W32.Blaster.Worm Removal Tool
下载杀毒工具 |
发现日期: 2003 年 8 月 11 日
更新: 2007 年 2 月 13 日 11:35:09 AM
类型: Removal Information
赛门铁克安全响应已开发出可移除 W32.Blaster.Worm 、 W32.Blaster.B.Worm 和 W32.Blaster.C.Worm 感染的杀毒工具。
重要注意事项: 移除工具的功能 「W32.Blaster.Worm 杀毒工具」会执行下列操作:
终止 W32.Blaster.Worm 病毒程序。
删除 W32.Blaster.Worm文件。
删除所安装的档案。
删除此蠕虫所加入的注册键值。
此工具可使用的指令行参数
转换参数
说明
/HELP、/H、/? 显示帮助消息。 /NOFIXREG 禁用注册表修复。(建议不使用此转换参数。) /SILENT、/S 启用静默模式。 /LOG=<path name> 创建日志文件,其中 <path name> 是存储该工具输出内容的位置。默认情况下,此转换参数会在执行该杀毒工具的文件夹内创建日志文件 FixBlast.log。 /MAPPED 扫描映射的网络驱动器。(建议不使用此转换参数。请参考以下注意事项。) /START 强制此工具立即开始扫描。 /EXCLUDE=<path> 不扫描指定的 <path>。(建议不使用此转换参数。)
注意: 使用 /MAPPED 转换参数不能保证完全杀除远程计算机上的病毒,原因如下:
扫描映射驱动器时扫描的只是映射的文件夹。此操作可能不包括远程计算机上的所有文件夹,造成检测遗漏。
如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行杀毒。
基于以上原因,请分别在每台计算机上运行此工具。
还原 Internet 连接 在很多情况下,不管是在 Windows 2000 还是在 XP 上,更改 Remote Call Procedure (RPC) 服务的设置可能允许您连接到 Internet,而不会关闭计算机。要还原 PC 的 Internet 连接,请执行下列操作:
单击“开始”>“运行”。出现“运行”对话框。
键入:
在右窗格中,找到 Remote Procedure Call (RPC) 服务。 警告: 还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。 用鼠标右键单击 Remote Procedure Call (RPC) 服务,然后单击“属性”。
单击“故障恢复”选项卡。
使用下拉列表,将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。
单击“应用”,然后单击“确定”。 警告: 杀除蠕虫后,请务必将这些设置更改回原来的值。
获得并运行此工具 注意:
在 Windows 2000 或 Windows XP 上,需要具有管理权限才能运行此工具。
如果正在运行 MS Exchange 2000 Server,可能需要从命令行使用 Exclude 转换参数运行该工具,从而排除对 M 驱动器的扫描。不管是否进行此操作,在运行该工具之前都需要备份 M 驱动器上的所有数据。有关此要求为何必要的信息,请阅读 Microsoft 知识库文章: " XADM:不要备份或扫描 Exchange 2000 驱动器 M " (文章ID 298924)。
从以下位置下载 FixBlast.exe 文件: http://securityresponse.symantec.com/avcenter/FixBlast.exe 将该文件保存到方便的位置,如您的下载文件夹或 Windows 桌面(如果可能,保存到确认未感染病毒的可移动介质中)。
要检查数字签名的可靠性,请参考“数字签名”部分。
在运行此工具前,关闭所有正在运行的程序。
如果运行的是 Windows Me 或 XP,请禁用系统还原功能。有关其他详细信息,请参考“Windows XP 中的系统还原选项”部分。 注意: 如果运行的是 Windows XP,强烈建议不要跳过此步骤。如果未禁用 Windows Me/XP 系统还原功能,杀毒程序可能会失败,因为 Windows 禁止外部程序修改系统还原功能。 双击 FixBlast.exe 文件以启动杀毒工具。
单击 Start 启动此进程,然后运行此工具。 注意: 运行此工具时,如果出现工具无法删除一个或多个文件的消息,请在安全模式下运行此工具。关闭计算机,关掉电源,然后等待 30 秒。以安全模式重新启动计算机,并再次运行此工具。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关指导,请参阅文档: 如何以安全模式启动计算机 。 重新启动计算机。
再次运行此杀毒工具以确保系统是干净的。
如果运行的是 Windows XP,请重新启用系统还原功能。
运行 LiveUpdate,确保您使用的病毒定义是最新的。
此工具运行完毕后,将会出现一条消息,表明计算机是否受到 W32.Blaster.Worm 的感染。删除蠕虫后,程序将显示下列结果:
已扫描的文件总数。
已删除的文件数。
已终止的病毒进程数。
修复的注册键数。
数位签章 FixBlast.exe 是经过数字签名的。Symantec 建议您只使用从 Symantec 安全响应中心网站直接下载的 FixBlast.exe 副本。要检查数字签名的可靠性,请执行下列操作:
转至 http://www.wmsoftware.com/free.htm 。
将 Chktrust.exe 文件下载并保存到 FixBlast.exe 所在的文件夹(例如,C:\Downloads)中。
根据您使用的操作系统,执行下列操作之一:
单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
单击“开始”,指向“程序”,再单击“附件”,然后单击“命令提示符”。
切换到存储 FixBlast.exe 与 Chktrust.exe 的文件夹,然后键入: 8/11/2003 7:14 PM and distributed by Symantec Corporation? 注意
如果您的计算机没有设置为太平洋时区,则显示在此对话框中的日期和时间将根据您所在的时区进行调整。
如果使用的是夏令时,则显示的时间要早整整一个小时。
如果未出现此对话框,可能存在两个原因:
此工具不是由 Symantec 提供的。除非确定此工具是从合法 Symantec 网站下载的合法工具,否则不要运行它。
此工具是来自 Symantec 的合法工具,但您曾经将操作系统设置为始终信任来自 Symantec 的内容。有关此问题以及如何再次查看确认对话框的信息,请参阅文档: 如何还原“生产商可靠性”确认对话框 。
单击 Yes 关闭对话框。
键入 Exit,然后按 Enter 键。此操作将关闭 MS-DOS 会话。
Windows XP 中的系统还原选项 Windows XP 用户应当暂时关闭系统还原功能。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
同样,在某些情况下,联机扫描程序也可能在 System Restore 文件夹中检测到威胁,即使您已经使用防病毒程序扫描过计算机,并且未发现任何受感染文件。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章: 如何禁用或启用 Windows XP 系统还原。 如何从软盘执行移除工具
请插入包含 FixBlast.exe 档案的软盘至软盘机。
按下「开始」,然后按下「执行」。
输入下列字行: 注意: a:\FixBlast.exe 命令中没有空格。 按下「开始」启动程序,并允许工具执行。
如果您是执行 Windows Me,请重新启动「系统还原」。
搜索威胁
按名称搜索
例如: W32.Beagle.AG@mm
