发现日期:2003 年 6 月 1 日
更新: 2007 年 2 月 13 日 11:34:52 AM
类型: Removal Information
Symantec 安全响应中心已经开发了杀毒工具,以清除 W32.Sobig.C@mm 造成的感染。
该工具的功能
W32.Sobig.C@mm 杀毒工具具有下列功能:
- 终止 W32.Sobig.C@mm 病毒进程
- 删除 W32.Sobig.C@mm 文件
- 删除放入的文件
- 删除该蠕虫添加的注册表值
该工具可用的命令行转换参数
转换参数 |
说明 |
/HELP, /H, /? |
显示帮助消息。 |
/NOFIXREG |
禁用注册表修复。(建议不要使用此转换参数。) |
/SILENT, /S |
启用静默模式。 |
/LOG=<path name> |
创建一个日志文件,其中 <path name> 是用来存储工具输出的位置。默认情况下,此参数会在执行该杀毒工具的文件夹内创建日志文件 FixSbigc.log。 |
/MAPPED |
扫描映射的网络驱动器。(建议不要使用此转换参数。请参考下面的“注意”。) |
/START |
强制该工具立即开始扫描。 |
/EXCLUDE=<path> |
不扫描指定的 <path>。(建议不要使用此转换参数。) |
注意:使用 /Mapped 转换参数时,并不能保证彻底杀除远程计算机上的病毒,原因如下:
- 扫描映射的驱动器时,将仅扫描映射的文件夹。该操作可能不会对远程计算机上的文件夹进行扫描,从而导致检测不彻底。
- 如果在映射的驱动器上检测到病毒文件,则当远程计算机上的程序使用此文件时,杀毒操作将失败。
基于上述原因,请在每台计算机上运行该工具。
获取并运行该工具
注意:您必须拥有管理权限,才能在 Windows NT 4.0、Windows 2000 或 Windows XP 上运行该工具。
- 请从以下网址下载 FixSbigc.exe 文件:
http://securityresponse.symantec.com/avcenter/FixSbigc.exe
- 请将该文件保存到方便的位置,例如您的下载文件夹或 Windows 桌面(如果可能,也可下载到已知未受感染的可移动介质中)。
- 要检查数字签名的可靠性,请参考“数字签名”部分。
- 运行该工具之前,请关闭所有正在运行的程序。
- 如果您正在网络上或您的计算机一直与 Internet 保持连接,请将计算机从网络和 Internet 中断开。
- 如果您正在运行 Windows Me 或 XP,则请禁用系统还原。有关其他详细信息,请参考“Windows Me/XP 中的系统还原选项”部分。
警告:如果您正在运行 Windows Me/XP,强烈建议您不要跳过此步骤。如果未禁用 Windows Me/XP 系统还原,则杀毒过程可能不成功,原因在于 Windows 禁止外部程序修改系统还原功能。
- 双击 FixSbigc.exe 文件以启动杀毒工具。
- 单击“开始”开始杀毒过程,然后运行该工具。
注意:运行该工具时,如果显示该工具未能删除一个或多个文件的消息,请以安全模式运行该工具。关闭计算机,关掉电源,并等待 30 秒钟。以安全模式重新启动计算机,然后再次运行该工具。除 Windows NT 外,所有 Windows 32 位操作系统都可以安全模式重新启动。有关说明,请参阅文档如何以安全模式启动计算机。
- 重新启动计算机。
- 再次运行杀毒工具,以确保系统未感染病毒。
- 如果您正在运行 Windows Me/XP,请重新启用系统还原功能。
- 运行 LiveUpdate 以确保您使用的病毒定义是最新的。
当该工具运行完毕,将显示一条消息,表明 W32.Sobig.C@mm 是否感染了计算机。如果杀除了病毒,则该程序将显示下列结果:
- 已扫描的文件总数。
- 已删除的文件总数。
- 已终止的病毒进程的个数。
- 已修复的注册表项个数。
数字签名
FixSbigc.exe
已经过数字签名。Symantec 建议仅使用直接从 Symantec 安全响应中心网站下载的 FixSbigc.exe
副本。要检查数字签名的可靠性,请按照下列步骤操作:
- 转至 http://www.wmsoftware.com/free.htm。
- 下载 Chktrust.exe 文件并将其保存到 FixSbigc.exe 所在的同一文件夹(例如,C:\Downloads)。
- 根据操作系统的不同,执行下列操作:
- 单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
- 单击“开始”,指向“程序”,单击“附件”,然后单击“命令提示符”。
- 更改到存储 FixSbigc.exe 和 Chktrust.exe 的文件夹,然后键入:
chktrust -i FixSbigc.exe
例如,如果您是将该文件保存到 C:\Downloads 文件夹,则需要输入下列命令:
cd\
cd downloads
chktrust -i FixSbigc.exe
键入各个命令后,请按 Enter 键。如果数字签名无效,您将看到下列消息:
Do you want to install and run "W32.Sobig.C@mm Removal Tool" signed on 6/1/2003 11:43 AM and distributed by Symantec Corporation?
注意:
- 如果您的计算机没有设置为太平洋时区,则显示在此对话框中的日期和时间将根据您所在的时区进行调整。
- 如果使用夏令时,则显示的时间要比实际时间早一个小时。
- 如果未出现此对话框,则可能存在以下两个原因:
- 该工具不是由 Symantec 提供的。除非确定此工具是从合法 Symantec 网站下载的合法工具,否则不要运行该工具。
- 该工具由 Symantec 提供并且合法,但是,您曾经将操作系统设置为始终信任来自 Symantec 的内容。有关此问题以及如何再次查看确认对话框的信息,请参阅文档:如何还原“生产商可靠性”确认对话框。
- 单击 Yes 关闭对话框。
- 键入 Exit,然后按 Enter 键。这将关闭 MS-DOS 会话。
Windows Me/XP 中的系统还原选项
Windows Me 和 Windows XP 用户应临时关闭系统还原功能。此功能在默认情况下是启用的,一旦计算机中的文件被破坏,Windows Me/XP 将使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,系统还原功能可能在计算机上备份相应的病毒、蠕虫或特洛伊木马。
Windows 禁止外部程序(包括防病毒程序)修改系统还原功能。因此,防病毒程序或工具无法消除 System Restore 文件夹中的威胁。结果,系统还原功能就可能将受感染文件还原到计算机上,即使您已经将其他所有位置的受感染文件清除。
而且,在某些情况下,即使您已经使用防病毒程序扫描了计算机并且未找到受感染文件,联机扫描程序也可能在 System Restore 文件夹中检测到威胁。
有关如何关闭系统还原功能的说明,请参阅 Windows 文档或下列文章之一:
有关其他信息以及禁用 Windows Me 系统还原的替代方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
如何从软盘运行该工具
- 在软盘驱动器中,插入包含 FxSobigb.exe 文件的软盘。
- 单击“开始”,然后单击“运行”。
- 键入下列内容:
a:\FixSbigc.exe
然后单击“确定”。
注意:
- 命令 a:\FixSbigc.exe 中没有空格。
- 如果您使用的是 Windows Me 并且系统还原功能处于启用状态,将显示警告消息。您可以选择在启用系统还原选项的情况下运行该杀毒工具,或退出该杀毒工具。
- 单击“开始”开始杀毒过程,然后运行该工具。
- 如果使用的是 Windows Me,请随后重新启用系统还原功能。
