||||
Symantec.com > 安全响应中心 > W32.Opaserv.Worm Removal Tool

W32.Opaserv.Worm Removal Tool

下载杀毒工具 | 打印机友好页面

发现日期:2002 年 9 月 30 日
更新: 2007 年 2 月 13 日 11:34:15 AM
类型: Removal Information


重要信息:
  • 该蠕虫利用了Microsoft Windows 95/98/Me 的一个安全漏洞。它发送单个字符的密码来进入 Windows 95/98/Me 的共享资料夹,而不需要知道为资料夹设置的完整密码。为避免再次感染,请到下列链接下载并安装补丁程序:
    http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
  • 请务必执行:移除蠕虫前请先断开计算机与 Internet 的连接。在重新连入网络前,请先关闭或使用密码保护共享文件夹,或设置共享文件夹为“只读”。
  • 更多关于共享设置的信息请阅读 如何配置共享 Windows 文件夹尽可能的保护网络
  • 当完成所有的移除步骤后,如果重新建立文件共享,赛门铁克建议您不要共享 C 盘的根目录。请尽量共享具体的子目录并设置非空的共享保护密码。不要忘记下载并安装上面提到的补丁程序。
工具的功能
W32.Opaserv.Worm 杀毒工具执行如下操作:
    • 中断所有与 W32.Opaserv.Worm 相关的进程。
    • 删除所有W32.Opaserv.Worm 执行文件。
    • 删除加入的注册表键值。
    • 恢复 Win.ini 文件。
此工具可用的命令行转换参数
转换参数
说明
/HELP, /H, /?显示帮助消息。
/NOFIXREG禁止修复注册表(不推荐使用此转换参数)。
/SILENT, /S启用静默模式。
/LOG=<path name>创建日志文件,其中 <path name> 是存储工具输出内容的位置。 在默认情况下,该参数会在执行该杀毒工具的位置创建日志文件 FixOpsrv.log。
/MAPPED扫描映射的网络驱动器(不推荐使用此转换参数,请参见下面的“注意”)。
/START强制此工具立即开始扫描。
/EXCLUDE=<path>将指定的 <path> 排除在扫描之外(不推荐使用此转换参数)。

注意:使用 /MAPPED 转换参数不能保证完全杀除远程计算机上的病毒,原因如下:
    • 扫描映射驱动器时只扫描映射的文件夹。 可能不包括远程计算机上的所有文件夹,这样就可能会遗漏应该能检测到的病毒。
    • 如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行杀毒。
基于以上原因,您应该分别在每台计算机上运行此工具进行杀毒。

获得并运行此工具
注意:在 Windows NT 4.0、Windows 2000 或 Windows XP 上,必须具有管理权限才能运行此工具。
  1. 从下列地址下载 FixOpsrv.exe:
    http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
  2. 将该文件保存在方便使用的位置,如 download 文件夹或 Windows 左面(如果可能,保存在确认未感染病毒的可移动媒体中。
  3. 要检查数字签名的可靠性,请参阅“数字签名”部分。
  4. 在运行该工具前,请关闭所有程序。
  5. 如果您在网络上或一直与 Internet 保持连接,请将计算机与网络或 Internet 断开。
  6. 如果运行的是 Windows Me 或 XP,请禁用系统还原功能。 有关其它详细信息,请参阅“Windows Me/XP 系统还原选项”部分。
    注意: 如果运行的是 Windows Me/XP,强烈建议不要跳过此步骤。
  7. 双击 FixOpsrv.exe 文件来启动该杀毒工具。
  8. 单击“开始”开始进程,然后运行工具。
  9. 重新启动计算机。
  10. 再次运行此杀毒工具,以确保系统是干净的。
  11. 如果运行的是 Windows Me/XP,请重新启用系统还原功能。
  12. 运行 LiveUpdate,确保您的病毒定义是最新的。

    注意:如果不按上述要求禁用 Windows Me/XP 系统还原功能,杀毒过程可能会失败,因为 Windows 不允许外部程序对系统还原进行修改。 这样,杀毒工具可能无法杀毒。

