更新: 2007 年 2 月 13 日 11:34:07 AM
类型: Removal Information
赛门铁克安全响应中心开发了一种杀毒工具,可用来清除以下感染。
单击这里打开如何下载和运行该工具的在线教程。
工具的功能
W32.Klez 杀毒工具进行:
- 中断所有与 W32.Klez.E@mm、W32.Klez.H@mm、W32.ElKern.3587 和 W32.ElKern.4926 相关的进程。
- 删除 W32.Klez.E@mm 和 W32.Klez.H@mm 服务。
- 删除由 W32.Klez.E@mm 和 W32.Klez.H@mm 创建的注册表项。
- 检测所有类型的 W32.Klez.E@mm、W32.Klez.H@mm、W32.ElKern.3587 和 W32.ElKern.4926 感染,并修复可修复的文件。
- 在 W32.ElKern.4926 修复后的文件加疫苗,防止再受感染。
注意:
- 感染了 W32.Klez.E@mm 或 W32.Klez.H@mm 的文件包括一个指向加密的主机文件的链接。如果加密的文件不存在该链接,该工具会因无法修复受感染的文件而将其删除,并且加密的文件将不会恢复。
- W32.ElKern 修复会从文件删除病毒代码。但它不保证感染了 W32.ElKern 的文件经过修复后可以运行,因为该病毒经常会破坏文件。
该工具可用的命令行参数
参数 | 描述 |
| /HELP, /H, /? | 显示帮助消息。 |
| /NOFIXREG | 禁用注册表修复(不推荐使用该参数)。 |
| /SILENT, /S | 启用静默方式。 |
| /LOG=<path name> | 创建日志文件,其中 <path name> 是存储工具输出文件的位置。在默认情况下,该参数会在执行该杀毒工具的位置创建日志文件 FixKlez.log。 |
| /MAPPED | 扫描映射的网络驱动器(不推荐使用该参数,请参见“注意”)。 |
| /START | 强制该工具立即启动扫描。 |
| /EXCLUDE=<path> | 将指定的 <path> 排除在扫描之外(不推荐使用该参数)。 |
注意:使用 /MAPPED 参数不能保证完全杀除远程计算机上的病毒,原因如下:
- 对映射驱动器的扫描只扫描所映射的驱动器。不可能包括远程计算机上的所有文件夹,会造成漏扫。
- 如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行杀毒。
- 如果感染了 W32.Klez.E@mm 或 W32.Klez.H@mm 的文件位于映射驱动器上,对该文件的修复会失败。这是因为指向原加密主机文件的路径是本地路径。
基于这些原因,您应当分别在每台计算机上运行该工具进行杀毒。
获得并运行工具
注意:在 Windows NT 4.0、Windows 2000 或 Windows XP 上运行该工具必须具有管理权限。
- 从以下位置下载 FixKlez.com 文件
http://securityresponse.symantec.com/avcenter/FixKlez.com
- 将该文件保存在方便使用的位置,如 download 文件夹或 Windows 左面(如果可能,保存在确认未感染病毒的可移动媒体中。
- 要检查数字签名的可靠性,请参阅“数字签名”部分。
- 在运行该工具前,请关闭所有程序。
- 如果您在网络上或一直与 Internet 保持连接,请将计算机与网络或 Internet 断开。
- 如果使用的是 Windows Me 或 XP,则禁用系统还原。有关其它详细信息,请参阅 Windows Me/XP 系统还原选项 部分。
注意:如果运行的是 Windows Me/XP,强烈建议不要跳过此步骤。
- 关闭计算机并掐断电源,等待30秒。不要跳过此步骤。
- 以安全模式启动计算机(Windows NT 除外)。有关操作请参阅文章 如何以安全模式启动计算机。
- 双击 FixKlez.com 文件来启动该杀毒工具。
- 单击“开始”开始进程,允许该工具运行。
- 按照一般方式启动计算机。
- 如果使用的是赛门铁克防病毒产品,请重新安装。
- 运行 LiveUpdate,确保您的病毒定义是最新的。重新扫描计算机。如果您的赛门铁克防病毒产品侦测到任何病毒但无法将其修复,请予以删除。
- 如果使用的是 Windows Me/XP,则重新启用系统还原。
