||||
Symantec.com > 安全响应中心 > Wscript.Kakworm Removal Tool

Wscript.Kakworm Removal Tool

下载杀毒工具 | 打印机友好页面

更新: 2007 年 2 月 13 日 11:34:05 AM
类型: Removal Information


注意:此蠕虫有两个版本:Wscript.KakWorm Wscript.KakWorm.B。本页所提到的工具只适用于 Wscript.KakWorm。
请单击 请单击此处以获取 Wscript.KakWorm.B 杀毒工具。

如何获得并使用 Wscript.KakWorm 杀毒工具
要使用此工具,建议您将 Fixkak.exe 文件下载到 Windows 桌面或硬盘上的某个文件夹中。下载完此文件后,请执行下列操作:
1. 关闭所有程序。
2. 双击 Fixkak.exe 运行此工具。将出现杀毒工具对话框。
3. 单击 Remove。单击 Remove 后会显示下面三个消息中的一个:
    • “Your computer is not infected.”(您的系统是安全的,不必执行任何操作。)
    • “Your computer has been successfully restored.”(蠕虫已被杀除,已恢复蠕虫对系统造成的破坏。)
    • “An error occurred during execution of this program.”(此杀毒工具遇到无法修复的问题。需要手动杀除此病毒。有关手动杀除的指导,请参考此处(英文)。)
此工具的功能
Wscript.KakWorm 杀毒工具可对系统进行下列更改:
  • 搜索蠕虫放置在“启动”文件夹中的 Kak.hta 文件。如果此文件存在并且 CRC(循环冗余检验)匹配,则会将此文件删除。(CRC 是一个来源于数据块的数字,用于在数据传输时检测数据是否损坏。)
  • 在下列注册表键中检查 cAgOu 值:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    如果此值存在,则会被删除。
  • 搜索以下路径中的所有键:
    HKEY_CURRENT_USER\Identities\<subkeys>\Software\Microsoft\Outlook Express\5.0\Signatures

    其中,<subkeys> 表示 HKEY_CURRENT_USER\Identities 可能包含的所有子键。
  • 在 Outlook Express 5.0 的 Signatures 键中搜索 Default Signature 值。如果此值存在,则会被删除。
  • 在 Windows 文件夹中搜索并删除 Kak.htm。
  • 还原原始的 Autoexec.bat 文件。
  • 如果此病毒在下列位置创建了 \00000000 子键,则将其删除:
    HKEY_CURRENT_USER\Identities\???\Software\Microsoft\Outlook Express\5.0\Signatures\00000000

    注意:由于此蠕虫不会保存此信息,因此如果在 Outlook Express 受到感染之前存在 Outlook Express的默认签名,此工具将无法还原此默认签名。

关于 Chktrust 的信息
确认 Fixkak.exe 的数字签名:
1. 转至 http://www.wmsoftware.com/free.htm
2. 将 chktrust.exe 下载并保存到 Fixkak.exe 所在的同一文件夹。
3. 单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
4. 切换到存储 Fixkak.exe 和 Chktrust.exe 的位置。例如,如果文件保存在 Windows 桌面上,则键入:
    cd \windows\desktop

5. 键入下列命令,检查 Fixkak.exe 的数字签名:
    chktrust -i fixkak.exe

6. 如果数字签名有效,将显示下列消息:
    “Do you want to install and run "Fix Kak Utility" signed on 7/28/2000 5:38PM and distributed by Symantec Corporation.”

    注意:
    • 如果您的计算机没有设置为太平洋时区,则显示在该消息中的日期和时间将根据您所在的时区进行调整。例如,如果您所在时区为美国东部时区,显示的日期和时间将为 20007288:38 PM
    • 如果使用的是夏令时,则显示的时间要比实际时间早一个小时。
    • 如果未出现此对话框,可能存在两个原因:
      • 此工具不是由 Symantec 提供的。除非确定此工具是从合法 Symantec 网站下载的合法工具,否则不要运行它。
      • 此工具是由 Symantec 提供的合法工具。但是,您的操作系统以前被设置为始终信任来自 Symantec 的内容。有关此问题以及如何再次查看确认对话框的信息,请参阅文档如何还原“生产商可靠性”确认对话框
7. 单击 Yes 关闭 Chktrust 对话框。
8. 键入 exit,然后按 Enter 键。
打印此页面
按名称搜索
例如: W32.Beagle.AG@mm
©1995 - 2008 Symantec Corporation
站点地图 |
法律声明 |
隐私政策 |
|
联系我们 |
全球站点 |
许可证协议