此工具运行完毕后,将显示一条消息,说明计算机是否已被 W32.Opaserv.Worm 感染。如果删除蠕虫,程序会显示下列结果:
    • 已扫描的文件总数
    • 已删除的文件个数
    • 已终止的病毒进程个数
    • 已修复的注册表项个数
数字签名
FixOpsrv.exe 经过数字签名。 赛门铁克建议您只使用从赛门铁克安全响应中心的下载站点下载的FixOpsrv.exe复本。 要检查数字签名的可靠性,请执行下列操作:
  1. 转至 http://www.wmsoftware.com/free.htm
  2. 将 chktrust.exe 文件下载并保存到FixOpsrv.exe 文件所在的文件夹(例如,C:\Downloads)。
  3. 根据您使用的操作系统,执行下列任一操作:
    1. 单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
    2. 单击“开始”,指向“程序”,单击“附件”,然后单击“命令提示符”。
    3. 更改到存储 FixOpsrv.exe 和 Chktrust.exe的文件夹,然后键入:
      chktrust -i FixOpsrv.exe

      例如,如果将文件保存在 C:\Downloads 文件夹,则应输入下列命令:
      cd\
      cd downloads
      chktrust -i FixOpsrv.exe

      如果数字签名有效,将显示下列内容:

      Do you want to install and run "W32.Opaserv.Worm Removal Tool" signed on 9/30/2002 10:36 PM and distributed by Symantec Corporation.

      注意:
      • 如果您的计算机没有设置为太平洋时区,则显示在该消息中的日期和时间将根据您所在的时区进行调整。
      • 如果使用夏令时,则显示的时间要比实际时间早一个小时。
      • 如果没有出现该对话框,一般有两个原因:
        • 该工具不是来自赛门铁克。 除非你肯定工具是合法,并且是从赛门铁克网站下载,否则请不要使用。
        • 工具是从赛门铁克下载的合法软件。 然而,您的操作系统以前被设定为“总是信赖赛门铁克产品”。 关于这方面的信息,和如何恢复确认信息对话框,请阅读如何还原“生产商可靠性”确认对话框
  4. 单击 Yes 关闭对话框。
  5. 键入 exit,然后按 Enter 键。 此操作将关闭 MS-DOS 会话。
Windows Me/XP 中的系统还原选项
Windows Me 和 Windows XP 用户应当暂时关闭系统还原功能。 此功能在默认情况下是启用的。一旦计算机中的文件被破坏,WindowsMe/XP 可使用此功能进行还原。 计算机感染了病毒、蠕虫或特洛伊木马程序时,系统还原可能会备份该病毒、蠕虫或特洛伊木马程序。 默认情况下,Windows 会禁止外部程序对系统还原进行修改。 因此,您很有可能会不小心恢复受感染的文件,或在线扫描程序会在该位置检测到感染。 有关如何关闭系统还原功能的指导,请参阅 Windows 文档或以下文章之一: 有关其它信息,以及禁用系统还原的其它方法,请参阅 Microsoft 知识库文章 病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。

如何从软盘运行此工具
  1. 将包含FixOpsrv.exe 文件的软盘插入软盘驱动器。
  2. 单击“开始”,然后单击“运行”。
  3. 键入下列内容,然后单击“确定”:
    a:\fixopsrv.exe

    注意:
    • 在命令a:\fixopsrv.exe中没有空格
    • 如果使用的是 Windows Me,并且系统还原处于启用状态,将出现警告消息。 您可以选择在系统还原选项启用时运行杀毒工具或选择退出杀毒工具。
  4. 单击“开始”开始进程,然后运行工具。
  5. 如果使用的是 Windows Me,则重新启用系统还原。

补充信息(暂为英文):
  • If you are on a network, have a full-time connection to the Internet, such as a DSL or Cable modem, or often leave a dial-up connection open for extended periods of time, we recommend that you install a firewall for additional protection. For information on Symantec firewall products, go to: http://www.symantec.com/product/.
  • If you are using a Norton AntiVirus consumer product, read the document, "How to prevent reinfections of W32.Opaserv.Worm."
  • If you have successfully run the tool, but, when you run a full system scan, it detects but cannot delete the W32.Opaserv.Worm in either the C:Windows\Sysbckup folder or the Norton-Protected Recycle Bin, follow these instructions:
    • Sysbckup folder. If a scan detects the W32.Opaserv.Worm in the C:\Windows\Sysbckup\<File name>.cab folder (in which <File name> is formatted as Rb### or Prb###):
      1. When the scan detects the file, write the file name.
      2. Restart the computer in Safe mode.Using Windows Explorer, locate the C:\Windows\Sysbckup folder, select the detected file, and delete it.
    • Norton-Protected Recycle Bin. Empty the Norton-Protected Recycle Bin.
打印此页面
按名称搜索
例如: W32.Beagle.AG@mm
©1995 - 2008 Symantec Corporation
站点地图 |
法律声明 |
隐私政策 |
|
联系我们 |
全球站点 |
许可证协议