注意:如果不按上述要求禁用 Windows Me/XP 的系统还原,杀毒过程会失败,因为 Windows 不允许外来的程序对“系统还原”进行修改。这样,杀毒工具就无法使用。如果 W32.Klez.gen@mm 在运行该杀毒工具之前已被激活,在大多数情况下无法启动 Norton AntiVirus (NAV)。有关从命令行运行 NAV 和重装 NAV 的指导,请见 W32.Klez.E@mm 的详细说明。
工具运行结束后,您将看到说明计算机是否感染了 W32.Klez.E 和/或 W32.ElKern 任何变种的消息。如果删除了感染,程序会显示以下结果:
- 已扫描的文件总数
- 已删除的文件个数
- 已修复的文件个数
- 已终止的病毒进程个数
- 已删除的病毒服务个数
- 已修复的注册表项个数
数字签名
FixKlez.com 经过数字签名。Symantec 建议您只使用从Symantecs 安全响应中心的下载站点下载的 FixKlez.com 复本。要检查数字签名的可靠性,请执行下列操作:
- 进入 http://www.wmsoftware.com/free.htm。
- 下载 Chktrust.exe并将其与 FixKlez.com 文件保存在同一个文件夹中,例如,C:\Downloads。
- 根据所有的 Windows 版本,选择执行以下任一操作:
- 单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
- 单击“开始”、“程序”、“附件”,然后单击“命令提示符”。
- 更改为包含 FixKlez.com 和 Chktrust.exe 的文件夹,然后键入
chktrust -i FixKlez.com
例如,如果该文件存在与 C:\Downloads 文件夹中,则输入以下命令:
cd\
cd downloads
chktrust -i FixKlez.com
键入所有命令后,按 Enter 键。如果数字签名有效,将出现下列内容:
"Do you want to install and run "W32.Klez Fix Tool" signed on 9/10/2002 7:11PM and distributed by Symantec Corporation?"
注意:
- 如果您的计算机没有设置为太平洋时区,则显示在该消息中的日期和时间将根据您所在的时区进行调整。
- 如果使用夏令时,则显示的时间要比实际时间早一个小时。
- 如果没有出现该对话框,一般有两个原因:
- 该工具不是来自 Symantec。除非你肯定工具是合法的,并且是从赛门铁克网站下载, 否则请不要使用。
- 工具是从赛门铁克站点下载的合法软件。然而,您的操作系统以前被设定为“总是信赖赛门铁克产品”,请阅读文档:如何还原“生产商可靠性”确认对话框。
- 单击 Yes 关闭对话框。
- 键入 exit 并按 Enter 键以关闭 MS-DOS 会话。
Windows Me/XP 中的系统还原选项
Windows Me 和 Windows XP 用户应当暂时关闭“系统还原”。该功能在默认情况下是启用的,一旦计算机中的文件被破坏,WindowsMe/XP 可使用该功能进行还原。当计算机感染了病毒、蠕虫或特洛伊木马程序时,“系统还原”可能会备份该病毒、蠕虫或特洛伊木马程序。默认情况下,Windows 会阻止外来程序对系统还原功能进行修改。因此,您很有可能会不小心恢复受感染的文件,或在线扫描程序会在该位置检测到感染。有关如何关闭“系统还原”的指导,请阅读 Windows 文档或以下文章:
有关其它信息,以及禁用 Windows Me 系统还原的其它方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
如何从软盘运行工具
- 将包含 FixKlez.com 文件的软盘插入软盘驱动器中。
- 单击“开始”,然后单击“运行”。
- 键入下列内容,然后单击“确定”:
a:\fixklez.com
注意:
- 在命令 a:\fixklez.com 中没有空格
- 如果使用的是 Windows Me,并且系统还原处于启用状态,将出现警告消息。您可以选择在系统还原选项启用时运行杀毒工具或选择退出杀毒工具。
- 单击“开始”开始进程,然后运行工具。
- 如果使用的是 Windows Me,则重新启用系统还原。
注意:如果你使用的是 Norton AntiVirus(NAV) 2000/2001/2002, 大多数情况下,你必须在杀除病毒后重新卸载安装 NAV。关于此操作的详细信息,请参阅 杀除病毒后如何恢复 Norton AntiVirus。
