已发现: 2004 年 1 月 13 日
更新: 2007 年 2 月 13 日 11:35:19 AM
类型: Removal Information
赛门铁克提供一个杀除下列 W32.HLLW.Gaobot 病毒变种的工具。
注意:W32.HLLW.Gaobot.gen 是检测 W32.HLLW.Gaobot 变种的普通程序。
工具的功能
W32.HLLW.Gaobot 杀毒工具进行:
- 中断所有与 W32.HLLW.Gaobot 相关的进程。
- 删除 W32.HLLW.Gaobot 相关文件。
- 删除 W32.HLLW.Gaobot 遗留文件。
- 删除由 W32.HLLW.Gaobot 创建的注册表项。
获得并运行工具
注意:在 Windows NT 4.0、Windows 2000 或 Windows XP 上运行该工具必须具有管理权限。
- 从以下位置下载 FxGaobot.exe 文件
http://securityresponse.symantec.com/avcenter/FxGaobot.exe
- 将该文件保存在方便使用的位置,如 download 文件夹或 Windows 桌面(如果可能,保存在确认未感染病毒的可移动媒体中。
- 要检查数字签名的可靠性,请参阅“数字签名”部分。
- 在运行该工具前,请关闭所有程序。
- 如果您在网络上或一直与 Internet 保持连接,请将计算机与网络或 Internet 断开。
- 如果使用的是 Windows Me 或 XP,则禁用系统还原。有关其它详细信息,请参阅 Windows Me/XP 系统还原选项 部分。
注意:如果运行的是 Windows Me/XP,强烈建议不要跳过此步骤。如果不按上述要求禁用 Windows Me/XP 的系统还原,杀毒过程会失败,因为 Windows 不允许外来的程序对“系统还原”进行修改。这样,杀毒工具就无法使用。
- 双击 FxGaobot.exe 文件来启动该杀毒工具。
- 单击“开始”开始进程,允许该工具运行。
注意:如果在运行工具的过程中你看到提示信息显示有个别文件无法删除,请以安全模式启动计算机(Windows NT 除外)。关闭计算机并掐断电源,等待30秒后重新启动计算机后再次运行杀毒工具。有关操作请参阅文章 如何以安全模式启动计算机。
- 按照一般方式启动计算机。
- 请再次运行杀毒工具。
- 如果使用的是 Windows Me/XP,则重新启用系统还原。
- 运行 LiveUpdate,确保您的病毒定义是最新的。
此工具运行完毕后,将会出现一条消息,表明计算机是否受到 W32.Korgo 的感染。删除蠕虫后,程序将显示下列结果:
- 已扫描的文件总数
- 已删除的文件个数
- 已修复的文件个数
- 已终止的病毒进程个数
- 已删除的病毒服务个数
该工具可用的命令行参数
参数 | 描述 |
| /HELP, /H, /? | 显示帮助消息。 |
| /NOFIXREG | 禁用注册表修复(不推荐使用该参数)。 |
| /SILENT, /S | 启用静默方式。 |
| /LOG=<path name> | 创建日志文件,其中 <path name> 是存储工具输出文件的位置。在默认情况下,该参数会在执行该杀毒工具的位置创建日志文件 FxGaobot.log。 |
| /MAPPED | 扫描映射的网络驱动器(不推荐使用该参数,请参见“注意”)。 |
| /START | 强制该工具立即启动扫描。 |
| /EXCLUDE=<path> | 将指定的 <path> 排除在扫描之外(不推荐使用该参数)。 |
注意:使用 /MAPPED 参数不能保证完全杀除远程计算机上的病毒,原因如下:
- 对映射驱动器的扫描只扫描所映射的驱动器。不可能包括远程计算机上的所有文件夹,会造成漏扫。
- 如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行杀毒。
基于这些原因,您应当分别在每台计算机上运行该工具进行杀毒。
数字签名
FxGaobot.exe 经过数字签名。Symantec 建议您只使用从Symantecs 安全响应中心的下载站点下载的 FxGaobot.exe 复本。要检查数字签名的可靠性,请执行下列操作:
- 进入http://www.wmsoftware.com/free.htm。
- 下载 Chktrust.exe并将其与 FxGaobot.exe 文件保存在同一个文件夹中,例如,C:\Downloads。
- 根据所有的 Windows 版本,选择执行以下任一操作:
- 单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
- 单击“开始”、“程序”、“附件”,然后单击“命令提示符”。
- 更改为包含 FxGaobot.exe 和 Chktrust.exe 的文件夹,然后键入
chktrust -i FxGaobot.exe
例如,如果该文件存在与 C:\Downloads 文件夹中,则输入以下命令:
cd\
cd downloads
chktrust -i FxGaobot.exe
键入所有命令后,按 Enter 键。如果数字签名有效,将出现下列内容:
Do you want to install and run "W32.HLLW.Gaobot Removal Tool" signed on 02/05/2004 9:02 and distributed by Symantec Corporation?
注意:
- 如果您的计算机没有设置为太平洋时区,则显示在该消息中的日期和时间将根据您所在的时区进行调整。
- 如果使用夏令时,则显示的时间要比实际时间早一个小时。
- 如果没有出现该对话框,一般有两个原因:
- 该工具不是来自 Symantec。除非你肯定工具是合法的,并且是从赛门铁克网站下载, 否则请不要使用。
- 工具是从赛门铁克站点下载的合法软件。然而,您的操作系统以前被设定为“总是信赖赛门铁克产品”,请阅读文档如何还原“生产商可靠性”确认对话框。
- 单击 Yes 关闭对话框。
- 键入 exit 并按 Enter 键以关闭 MS-DOS 会话。
Windows Me/XP 中的系统还原选项
Windows Me 和 Windows XP 用户应当暂时关闭“系统还原”。该功能在默认情况下是启用的,一旦计算机中的文件被破坏,WindowsMe/XP 可使用该功能进行还原。当计算机感染了病毒、蠕虫或特洛伊木马程序时,“系统还原”可能会备份该病毒、蠕虫或特洛伊木马程序。默认情况下,Windows 会阻止外来程序对系统还原功能进行修改。因此,您很有可能会不小心恢复受感染的文件,或在线扫描程序会在该位置检测到感染。有关如何关闭“系统还原”的指导,请阅读 Windows 文档或以下文章:
有关其它信息,以及禁用 Windows Me 系统还原的其它方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
如何从软盘运行工具
- 将包含 FxGaobot.exe 文件的软盘插入软盘驱动器中。
- 单击“开始”,然后单击“运行”。
- 键入下列内容,然后单击“确定”:
a:\FxGaobot.exe
注意:
- 在命令 a:\FxGaobot.exe 中没有空格
- 如果使用的是 Windows Me,并且系统还原处于启用状态,将出现警告消息。您可以选择在系统还原选项启用时运行杀毒工具或选择退出杀毒工具。
- 单击“开始”开始进程,然后运行工具。
- 如果使用的是 Windows Me,则重新启用系统还原。
