清除冰河1.1方法是:
(1)打开注册表Regedit,在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run查找以下的两个路径,并删除“C:/Windows/system/sysexplr.exe”.
(2)关闭Regedit,重新启动到MSDOS方式。
(3)删除C:/Windows/system/kernel32.exe和C:/Windows/system/sysexplr.exe 清除冰河v2.2以上版本方法是:
(1)服务器程序、路径用户是可以随意定义的,写入注册表键名也可以自己定义。HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Servises/W3SVC/Parameters/Virtual Roots/的Scripts键值:,,217改为,,201;这个键默认就是被打开的,不过如果没有特别需要的话,可以关闭,因为很多漏洞都是利用了这个虚拟目录下文件被攻击的。 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/的msadc键值:,,217改为,,201。
(2)将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/c键值:c://,,217删除(它将本地硬盘中的C盘在Web中共享为c); 将 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/d键值:d://,,217删除(它将本地硬盘中的C盘在Web中共享为d); 如果不删除注册表中的以上键,中毒服务器的本地硬盘C、D将被完全控制。
(3)重启系统,以确保CodeRed被彻底清楚。