隔离和清理受感染的服务器

上一次修改主题： 2005-04-29

如果内部 Exchange 服务器被感染，可以按照下列步骤来删除感染的病毒：

1. 禁止用户访问 Exchange。
2. 清理邮件传递基础结构：
   1. 冻结和撤消冻结队列。
   2. 查找和删除受感染的邮件。

禁止用户访问 Exchange

在某些情况下，当病毒爆发时，可能有必要在对服务器进行杀毒时禁止用户使用 Exchange。禁止用户访问有助于确保在杀除组织中的病毒时，服务器不会被感染。在邮箱清理过程中，可能需要对 Exchange 存储运行杀毒工具。因此，不得卸除存储，并且必须使其继续运行。禁止用户访问 Exchange 计算机的推荐方法是：拔下以太网电缆以断开该计算机与网络的物理连接。

清理邮件传递基础结构

识别了包含病毒的邮件后，必须对邮件传递基础结构进行清理或杀毒。清理邮件传递基础结构的过程包括清理队列、清理邮箱，然后对服务器进行杀毒。

清理队列

清理邮件传递基础结构的第一步是清理队列。对于每一台服务器，此任务都包括冻结队列、查找异常邮件，然后将其删除。有关详细步骤，请参阅下列文章：

• 如何停止或重新启动队列中所有邮件的传输
• 如何查找和删除 SMTP 队列中的特定邮件

清理邮箱

删除队列中的病毒邮件后，必须对邮箱进行杀毒。执行此任务的最佳途径是使用第三方防病毒解决方案。有关用于 Exchange 2003 的防病毒产品的信息，请参阅“Exchange Server Partners: Antivirus”网站。

如果防病毒软件不具备将邮件从 Exchange 存储中删除的功能，则必须通过运行邮箱合并向导 (ExMerge.exe) 来删除有问题的邮件。有关使用 ExMerge.exe 从 Exchange 中删除病毒邮件的详细信息，请参阅 Microsoft 知识库文章 328202“HOW TO: Remove a Virus-Infected Message from Mailboxes by Using the ExMerge.exe Tool”。

对服务器进行杀毒

将包含病毒的邮件从 Exchange 服务器中删除之后，以及将服务器重新联机之前，必须对服务器进行杀毒。此处，对服务器杀毒意味着进行文件级别的扫描，以确保服务器自身未感染病毒。要手动执行此操作，可以按照任何病毒网站上与特定病毒有关的说明来执行，也可以在 Exchange 服务器上运行文件级别的防病毒软件，并更新病毒签名。