2000 Server中了Backdoor.Graybird.K之后

昨天上午，客户电话过来说网站访问不了了，于是远程登录服务器查看，发现IIS里的每个网站都是已停止状态（系统为2000server，补丁全打），以前从没遇到过这种情况，于是手动将每个网站都启动起来，网站恢复了发布。在系统里转了几圈，发现速度比以前明显变慢，于是怀疑中招，到事件查看器看日志，发现清一色红叉，都是symantec报的，察看详细内容，说“发现Backdoor.Graybird.K病毒在C:\Winnt\safesystem_Hook.dll， 删除，隔离等都失败，
left unchanged”。看来想正常情况下删掉很困难了，于是我就网上查了此病毒的相关信息，说这个病毒是个.exe文件，由黑客指定名字，在我这里就应该是safesystem.exe(后来查到发现是safesystem.com，我想应该大同小异），然后生成两个其他文件safesystem.dll和safesystem_Hook.dll，说其中_hook.dll的作用是拦截api什么的，使safesystem.com不可见，从而无法删除，并且这个木马还将safesystem注册为服务（后来到服务里看果然有这个服务，但是没有显示启动，但我怀疑这个不可靠，应该已经启动），提供的解决办法说到安全模式下，先到注册表里删掉相应的服务项，然后安全模式下就能看到那个safesystem.com，删掉就可以了。但是，我是远程桌面，无法到安全模式下，就想能不能有别的办法，我想既然是_hook.dll让那个文件在正常情况下不可见，那我把所有用户对_hook.dll的权限都删掉，那这个文件不能执行，就不能起拦截api的作用，.com那个文件不就可见了吗，于是我就这么做了。然后重新启动了机器，然后迫不及待的到winnt目录下去删掉那几个文件，但是问题出现了，打开这个文件夹，什么东西都看不到（但我肯定文件是存在的，因为cmd下可以看到，后来发现Program Files文件夹里的东西也看不到，网络连接窗口打开也看不到东西），然后发
现IIS也打不开，到服务里一看，Wourld Wide Web 发布服务没有启动，手动启动提示依存服务没有启动，然后想查看该服务属性找到依存服务，但是无论怎么点击也看不到属性窗口，要关闭服务窗口提示必须关掉所有属性页，这时我才意识到不是属性窗口打不开，是打开了我看不到（后来发现事件查看器也是如此），于是到其他服务器看服务里的依存关系，发现最终是Romote Procedure Call（RPC），于
是看了一下这台中招机器的服务，发现该服务状态为“启动”，我就纳闷为什么这个启动了，依存该服务的服务也启动不了，后来发现，正常的表示应该为“已启动”，而不是“启动”，显然是恶意修改了。后来我没招了，去服务器本地进入安全模式，到winnt文件夹，里面内容可以看到，于是把safesystem.com,safesystem.dll,safesystem_hook.dll删掉，并试图在注册表里删除safesystem服务，但是失败，重新启动进入正常模式，还是一样，我无能为力了。难道就因为我改了一下_hook.dll的权限？可惜我删的早了，没有测试恢复_ook.dll的权限会是什么结果。
写了这么多，看累了吧大家，不过我写这些也不容易啊，服务器已经换了块硬盘重装了，留着这块硬盘，就是想提高一下，有想法的给回个啊，谢谢