已发现: 2003 年 1 月 9 日
更新: 2007 年 2 月 13 日 11:34:24 AM
类型: Removal Information
此工具的功能
W32.Lirva 杀毒工具具有下列功能:
1. 终止所有 W32.Lirva.A@mm 和 W32.Lirva.C@mm 病毒进程
2. 删除 W32.Lirva.A@mm 和 W32.Lirva.C@mm 病毒文件
3. 修复被蠕虫更改过的注册表键
此工具可用的命令行转换参数
 转换参数 |
说明 |
/HELP、/H、/? |
显示帮助消息。 |
/NOFIXREG |
禁用注册表修复功能(建议不使用此转换参数)。 |
/SILENT、/S |
启用静默模式。 |
/LOG=<path name> |
创建日志文件,其中 <path name> 是存储工具输出内容的位置。默认情况下,此参数会在执行该杀毒工具的文件夹内创建日志文件 FixLirva.log。 |
/MAPPED |
扫描映射的网络驱动器。(建议不使用此转换参数。见下面的“注意”。) |
/START |
强制此工具立即开始扫描。 |
/EXCLUDE=<path> |
不扫描指定的 <path>。(建议不使用此转换参数。) |
注意:使用 /MAPPED 转换参数不能保证完全杀除远程计算机上的病毒,原因如下:
- 扫描映射驱动器时扫描的只是映射的文件夹。此过程可能不包括远程计算机上的所有文件夹,因而漏掉可能会在其中检测到病毒的文件夹。
- 如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行杀毒。
基于以上原因,您应该分别在每台计算机上运行此工具。
获得并运行此工具
重要信息。开始操作之前,请先阅读下列信息。
在 Windows NT 4.0、Windows 2000 或 Windows XP 上,必须以管理员身份登录才能运行此工具。如果不知道如何执行此操作,或没有相应的权限,请咨询网络管理员或计算机顾问。
1. 从以下位置下载 FixLirva.exe 文件:
http://securityresponse.symantec.com/avcenter/FixLirva.exe。
2. 将该文件保存在便于使用的位置,如 downloads 文件夹或 Windows 桌面(或者保存在确认未感染病毒的可移动介质中)。
3. 要检查数字签名的可靠性,请参考本文后面的“数字签名”部分。
4. 在运行此工具前,关闭所有正在运行的程序。
5. 如果您在网络上或一直与 Internet 保持连接,请将计算机与网络或Internet 断开。
6. 如果运行的是 Windows Me 或 XP,请禁用系统还原功能。有关详细信息,请参阅本文下面的“Windows Me/XP 中的系统还原选项”。
注意:如果运行的是 Windows Me/XP,强烈建议不要跳过此步骤。
7. 双击 FixLirva.exe 文件启动此杀毒工具。
8. 单击 Start 启动此进程,然后运行此工具。
注意:如果在运行此工具时出现错误消息,或者如果此工具运行不正确,请以安全模式重新启动计算机,然后重新运行此工具。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关指导,请参阅文档:如何以安全模式启动计算机。
9. 重新启动计算机。
10. 再次运行此杀毒工具以确保系统是干净的。
11. 如果运行的是 Windows Me/XP,请重新启用系统还原功能。
12. 运行 LiveUpdate,确保您使用的病毒定义是最新的。
13. 启动 Symantec 防病毒产品并运行完整的系统扫描。
注意:如果不按上述要求禁用 Windows Me/XP 系统还原功能,杀毒过程可能会失败,因为 Windows 不允许外部程序对系统还原进行修改。
此工具运行完毕后,将显示一条消息,说明计算机是否已被 W32.Lirva.A@mm/W32.Lirva.C@mm 感染。如果杀除了蠕虫,程序会显示下列结果:
- 已扫描的文件总数
- 已删除的文件数
- 已修复的文件数
- 已终止的病毒进程数
- 已修复的注册表项个数
数字签名
FixLirva.exe 是经过数字签名的。Symantec 建议您只使用从 Symantecs 安全响应中心网站直接下载的 FixLirva.exe 复本。要检查数字签名的可靠性,请执行下列操作:
1. 转至 http://www.wmsoftware.com/free.htm。
2. 将 Chktrust.exe 文件下载并保存到 FixLirva.exe 所在的文件夹(例如,C:\Downloads)。
3. 根据您使用的操作系统,执行下列操作之一:
- 单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
- 单击“开始”,指向“程序”,再单击“附件”,然后单击“命令提示符”。
4. 切换到存储 FixLirva.exe 与 Chktrust.exe 的文件夹,然后键入:
chktrust -i FixLirva.exe
例如,如果将文件保存在 C:\Downloads 文件夹,则应输入下列命令:
cd\
cd downloads
chktrust -i FixLirva.exe
键入每个命令后按 Enter 键。如果数字签名有效,将显示下列内容:
"Do you want to install and run the "W32.Lirva Fix Tool" signed on 1/9/2003 10:16 AM and distributed by Symantec Corporation?"
注意
- 如果您的计算机没有设置为太平洋时区,则显示在此对话框中的日期和时间将根据您所在的时区进行调整。
- 如果使用的是夏令时,则显示的时间要早整整一个小时。
- 如果未出现此对话框,可能存在两个原因:
- 此工具不是由 Symantec 提供的。除非确定此工具是从合法 Symantec 网站下载的合法工具,否则不要运行它。
- 此工具是来自 Symantec 的合法工具,但您曾经将操作系统设置为始终信任来自 Symantec 的内容。有关此问题以及如何再次查看确认对话框的信息,请参阅文档:如何还原“生产商可靠性”确认对话框。
5. 单击 Yes 关闭对话框。
6. 键入 exit,然后按 Enter 键。(此操作将关闭 MS-DOS 会话。)
Windows Me/XP 中的系统还原选项
Windows Me 和 Windows XP 用户应当暂时关闭系统还原功能。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。计算机感染了病毒、蠕虫或特洛伊木马时,系统还原功能可能会备份该病毒、蠕虫或特洛伊木马。默认情况下,Windows 禁止外部程序对系统还原进行修改。因此,您很有可能会不小心还原受感染的文件,或者联机扫描程序会在该位置检测到威胁。有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
有关其他信息以及禁用 Windows Me 系统还原功能的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
从软盘运行此工具
1. 将包含 FixLirva.exe 文件的软盘插入软盘驱动器。
2. 单击“开始”,然后单击“运行”。
3. 键入下列命令:
a:\FixLirva.exe
然后单击“确定”。
注意
- 命令“a:\FixLirva.exe”中没有空格。
- 如果使用的是 Windows Me,并且系统还原处于启用状态,将出现警告消息。您可以选择在启用系统还原选项的情况下运行此杀毒工具,也可以选择退出此杀毒工具。
4. 单击 Start 启动此进程,然后运行此工具。
5. 如果使用的是 Windows Me,重新启用系统还原。
