6 grudnia 2001

Trojan.Win32.VirtualRoot - trojan instalowany przez robaka "Code Red"

Jest to wirus instalowany w systemie przez pocztowego robaka "Bady" zwanego również "Code Red". Poniżej znajdują się instrukcje usuwania tego szkodnika z systemu.

 1. Kliknij na poniższym łączu aby zainstalować odpowiednią łatę udostępnioną przez firmę Microsoft:

  http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

 2. Usuń trojana z pamięci wykonując następujące kroki:

  • Wciśnij kombinację klawiszy CTRL-SHIFT-ESC aby uruchomić "Menadżera zadań";
  • Otwórz zakładkę "Procesy";
  • Posortuj listę procesów według nazw klikając na nagłówku "Nazwa obrazu";
  • Na liście znajdują się dwa procesy posiadające nazwę Explorer.exe. Aby rozpoznać proces trojana należy:
   • Wybrać polecenie "Wybierz kolumny" z menu "Widok";
   • Zaznaczyć opcję "Liczba wątków" i kliknąć na przycisku "Ok";
  • Liczba wątków uruchomiona dla każdego z procesów będzie wyświetlona w kolumnie "Wątki". Proces wirusa (Explorer.exe) posiada tylko jeden wątek. Należy usunąć ten proces w następujący sposób:
   • Zaznaczyć proces;
   • Kliknąć na poleceniu "Zakończ proces";
   • Odpowiedzieć "Tak" na zadane przez system pytanie;
   • Zamknąć okno "Menadżera zadań".

 3. Usuń pliki explorer.exe zapisane w katalogach głównych dysków C: i D:. W tym celu należy wykonać następujące czynności:

  • Kliknąć dwukrotnie na ikonie "Mój komputer";
  • Kliknąć dwukrotnie na ikonie dysku C:;
  • Jeżeli plik explorer.exe nie jest wyświetlany należy:
   • Wybrać polecenie "Opcje folderów" z menu "Narzędzia";
   • Przejść do zakładki "Widok";
   • Na liście "Ustawienia zaawansowane" zaznaczyć opcję "Pokaż ukryte pliki i foldery";
   • Usunąć zaznaczenie z opcji "Ukryj chronione pliki systemu operacyjnego (zalecane)"; Odpowiedzieć "Tak" na pytanie systemu operacyjnego;
   • Kliknąć na przycisku "Ok". Wszystkie ukryte i systemowe pliki staną się widoczne;
  • Usunąć plik explorer.exe;
  • W podobny sposób należy również usunąć plik explorer.exe z dysku D:;

 4. W opisany powyżej sposób należy usunąć poniższe pliki:

  • C:\inetpub\Scripts\Root.exe;
  • D:\inetpub\Scripts\Root.exe;
  • C:\Program files\Common Files\System\MSADC\Root.exe;
  • D:\Program files\Common Files\System\MSADC\Root.exe;

 5. Kolejnym krokiem jest usunięcie wirtualnych katalogów utworzonych przez trojana. W tym celu należy:

  • Kliknąć prawym klawiszem myszy na ikonie "Mój komputer" i wybrać polecenie "Zarządzaj";
  • W oknie "Zarządzanie komputerem" należy rozwinąć gałąź "Aplikacje i usługi", a następnie "Aplikacje/Internetowe usługi informacyjne";
  • Wybrać wirtualny katalog "C", usunąć go i odpowiedzieć "Tak" na pytanie systemu;
  • Te same czynności należy wykonać dla wirtualnego katalogu "D";

 6. Aby przywrócić pooprawną postać rejestru należy wykonać następujące czynności:

  • Uruchomić Edytor rejestru klikając na menu "Start", wybierająć "Uruchom" i wpisująć "regedit";
  • odnaleźć klucz:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
   Services\W3SVC\Parameters\Virtual Roots

  • Zaznaczyć parametr "/C" i usunąć go. Na pytanie systemu należy odpowiedzieć twierdząco;
  • Podobnie usunąć parametr "/D";
  • Kliknąć dwukrotnie na parametrze "/MSDAC" i zmienić jego wartość na 201;
  • Podobnie usunąc parametr "/Scripts";
  • Odneleźć klucz:

   HKEY_LOCAL_MACHINE\Software\Microsoft\
   Windows NT\CurrentVersion\WinLogon

  • Kliknąć dwukrotnie na parametrze "SFCDisable" i zmienić jego wartość na 0 (zero);

 7. Na koniec należy ponownie uruchomić komputer.