项删除。将\"/scripts\"和\"/MSADC\"项中\",,217\"改成\",,201\"
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon
蠕虫已经将其变为0FFFFFF9Dh,将这一项的值改变为0。7. 安装微软提供的补丁。 微软已经发布了一个安全公告MS01-033:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 同时提供了针对NT和2000系统的补丁:
. Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833 . Windows 2000 Professional, Server and Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800 8. 重新启动系统