||||
Symantec.com > 安全機制應變中心 > W32.Blaster.Worm Removal Tool

W32.Blaster.Worm Removal Tool

下載移除工具 | 友善列印頁面

已偵測: 8 月 11, 2003
已更新: 2 月 13, 2007 11:34:57 AM
類型: 刪除信息


賽門鐵克安全機制應變中心已開發出一個可清除 W32.Blaster.WormW32.Blaster.B.WormW32.Blaster.C.Worm 感染的移除工具。

重要注意事項:
  • W32.Blaster.Worm 利用了 DCOM RPC 弱點。更多訊息和修正程式下載請參閲:Microsoft Security Bulletin MS03-026。你必須下載並安裝這個修正程式。在多數情況下,你需要在執行移除操作前下載安裝修正程式。
  • 一個修正程式下載的替代站點及更多訊息請參閲:What You Should Know About the Blaster Worm and Its Variants
  • 由於病蟲的侵害,連接 Internet 下載修正程式、病毒定義或移除工具會比較困難。據報稱,對於 Windows XP 用戶,啓用 Windows XP 防火墻後能夠下載修正程式、病毒定義和移除工具。對於其它防火墻產品也可能適用,但這一點尚未證實。
移除工具的功能
「W32.Blaster.Worm 移除工具」會執行下列作業:
  1. 終止 W32.Blaster.Worm 病毒程序。
  2. 刪除 W32.Blaster.Worm 檔案。
  3. 刪除所安裝的檔案。
  4. 刪除此病蟲所加入的登錄值。
此工具可使用的指令行參數
參數
說明
/HELP, /H, /?顯示說明訊息。
/NOFIXREG停止登錄修復。(我們不建議您使用這個參數。)
/SILENT, /S啟用無回應模式。
/LOG=<path name>建立日誌檔,其中 <path name> 是儲存工具輸出的位置。根據預設,這個參數會在執行移除工具的同一個資料夾內建立日誌檔 FixBlast.log。
/MAPPED掃描對應的網路磁碟。(我們不建議您使用這個參數。請參閱下列的「注意」。)
/START指示工具立即開始掃描。
/EXCLUDE=<path>掃描時略過指定的 <path>。(我們不建議您使用這個參數。)

注意:/MAPPED 參數的使用並不能確保完全移除遠端電腦中的病毒,原因如下:
  • 掃描對應的磁碟就只會掃描對應的資料夾。這個動作可能無法一併掃描遠端電腦上的所有資料夾,而導致漏網之魚。
  • 如果偵測到對應磁碟上有病毒檔案,且遠端電腦的程式正在使用該檔案,則您無法移除該檔案。
基於上述理由,您應該在每台電腦上分別執行移除工具。

还原 Internet 连接
在很多情况下,不管是在 Windows 2000 还是在 XP 上,更改 Remote Call Procedure (RPC) 服务的设置可能允许您连接到 Internet,而不会关闭计算机。要还原 PC 的 Internet 连接,请执行下列操作:
  1. 单击“开始”>“运行”。出现“运行”对话框。
  2. 键入:
    SERVICES.MSC /S

    然后单击“确定”。“服务”窗口出现。
  3. 在右窗格中,找到 Remote Procedure Call (RPC) 服务。
    警告:还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。
  4. 用鼠标右键单击 Remote Procedure Call (RPC) 服务,然后单击“属性”。
  5. 单击“故障恢复”选项卡。
  6. 使用下拉列表,将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。
  7. 单击“应用”,然后单击“确定”。
    警告:杀除蠕虫后,请务必将这些设置更改回原来的值。
取得並執行工具

注意:
  • 在 Windows 2000 或 Windows XP 上,您必須要有管理員權限才可以執行此工具。
  • 如果您執行的是 MS Exchange 2000 Server,您可能想要從指令行執行此工具配合「排除」參數以排除掃描磁碟機 M。不論您是否要如此,請在執行此工具之前,先行備份磁碟機 M 上所有的資料。如需關於此步驟重要性的資訊,請閱讀 Microsoft 知識庫文章,網址為:http://support.microsoft.com/default.aspx?scid=kb;en-us;299046。
  1. 從下列位址下載 FixBlast.exe 檔案:
    http://securityresponse.symantec.com/avcenter/FixBlast.exe
  2. 將檔案儲存在方便的位置,例如您的下載資料夾或 Windows 桌面 (或者,如果方便,請儲存在未受感染的可移除式媒體上)。
  3. 若要檢查數位簽章的真偽,請參考「數位簽章」節。
  4. 執行工具前,請先關閉所有執行的程式。
  5. 如果您的電腦執行的是 Windows XP,請關閉「系統還原」。如需相關資訊,請參閱「Windows Me/XP 上的系統還原選項」節。
    注意:如果您是執行 Windows XP,本公司強烈建議您不要跳過這個步驟。如果您沒有關閉「Windows XP 系統還原」功能的話,移除程序可能會失敗,因為這時候 Windows 會防止外來程式修改「系統還原」。
  6. 在 FixBlast.exe 檔上按兩下滑鼠,即可啟動移除工具。
  7. 按下「開始」啟動程序,並允許工具執行。
    注意:如果當您執行工具時看到訊息顯示此工具無法移除一個或多個檔案,請在安全模式中執行此工具。關閉電腦及電源,並等候 30 秒鐘。將電腦重新啟動為「安全模式」並重新執行該工具。Windows NT 以外的所有 Windows 32 位元作業系統都可以重新啟動在安全模式。如需執行此程序的指示,請參閱「如何將電腦重新啟動在安全模」文件。
  8. 重新啟動電腦。
  9. 再次執行移除工具,確保系統已清除乾淨。
  10. 如果您是執行 Windows XP,請重新啟動「系統還原」。
  11. 執行 LiveUpdate 確保您使用最新版的病毒定義檔。

