请问Trojan.VirtualRoot是什么病毒,该怎样清除?

请问Trojan.VirtualRoot是什么病毒,该怎样清除?此病毒文件在计算机的根目录下名称为explorer.exe,在norton杀毒软件中显示的名称为Trojan.VirtualRoot。最新的金山毒霸杀不了,也隔离不了。norton杀不了,但是能够隔离他。该怎样完全清除它呀?????????高手帮一下吧。
---------------------------------------------------------------

你中的是RED CODE III
现象:Trojan.VirtualRoot,只运行在Windows NT/2000下,当它被执行的时候(不加参数),它会打开WINDOWS Explorer。 这样做相比执行后什么都不出现,就会大大减少被怀疑的可能。

在运行之后它改写下列注册表键值:

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable 0xFFFFFF9D

在 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots 中改变键值/Scripts 和 /MSDAC
在这两键值的逗号后面加上?12?,而且还会再添加两个键/C 和/D。使系统的C盘和D盘 处于WEB共享状态。

当这些虚拟目录创建完毕,它会转入休眠,10分钟后,重新设置一遍注册表。这样循环下去,直到关机。

措施:病毒是利用了2000的漏洞,你到:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-052.asp下载系统补丁,以免以后再感染!

一、取得相关修补程序
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

二、移除病虫档案
1.终止病虫所留下特洛伊程序的相关执行程序(NAV 将其检测为 Trojan.VirtualRoot):
1, 按 Ctrl+Alt+Delete, 选择"工作管理员".
2, 点击"处理程序"的分页.
3, 点击"图象名称"的域让资料按字母顺序排列. 应该会看到2个处理程序的名称为Explorer.exe: 其中之一是正当的, 另一个则为特洛伊程序.
4, 确认该停止哪一个处理程序, 点击"检视"并点击"选择域"
5, 勾选 "执行绪计数" , 然后点击确定.
6, 新的域将会出现在工作管理员中,该域列出了每个处理程序的相关执行绪(Thread)数量.
7, 在两个Explorer.exe 处理程序中, 点击只有一个执行绪(Thread)的处理程序.
8, 选择后, 点击结束处理程序. 将会出现一警告讯息.
9, 点击确定以结束该处理程序.
10, 关闭工作管理员.

2.删除Explorer.exe 档
此档位于C:及D:(若有此分割区),为一隐藏之只读档

3.删除以下4个档案,若这些档案有存在(这些档案为%Windir%\root.exe之复本)
C:\Inetpub\Scripts\Root.exe
D:\Inetpub\Scripts\Root.exe
C:\Progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
4.删除Web Server 开放的分享
在桌面"我的计算机"按右键,选择"管理"
5.在左边的视窗找到"计算机管理(本机)""服务及应用程序""预设Web站台"
6.在右边视窗找到 C 电脑磁盘驱动器和 D 电脑磁盘驱动器或其它电脑磁盘驱动器的图标,按右键选删除

登录档更改
1. 按下 "开始" 选择 "执行" 并键入 "regedit"
1. 按下 "开始" 选择 "执行" 并键入 "regedit"
2. 找到下列的位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
在右边视窗找到并将它删除
/c
/d
双击/MSADC
将原先为217的值更改为201
双击/Scripts
将原先为217的值更改为201
注意:若使用移除工具,会将/MSADC及/Scripts登录值全部删除,待重新启动IIS后会将上述两个值重建为适当的值
3.若非Windows 2000系统请至步骤4,若为Windows 2000系统请至步骤5
4.找到下列的位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
在右边视窗找到并双击
SFCDisable
将原先的值更改为0(此为零非英文之O)
5.结束登录编辑器

若有无法顺利完成定义档下载更新之动作;
如有发生类似情况,请至下列地址,下载最新病毒定义档
http://www.sarc.com/avcenter/download/us-files/20030311-008-x86.exe
http://www.netranger.com.tw/x86/20030311-008-x86.exe
本定义档程序利用MD5检验 ,检验码为
8E7DBC3950676CDA9CADD6C208E184DE

Published At
Categories with 服务器类
Tagged with
comments powered by Disqus