解 codered codeblue nimda v2.0

-----------------------------------------------
前言:病毒橫行,造成困擾,所以"被逼"要去把這些搞懂,加上因為希望能夠,做一個讓電腦外行的人,Step By Step 就能搞定,而且很多修補程式,又要到處去下載,浪費時間,自己做一次,覺得很煩,所以把這些整理起來,野人獻曝一番.在此聲明,我不是解毒專家,只是一個管學校網站的高中老師罷了,所以客倌們合用就用,不合用,就算了,假如還勞駕寫信來罵我,就真的是太看得起我了..

適用於 Window 2000 + IIS

註:本第二版增加scaniis.exe 可以事前偵測漏洞,而做完解毒的步驟,可以在偵測一次,看是不是真的有效.
當然還增加其他不少東西....因為打字很累,所以就不打了
將以下用到的程式先下載到硬碟備用

1. w2ksp2.exe 就是service pack 2(書上說可不用裝sp1,就可直接裝sp2)
有101m大 自己去找吧

Win NT 修補檔 : 修復 IIS 的網址(MS01-044)、修復 IIS 的網址(MS00-078)

2. kill2.zip 2m 我收集的一堆,包含自己做的,跟趨勢,微軟下載的
還有"駭客解凍"一書中附的
放在 http://home.pchome.com.tw/online/edde/kill2.zip 

  或     http://203.72.33.3/eddie/kill2.zip 

(編注: 網路實驗室檔案下載區也有)

請解壓縮放在 c:\temp\kill\ 

----
請按以下步驟:
0.先在命令行執行 scaniis 140.115.x.x 80 (也就是網站的ip 跟 port 一般都是80 中間有空格),於是可以看看有多少漏洞 buggy scripts 要補,接著就要開始做了....(軟體來源:"駭客解凍"一書中附的)
1.拔線
2.到命令行
執行 delcr2.bat (我做的批次檔)會殺掉一堆病毒產生的檔
3.執行 CodeRedCleanUp.exe (來自微軟)會殺掉病毒 請重新開機
4.執行 fix_nimd.exe (來自趨勢)會殺掉 nimda 病毒
5.執行 fix_codeC.exe 會殺掉 CodeRed C 病毒
清除完 會產生一個 log 檔 要看看內容 

6.安裝ServicePack2 (假如已安裝過,請跳過)

7.裝完sp2會重開機 
8.到命令行
執行 delcr2.bat 會殺掉一堆病毒產生的檔 (反正再殺一次)
9.安裝 q2938XXX.exe (來自微軟)裝完後重開機
10.安裝 q30972XX.exe (來自微軟)裝完後重開機 
11.執行 fix_nimd.exe 會殺掉 nimda 病毒(反正下指令又不用錢,再殺他一次)
12.執行 fix_codeC.exe 會殺掉 CodeRed C 病毒(反正不用錢,再殺他一次)
13.清除完 會產生一個 log 檔 要看看內容
14.可以去用用第0步驟看看是不是漏洞減少了
在命令行執行 scaniis 140.115.x.x 80
15.請用 開始--程式集--系統管理工具--Internet管理員--預設的Web站台 把 icon 是黃色資料夾,而且有綠蘋果的都殺掉.尤其是
C, D 請看附的 image.jpg 圖檔
最好是圖中 從 scripts 到 D 都殺掉(點右鍵刪除)(如圖共有9個) 
16.接前一步驟,還是在 Internet管理員--預設的Web站台點右鍵選內容--主目錄--設定 進去後 把除了你有用到的留著,其餘都殺掉.例如 *.ida *.idq (建議是殺到只剩下一個 *.asp 就好了)
17.在命令行執行 scaniis 140.115.x.x 80 看看是不是變成0 buggy Scripts...
18.應該都解決了....
19.以下建議來自柯澎傑兄的指導,建議也做一做：
再裝上 Sygate personal firewall
http://taiwan.cnet.com/download/reviews/story/0,2000017031,50002868,00.htm
或
ZoneAlarm
http://taiwan.cnet.com/download/reviews/story/0,2000017031,50003300,00.htm
都是免費的..
--------------------
edde123@sinamail.com 陽明高中連老師