Windows2000 server 中了木马,且开放了全部权限,请问如何清除？在线等待中(100分)

木马把硬盘的各个逻辑分区都设为共享,且开放了全部权限,我手工去除共享后,下次启动
又被设为共享,下面是我用FPort v2.0找到的开放端口列表,请大家帮忙看看,究竟哪一个
进程是木马。

FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
600 tcpsvcs -> 7 TCP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 9 TCP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 13 TCP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 17 TCP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 19 TCP E:/WINNT/System32/tcpsvcs.exe
1252 inetinfo -> 21 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
1252 inetinfo -> 25 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
1148 wins -> 42 TCP E:/WINNT/System32/wins.exe
1232 dns -> 53 TCP E:/WINNT/System32/dns.exe
1252 inetinfo -> 80 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
428 svchost -> 135 TCP E:/WINNT/system32/svchost.exe
8 System -> 139 TCP
1252 inetinfo -> 443 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
8 System -> 445 TCP
600 tcpsvcs -> 515 TCP E:/WINNT/System32/tcpsvcs.exe
8 System -> 548 TCP
488 msdtc -> 1025 TCP E:/WINNT/System32/msdtc.exe
1028 MSTask -> 1028 TCP E:/WINNT/system32/MSTask.exe
600 tcpsvcs -> 1029 TCP E:/WINNT/System32/tcpsvcs.exe
1232 dns -> 1032 TCP E:/WINNT/System32/dns.exe
1148 wins -> 1034 TCP E:/WINNT/System32/wins.exe
1252 inetinfo -> 1035 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
784 sqlservr -> 1433 TCP E:/PROGRA~1/MICROS~3/MSSQL/binn/sqlservr.exe
1524 nsum -> 1755 TCP E:/WINNT/System32/WINDOW~1/Server/nsum.exe
488 msdtc -> 3372 TCP E:/WINNT/System32/msdtc.exe
1524 nsum -> 6666 TCP E:/WINNT/System32/WINDOW~1/Server/nsum.exe
884 nscm -> 7007 TCP E:/WINNT/System32/WINDOW~1/Server/nscm.exe
1252 inetinfo -> 7747 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
852 nspmon -> 7778 TCP E:/WINNT/System32/WINDOW~1/Server/nspmon.exe

600 tcpsvcs -> 7 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 9 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 13 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 17 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 19 UDP E:/WINNT/System32/tcpsvcs.exe
1148 wins -> 42 UDP E:/WINNT/System32/wins.exe
1232 dns -> 53 UDP E:/WINNT/System32/dns.exe
600 tcpsvcs -> 67 UDP E:/WINNT/System32/tcpsvcs.exe
600 tcpsvcs -> 68 UDP E:/WINNT/System32/tcpsvcs.exe
428 svchost -> 135 UDP E:/WINNT/system32/svchost.exe
8 System -> 137 UDP
8 System -> 138 UDP
1104 snmp -> 161 UDP E:/WINNT/System32/snmp.exe
8 System -> 445 UDP
244 lsass -> 500 UDP E:/WINNT/system32/lsass.exe
616 svchost -> 1026 UDP E:/WINNT/System32/svchost.exe
616 svchost -> 1027 UDP E:/WINNT/System32/svchost.exe
1232 dns -> 1030 UDP E:/WINNT/System32/dns.exe
1232 dns -> 1031 UDP E:/WINNT/System32/dns.exe
1148 wins -> 1033 UDP E:/WINNT/System32/wins.exe
232 services -> 1036 UDP E:/WINNT/system32/services.exe
1252 inetinfo -> 1037 UDP E:/WINNT/System32/inetsrv/inetinfo.exe
784 sqlservr -> 1434 UDP E:/PROGRA~1/MICROS~3/MSSQL/binn/sqlservr.exe
616 svchost -> 1645 UDP E:/WINNT/System32/svchost.exe
616 svchost -> 1646 UDP E:/WINNT/System32/svchost.exe
1524 nsum -> 1755 UDP E:/WINNT/System32/WINDOW~1/Server/nsum.exe
616 svchost -> 1812 UDP E:/WINNT/System32/svchost.exe
616 svchost -> 1813 UDP E:/WINNT/System32/svchost.exe
600 tcpsvcs -> 2535 UDP E:/WINNT/System32/tcpsvcs.exe
1252 inetinfo -> 3456 UDP E:/WINNT/System32/inetsrv/inetinfo.exe

