請速檢查 Windows NT/2000/XP(含Server) 是否遭到埋植後門

近期中心發現幾個連線單位內之 Window NT/2000/XP 遭到埋植後門,
被當成 FTP 的轉運中心,
因此, 請各單位儘速清查單位內之 Windows NT/2000/XP (尤其是24小時運作機器)
是否遭到埋植後門, 並儘速清除及回報!

檢查方式:
1.請確定該機器上沒有安裝或執行servU的FTP程式, 若有的話, 請先停止!
2.開啟「工作管理員」, 並檢查「處理程序」列表中, 是否有ServU或Srvany在執行, 若有則表示遭埋後門!
3.開啟「開始」-->「設定」-->「控制台」-->「系統管理工具」-->「服務」, 檢查是否有「Intel(R) NMS」或「Intel(R) NIC Management Service」,若有, 則表示真的己遭埋植後門, 並做成服務在執行了!
以上檢查結果若己遭埋入後門, 則請儘速清除該後門!

清除後門的方式:
1.開啟「開始」-->「設定」-->「控制台」-->「系統管理工具」-->「服務」, 停止Intel(R) NMS」或「Intel(R) NIC Management Service」服務, 並將該服務改成「手動」啟動
2.後門程式放置的目錄為: c:\\WINNT\\system32\\os2
3.請先檢查 c:\\WINNT\\system32\\os2\\dll\\ServUDaemon.ini 這個檔案的內容, 找尋「HomeDir=」參數, 以便確定ftp的資料目錄
4.清除或搬移 ftp 資料:
ftp的資料目錄, 通常均安裝在「檔案總管」無法流覽或開啟的目錄內, 請開dos視窗, 以下command的方式進入該目錄, 以便進一步確認被放置多少檔案及作搬移或刪除之動作
5.清除或搬移 ServU 程式目錄, 請 c:\\WINNT\\system32\\os2 整個目錄全部移除掉或搬到其他硬碟上!
6.開啟「開始」-->「執行」-->輸入「regedit」, 以便開啟「登錄編輯程式」
7.在「登錄編輯程式」中, 按下「編輯」-->「尋找」, 尋找的內容為Intel(R) NMS及Intel(R) NIC, 找到之後, 將該底層的目錄刪除, 若遇到無法刪除的狀況, 則不予理會, 繼續往下尋找, 直到搜尋結束為止!
8.將機器重新開機, 並運作上方的檢查方式, 查看後門程式是否仍在運作!