當工具完成執行時,您會看到一項訊息,指出電腦是否已感染 W32.Blast.Worm。在移除病蟲的情況下,程式會顯示下列結果:
  • 檔案掃描總數
  • 刪除的檔案數。
  • 終止的病毒程序數。
  • 修復的登錄項目數。

數位簽章
FixBlast.exe 已通過數位簽章。賽門鐵克建議您只使用直接從「賽門鐵克安全機制應變中心」網站下載的 FixBlast.exe。若要檢查數位簽章的真偽,請遵循下列步驟:
  1. 瀏覽到 http://www.wmsoftware.com/free.htm.
  2. 下載 Chktrust.exe 檔,並和 FixBlast.com 儲存在同一個資料夾 (例如,C:\Downloads 資料夾)。
  3. 請根據您的作業系統執行下列步驟:
    • 按下「開始」,指向「程式集」,然後按下「MS-DOS 模式」。
    • 按下「開始」,指向「程式集」,按下「附屬應用程式」,然後按下「指令提示字元」。
  4. 移至包含 FixBlast.exe 和 Chktrust.exe 的資料夾,然後輸入:
    chktrust -i FixBlast.exe

    例如,如果您將檔案儲存在 C:\Downloads 資料夾中,可輸入下列命令:
    cd\
    cd downloads
    chktrust -i FixBlast.exe

    每輸入一個指令便按下 Enter 鍵。如果數位簽章有效,您會看到下列訊息:
    Do you want to install and run "W32.Blaster.Worm Removal Tool" signed on     8/11/2003 7:14 PM and distributed by Symantec Corporation?

    注意:
    • 如果您的電腦不是設定為太平洋時區,則此對話方塊中的日期和時間會隨您的時區而調整。
    • 如果您使用「日光節約時間」,則顯示的時間會剛好早一個鐘頭。
    • 如果沒有出現這個對話方塊,問題可能來自兩個地方:
      • 您使用的工具不是由賽門鐵克所提供。除非您確定使用的工具是從合法的賽門鐵克網站所下載的,否則請勿執行它。
      • 該工具係來自賽門鐵克且為合法版本;然而,您的作業系統先前已收到指示,永遠信任來自賽門鐵克的內容。如需與此相關的資訊,並瞭解如何再次檢視確認對話方塊,請參閱「如何還原 Publisher Authenticity 確認對話方塊」文件。
  5. 按下「是」關閉對話方塊。
  6. 輸入 Exit,然後按下 Enter 鍵。這會關閉 MS-DOS 視窗。

Windows XP 中的「系統還原」選項
Windows XP 的使用者應該暫時關閉「系統還原」。Windows XP 使用這個預設啟用的功能,來還原您電腦上受損的檔案。如果病毒、病蟲或特洛伊木馬感染的電腦,「系統還原」可能會一併將電腦上的病毒、病蟲或特洛伊木馬備份起來。

Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此,防毒程式或是工具並無法移除「系統還原」資料夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,「系統還原」還是很有可能會將受感染的檔案一併還原至電腦中。

同時在某些情況下,即使您已經以防毒產品掃描過電腦且未發現任何中毒檔案,線上掃描程式還是有可能在「系統還原」資料夾中發現病毒威脅。

有關如何關閉「系統還原」的說明,請閱讀您的 Windows 文件,或 如何關閉或啟用 Windows XP「系統還原」

如何從軟碟執行移除工具
  1. 請插入包含 FixBlast.exe 檔案的軟碟至軟碟機。
  2. 按下「開始」,然後按下「執行」。
  3. 輸入下列字行:
    a:\FixBlast.exe

    然後按下「確定」:

    注意:
    • a:\FixBlast.exe 命令中沒有空格。
  4. 按下「開始」啟動程序,並允許工具執行。
  5. 如果您是執行 Windows Me,請重新啟動「系統還原」。



列印此頁
依照名稱搜尋
範例:W32.Beagle.AG@mm
©1995 - 2008 Symantec Corporation
網站導覽 |
法律聲明 |
隱私權政策 |
|
聯絡賽門鐵克 |
全球網站 |
授權合約