| 引用: |
【5020526的贴子】问一下啊。explorer.exe这个是什么意思啊。我本来启动了安全模式。杀了毒。但是重起还是有滴。怎么办?
........................... |
哎--
explorer.exe是红色蠕虫病毒
方法1:从微软的网站下载打补丁软件,地址为:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp方法2:把%windowsdir%\system32中的idq.dll做备份,然后删除。
检察系统是否已被感染红色蠕虫病毒。如果在系统文件中发现有下列后门(木马)程序:C:\explorer.exe,D:\explorer.exe,则说明系统已经被病毒感染。
对于已经感染病毒的主机,按以下步骤手工消除病毒:
(1) 将该机器从网络上断开,以避免重复感染和感染其它机器。
(2) 立即停止IIS服务。打开控制面板,打开"服务",点击World Wide Web Publishing Service. 选择"已禁用"。
(3) 打开任务管理器,选择"进程"。检查是否进程中有两个"exploer.exe".如果您找到 两个"exploer.exe",说明木马已经在您的机器上运行了,您应当立刻杀掉木马程 序;否则,说明您还没有执行木马程序,您可以转到第四步。
(4) 在菜单中选择 查看| 选定列 | 线程计数,按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe", 显示只有一个线程的"exploer.exe "就是木马程序。您应当立刻结束这个进程。
(5) 重新启动机器,运行cmd,在cmd窗口中运行以下命令(或下载批处理文件 ftp://ftp.ccert.edu.cn/pub/clean.bat),以删除蠕虫病毒留下的后门。
C:
CD C:\
ATTRIB -h -s -r explorer.exe
Del explorer.exe
Del C:\inetpub\scripts\root.exe
Del C:\progra~1\Common~1\System\MSADC\Root.exe
D:
CD D:\
Attrib -h -s -r explorer.exe
Del explorer.exe
Del D:\inetpub\scripts\root.exe
Del D:\progra~1\Common~1\System\MSADC\Root.exe
忽略其中任何错误。
(6) 修改被蠕虫改动过的注册表:
运行regedit
选择:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\W3SVC\Parameters\Virtual Roots
选择/C,选择删除;选择/D, 选择删除。
选择:/MSADC,将217换为201。
选择:/scripts,将271换为201。
对于Windows 2000系统,需要打开:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
将SFCDisable改为0。
(7) 重新启动机器。
