||||
Symantec.com > 安全响应中心 > CodeRed Removal Tool

CodeRed Removal Tool

下载杀毒工具 | 打印机友好页面

更新: 2007 年 2 月 13 日 11:33:26 AM
类型: Removal Information


CodeRed 杀毒工具能够杀除 CodeRed I CodeRed II,包括 CodeRed.F,能对计算机进行防漏洞性评估。Symantec 目前正在提供安全、可靠和具有保护性的实用程序来消除 CodeRed 感染所带来的影响。

获得并运行此工具:
  1. 转到 http://www.sarc.com/avcenter/FixCRed.exe
  2. 将 FixCRed.exe 文件下载到方便使用的位置,例如 download 文件夹或 Windows 桌面上。
  3. 要检查数字签名的可靠性,请参考“数字签名”部分。
  4. 运行此工具之前,请关闭所有程序,包括所有即时扫描程序,例如 NAV 自动防护。
  5. 双击 FixCRed.exe 文件来启动该杀毒工具。
    注意:如果将该工具下载到软盘中,并且想从软盘运行,请参阅本文档末尾的特别指导“如何从软盘运行该工具”部分。
  6. 单击 Start 启动此进程,然后运行此工具。
  7. 重新启用自动防护。

注意:
  • 该杀毒工具仅可以在 Windows 2000 中扫描 CodeRed I 和 II。不过,它可以在所有版本的 Windows 操作系统中检测并删除 Trojan.VirtualRoot。
  • 此过程完成后,杀毒工具可能还检测开放的共享资源。该工具将自动删除开放的共享资源。

该工具运行完毕后,计算机是否已被 CodeRed 或 Trojan.VirtualRoot 感染的消息将显示出来,同时还将显示计算机是否有再被感染危险的消息。如果在内存中检测到 CodeRed 或计算机存在漏洞,该工具将打开默认的 Web 浏览器,并加载包含修补程序的 Microsoft 网页。在应用修补程序之前,该工具将不再扫描 Trojan.VirtualRoot。
删除 Trojan.VirtualRoot 后,程序将显示下列结果:
  • 已扫描文件的总数
  • 已删除的文件数
  • 已终止的病毒进程数

此工具的功能
该工具执行以下操作:
  1. 在内存中扫描所有已知的 CodeRed 的变种。
  2. 对计算机进行漏洞评估。如果计算机存在漏洞,该工具将打开 Web 浏览器,并加载包含修补程序的 Microsoft 网页。
  3. 尝试终止 CodeRed和 Trojan.VirtualRoot 进程。
  4. 扫描并删除 CodeRed II 放入的Trojan.VirtualRoot 文件。
  5. 删除 Scripts 或 MSADC 的 IIS 映射,然后还原系统文件检查器。
  6. 删除下列文件(如果存在):
    • C:\inetpub\Scripts\Root.exe
    • D:\inetpub\Scripts\Root.exe
    • C:\progra~1\Common~1\System\MSADC\Root.exe
    • D:\Progra~1\Common~1\System\MSADC\Root.exe
  7. 检测并自动删除由 Trojan.VirtualRoot 创建的开放共享资源。
  8. 从注册表检测 /MSADC 和 /Scripts 值,如果它们已不存在,则阻止它们被放入 IIS Metabase。如果这些值已存在,则删除是无害的,因为 IIS 将恢复默认值。
  9. 它会将其活动记录到文件 FixCRed.log。该文件与该工具存储在同一文件夹中。
    注意:必须具有管理员级别的权限,才可以让该工具取消该蠕虫从 IIS metabase 创建的虚拟根映射。

    数字签名
    FixGibe.exe 是经过数字签名的。Symantec 建议仅使用直接从 SARC 下载站点下载的 FixCRed.exe 副本。要检查数字签名的可靠性,请执行下列操作:
    1. 转至 http://www.wmsoftware.com/free.htm
    2. 将 Chktrust.exe 文件下载并保存到 FixGibe.exe 文件所在的同一文件夹(例如,C:\Downloads)。
    3. 单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
    4. 更改为保存有 FixCRed.exe 和 Chktrust.exe文件的文件夹,然后键入:
      chktrust -i FixCRed.exe

      例如,如果将文件保存在 C:\Downloads 文件夹,下面是如何到达该文件夹并输入命令的步骤:
      cd\
      cd downloads
      chktrust -i FixCRed.exe
    5. 键入每个命令后按 Enter 键。如果数字签名有效,将会出现下列提示:
      Do you want to install and run "FixCRed.exe" signed on 9/5/2001 8:42 AM and distributed by Symantec Corporation.

      注意:
      • 如果您的计算机没有设置为太平洋时区,显示在此对话框中的日期和时间将根据您所在的时区进行调整。
      • 如果使用的是夏令时,则显示的时间要比实际时间早一个小时。
      • 如果未出现此对话框,可能存在两个原因:
        • 此工具不是由 Symantec 提供的。除非确定此工具是从合法 Symantec 网站下载的合法工具,否则不要运行它。
        • 此工具是由 Symantec 提供的合法工具。但是,您的操作系统以前被设置为始终信任来自 Symantec 的内容。有关此问题以及如何再次查看确认对话框的信息,请参阅文档:如何还原“生产商可靠性”确认对话框(英文)
    6. 单击 Yes 关闭对话框。
    7. 键入 exit,然后按 Enter 键。此操作将关闭 MS-DOS 会话。
      如何从软盘运行此工具
      1. 将包含 FixCRed.exe 文件的软盘插入软盘驱动器中。
      2. 单击“开始”,然后单击“运行”。
      3. 键入下列内容,然后单击“确定”:
        a:FixCRed.exe
      4. 单击 Start 启动此进程,然后运行此工具。
      打印此页面
      按名称搜索
      例如: W32.Beagle.AG@mm
      ©1995 - 2008 Symantec Corporation
      站点地图 |
      法律声明 |
      隐私政策 |
      |
      联系我们 |
      全球站点 |
      许可证协议