||||
Symantec.com > 安全機制應變中心 > W32.Welchia.Worm Removal Tool

W32.Welchia.Worm Removal Tool

下載移除工具 | 友善列印頁面

已偵測: 8 月 18, 2003
已更新: 2 月 13, 2007 11:34:59 AM
類型: 刪除信息


賽門鐡克應變已經推出了針對 W32.Welchia.Worm 的移除工具。

移除工具的功能
W32.Welchia.Worm 移除工具會進行下列動作:
  1. 終止 W32.Welchia.Worm 病毒程序。
  2. 刪除 W32.Welchia.Worm 檔案。
  3. 刪除病蟲創建的服務。
  4. 刪除此病蟲所加入的登錄值。
此工具可使用的指令行參數


參數

說明

/HELP, /H, /?
顯示說明訊息。

/NOFIXREG
停止登錄修復。(我們不建議您使用這個參數。)

/SILENT, /S
啟用無回應模式。

/LOG=<path name>
建立日誌檔,其中 <path name> 是儲存工具輸出的位置。根據預設,這個參數會在執行移除工具的同一個資料夾內建立日誌檔 FixWelch.log。

/MAPPED
掃描對應的網路磁碟。(我們不建議您使用這個參數。請參閱下列的「注意」。)

/START
指示工具立即開始掃描。

/EXCLUDE=<path>
掃描時略過指定的 <path>。(我們不建議您使用這個參數。)

注意:/MAPPED 參數的使用並不能確保完全移除遠端電腦中的病毒,原因如下:
  • 掃描對應的磁碟就只會掃描對應的資料夾。這個動作可能無法一併掃描遠端電腦上的所有資料夾,而導致漏網之魚。
  • 如果偵測到對應磁碟上有病毒檔案,且遠端電腦的程式正在使用該檔案,則您無法移除該檔案。
基於上述理由,您應該在每台電腦上分別執行移除工具。

取得並執行工具

注意:在 Windows NT 4.0、Windows 2000 或 Windows XP 上,您必須要有管理員權限才可以執行此工具。
  1. 下載 FixWelch.exe 檔案,從:
    http://www.symantec.com/avcenter/FixWelch.exe.
  2. 將檔案儲存在方便的位置,例如您的下載資料夾或 Windows 桌面 (或者,如果方便,請儲存在未受感染的可移除式媒體上)。
  3. 若要檢查數位簽章的真偽,請參考「數位簽章」節。
  4. 如果您的電腦執行的是 Windows Me 或 XP,請關閉「系統還原」。如需相關資訊,請參閱「Windows Me/XP 上的系統還原選項」節。

    注意:如果您是執行 Windows Me/XP,本公司強烈建議您不要跳過這個步驟。如果您沒有關閉「Windows Me/XP 系統還原」功能的話,移除程序可能會失敗,因為這時候 Windows 會防止外來程式修改「系統還原」。
  5. 連按兩下 FixWelch.exe 檔,以啟動移除工具。
  6. 按下「開始」啟動程序,並允許工具執行。
  7. 重新啟動電腦。
  8. 再次執行移除工具,確保系統已清除乾淨。
  9. 如果您執行的是 Windows Me/XP,請重新啟用「系統還原」。
  10. 執行 LiveUpdate 確保您使用最新版的病毒定義檔。
當工具完成執行時,您會看到一項訊息,指出電腦是否已感染 W32.Welchia.Worm。在移除病蟲的情況下,程式會顯示下列結果:
  • Total number of the scanned files. (檔案掃描總數。)
  • Number of deleted files. (刪除的檔案數。)
  • Number of terminated viral processes. (終止的病毒程序數。)
  • Number of fixed registry entries. (修復的登錄項目數。)

數位簽章
FixWelch.exe 已通過數位簽章。賽門鐵克建議您只使用直接從「賽門鐵克安全機制應變中心」網站下載的 FixWelch.exe。若要檢查數位簽章的真偽,請遵循下列步驟:
  1. 前往 http://www.wmsoftware.com/free.htm
  2. 下載 Chktrust.exe 檔,並和 FixWelch.exe 儲存在同一個資料夾 (例如,C:\Downloads 資料夾)。
  3. 請根據您的作業系統執行下列步驟:
    • 按下「開始」,指向「程式集」,然後按下「MS-DOS 模式」。
    • 按下「開始」,指向「程式集」,按下「附屬應用程式」,然後按下「指令提示字元」。
  4. 移至包含 FixWelch.exe 和 Chktrust.exe 的資料夾,然後輸入:

    chktrust -i FixWelch.exe

    例如,如果您將檔案儲存在 C:\Downloads 資料夾中,可輸入下列命令:

    cd\
    cd downloads
    chktrust -i FixWelch.exe

    每輸入一個指令便按下 Enter 鍵。如果數位簽章有效,您會看到下列訊息:
    "Do you want to install and run "W32.Welchia Removal Tool" signed on 8/19/2003 14:26 PM     GMT and distributed by Symantec Corporation?"
    (您要安裝並執行由賽門鐵克公司於     8/19/2003 14:26 PM GMT 所簽署發行的「W32.Welchia.Worm 移除工具」嗎?)

    注意
    • 如果您的電腦不是設定為太平洋時區,則此對話方塊中的日期和時間會隨您的時區而調整。
    • 如果您使用「日光節約時間」,則顯示的時間會剛好早一個鐘頭。
    • 如果沒有出現這個對話方塊,問題可能來自兩個地方:
      • 您使用的工具不是由賽門鐵克所提供。除非您確定使用的工具是從合法的賽門鐵克網站所下載的,否則請勿執行它。
      • 該工具係來自賽門鐵克且為合法版本;然而,您的作業系統先前已收到指示,永遠信任來自賽門鐵克的內容。如需關於如何檢視關於再次確認對話方塊的相關資訊,請參閱如何還原 Publisher Authenticity 確認對話方塊文件。
  5. 按下「是」關閉對話方塊。
  6. 輸入 Exit,然後按下 Enter 鍵。這會關閉 MS-DOS 視窗。

Windows Me/XP 中的「系統還原」選項
Windows Me 和 Windows XP 的使用者應該暫時關閉「系統還原」。Windows Me/XP 使用這個預設啟用的功能,來還原您電腦上受損的檔案。如果病毒、病蟲或特洛伊木馬感染的電腦,「系統還原」可能會一併將電腦上的病毒、病蟲或特洛伊木馬備份起來。

Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此,防毒程式或是工具並無法移除「系統還原」資料夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,「系統還原」還是很有可能會將受感染的檔案一併還原至電腦中。

同時在某些情況下,即使您已經以防毒產品掃描過電腦且未發現任何中毒檔案,線上掃描程式還是有可能在「系統還原」資料夾中發現病毒威脅。

有關如何關閉「系統還原」的說明,請閱讀您的 Windows 文件,或下列文章: 如需其它資訊以及關閉「Windows Me 系統還原」的其它方法,請參閱 Microsoft 知識庫的文章: 防毒工具無法清除 _Restore 資料夾中受感染的檔案,文章識別碼 (Article ID):Q263455。
列印此頁
依照名稱搜尋
範例:W32.Beagle.AG@mm
©1995 - 2008 Symantec Corporation
網站導覽 |
法律聲明 |
隱私權政策 |
|
聯絡賽門鐵克 |
全球網站 |
授權合約