同样是有意针对中文 Windosws 操作系统的攻击性病毒，CodeRed III 与 CodeRed II 都将对简体中文/繁体中文 Windows 系统进行双倍的攻击。本文为您讲述如何手动“红色代码III”蠕虫。

　　微软已经发布了一个安全公告MS01-033，同时提供了针对NT和2000系统的补丁：Windows NT 4.0、Windows 2000 Professional，Server and Advanced Server。

　　需要说明的一点是，我们在这里所介绍的清除方法对II、III型都有效，手动清除方法如下：

　　如果不幸中了此病毒，应该立即关闭所有 80 端口的 web 服务，避免病毒继续传播。

　　1.清除的 web 服务器中的两个后门文件：/msadc/root.exe ， /scripts/root.exe

　　这两个文件的物理地址一般情况下默认为：

　　C:inetpubscriptsroot.exe

　　C:progra~1common~1systemMSADCroot.exe

　　2.清除本地硬盘中：c:explorer.exe 和 d:explorer.exe

　　先要杀掉进程explorer.exe，打开任务管理器，选择进程。检查是否进程中有两个“exploer.exe”。如果您找到两个“exploer.exe”，说明木马已经在您的机器上运行了，在菜单中选择 查看 -> 选定列 -> 线程计数，按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”， 显示线程数为“1”的“exploer.exe”就是木马程序。您应当结束这个进程。

　　之后，您就可以删除掉C:exploer.exe和D:exploer.exe了，这两个程序都设置了隐藏和只读属性。您需要设置“资源管理器”的查看->选项->隐藏文件为“显示所有文件”才能看到它们。

　　3.清除病毒在注册表中添加的项目：

　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

　　删除键：SFCDisable 键值为：0FFFFFF9Dh

　　或将键值改为 0

　　( 设置为0FFFFFF9Dh后，将在登陆时禁止系统文件检查 )

　　HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots

　　键：Scripts 键值为：，，217 改为 ，，201

　　( 这个键默认就是被打开的，不过如果没有特别需要的话，可以关闭 )

　　( 因为很多漏洞都是利用了这个虚拟目录下的文件攻击的。)

　　HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots

　　键：msadc 键值为：，，217 改为 ，，201

　　( 同Scripts )

　　HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots

　　删除键：c 键值为：c:，，217

　　( 它将本地硬盘中的 C 盘在 web 中共享为 c )

　　HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots

　　删除键：d 键值为：d:，，217

　　( 它将本地硬盘中的 D 盘在 web 中共享为 d )

　　如果不删除注册表中的以上键，中毒服务器的本地硬盘 C、D 将被完全控制。

　　4.重新启动系统，以确保 CodeRed.v3 彻底清除。

　　注意：如果要确保清除病毒后不再次被感染，请安装微软发布的补丁。