E:/WINNT/System32/WINDOW~1/Server/nsum.exe
这个是什么文件？我的系统里好像没有。
你把上述列表里的可疑文件找到，看看它们的属性里的版本页，一般正规公司出的如微软的会写上各公司的名称。

还有，最好在服务器上装上防火墙。

可能是中了尼姆达病毒，你可以下一个金山的专杀工具杀一杀，（免费的）

金山的尼姆达病毒专杀工具查不到,还有没有办法？

怎么会找不到呢，到金山的网站就可以了。
http://www.iduba.net/resource/special/Concept/index.htm
还不行的话给个email，我寄给你。
155k

请大家看看各自的windows 2000,下面这几个病毒所指向的文件有没有？

1524 nsum -> 6666 TCP E:/WINNT/System32/WINDOW~1/Server/nsum.exe
884 nscm -> 7007 TCP E:/WINNT/System32/WINDOW~1/Server/nscm.exe
1252 inetinfo -> 7747 TCP E:/WINNT/System32/inetsrv/inetinfo.exe
852 nspmon -> 7778 TCP E:/WINNT/System32/WINDOW~1/Server/nspmon.exe

用Regedit，在注册表中搜索"Server/n"，找到就删除。或者先在任务管理器中将这些程序
强行终止，用Delphi编一个什么也不干的控制台程序，将上面的 "Server/n*.exe" 覆盖掉，
看下次启动还有没有问题。（——我就是这么对付Code Red的——用假的tftp来记录攻击时间）

除inetinfo有，其它的都没有。

to 远帆:
我是说金山的尼姆达病毒专杀工具我已用过,只是它也报无病毒。

你看看这些文件的创建、修改时间不就得了吗？
inetinfo.exe是系统文件。 WINNT/System32/WINDOW~1/ 下的是木马。

to creation-zy:
你的意思是红色代码病毒，肯定吗？

我只是举一个例子，像这种无名小妖木马，谈“名字”还为时尚早。
动手呀！非要知道是什么木马，然后使用专门的查杀软件吗？？？

我的机器里也有NSCM、NCPM、NSPMON、NSUM
这些是病毒的？？？不会吧？？

to nicklee:
请看一下你的硬盘的各个逻辑分区有没有设为共享,请用右键查看'共享'属性,若是,必中
毒,别只看手形符号,它是没有手形符号的。

上金山的论坛去！那里的技术人员还不错的，会给你答复！

木马之类的最擅长的就是隐藏自己， 它的进程一般可以隐藏， 用任务列表恐怕看不出
什么名堂。
除了那个8 System外(居然不报家门，用个System就证明一定是系统进程吗)， 其他的都
还比较面熟， 无非是Win2000s的系统进程， 还有SQL Sever的两个进程。
如果是老病毒的话， 那些杀毒精英们早就发现了(否则该讨饭了 ：） )， 尼姆达已经不
是什么新鲜玩意。
我看最好和某个杀毒软件公司联系一下(去他们网站)， 告诉他们现象， 然后由他们告诉
你提取病毒样本的方法， 提交给他们， 经过他们分析， 他们显然会知道该怎么做。 如
果是新病毒，说不定他们还会免费赠送你一套最新版本的杀毒工具呢。(KV就是这样说的)
， 他们的网站是开放的，允许上传病毒样本。瑞星还有一个BBS。KV嘛，好象只有一个
URL。
希望你能尽快搞定， 也希望你搞定之后能告诉我这是什么东东(特关心的事)。
祝好运。 ：）

近日我又重装了windows 2000 server,刚装好看共享,C盘已被设为C$,看来是
windows 2000 server自己设的,说是为把管理需要,想不通,这样一来就不安全啦。

多人接受答案了。

哦， 原来是管理共享， 这没关系的。
我还以为…………， 呵呵， 看来虚惊一场。 ：）