|||||
Symantec.com > 企业 > 安全响应中心 > Trojan.Brisv.A!inf Removal Tool
PRINT THIS PAGE

Trojan.Brisv.A!inf Removal Tool

下载杀毒工具 | 打印机友好页面

发现日期:2008 年 7 月 22 日
更新: 2009 年 11 月 4 日 12:32:34 PM
类型: 删除信息

此工具专为删除下述感染而设计:Trojan.Brisv.A!inf

重要信息:
  • 请注意: 赛门铁克强烈建议您在安全模式下运行此删除工具。
  • 如果您连接在网络上或在使用固定的 Internet 连接,如 DSL 或电缆调制解调器,请断开计算机与网络和 Internet 之间的连接。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享,或将共享文件设为“只读”。因为此蠕虫是通过网络计算机上的共享文件夹进行传播的,为确保此蠕虫被杀除后不会再次感染计算机,Symantec 建议用“只读”访问权限或密码保护进行文件共享。

    有关如何执行此操作的指导,请参阅 Windows 文档,或此文档:如何配置共享 Windows 文件夹以尽可能地保护网络

  • 如果要从网络中杀除感染,首先请确保已将所有共享文件都禁用或设为“只读”。
  • 此工具不能在 Novell NetWare 服务器上运行。要从 NetWare 服务器上杀除此威胁,首先请确保拥有最新的病毒定义,然后使用 Symantec 防病毒产品运行完整的系统扫描。

如何下载并运行此工具

重要信息:
  • 在 Windows NT 4.0、Windows 2000 或 Windows XP 上,必须具有管理权限才能运行此工具。
  • 对于运行启用了 UAC 的 Windows Vista 的用户,双击 FixBrisvA.exe 文件时可能会显示以下错误消息:



  • 若要运行删除工具,需要右键单击 FixBrisvA.exe 文件,然后单击 以管理员身份运行



  • 如果显示以下消息,请单击继续,然后按照显示的指导信息操作:



  • 对于运行 Windows XP 但没有管理员权限的用户,双击 FixBrisvA.exe 文件时,可能会显示下列错误消息:


  • 若要运行删除工具,需要右键单击 FixBrisvA.exe 文件,然后单击 Run as...。将显示以下信息:



  • 单击 The following user:,然后选择 Administrator

网络管理员请注意:如果正在运行 MS Exchange 2000 Server,建议您从命令行使用 Exclude 转换参数运行此工具,从而排除对 M 驱动器的扫描。 有关更多信息,请参阅 Microsoft 知识库文章: XADM: 不要备份或扫描 M 驱动器上的 Exchange 2000(文章 298924)。

按照下列步骤下载并运行此工具:
  1. 从以下地址下载 FixBrisvA.exe 文件:http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixBrisvA.exe
  2. 将此文件保存到方便的位置,如 Windows 桌面。
  3. 可选:要检查数字签名的可靠性,请参阅本文后面的“数字签名”部分。

    注意:如果可以确定此工具是从安全响应中心网站下载的,则可以跳过此步骤。 如果无法确定,或网络管理员需要在部署之前验证文件,请在执行步骤 4 之前按照“数字签名”部分中的步骤执行操作。

  4. 如果您在网络上或使用固定的 Internet 连接,请断开计算机与网络和 Internet 之间的连接。
  5. 如果运行的是 Windows Me 或 XP,请关闭系统还原功能。 有关如何关闭系统还原功能的说明,请参阅 Windows 文档或下列文章之一:

    如何禁用或启用 Windows Me 系统还原

    如何禁用或启用 Windows XP 系统还原

  6. 在安全模式下重新启动计算机。
  7. 找到刚刚下载的文件。
  8. 双击 FixBrisvA.exe 文件启动此删除工具。
  9. 单击“开始”启动此进程,然后运行此工具。
  10. 以标准模式重新启动计算机。
  11. 运行 LiveUpdate 以确保您使用的病毒定义是最新的。
  12. 使用赛门铁克安全产品运行全面扫描,以确保系统是干净的。
  13. 如果运行的是 Windows Me/XP,请重新启用系统还原功能。
  14. 如果您连接在网络上或在使用固定的 Internet 连接,请将计算机与网络或 Internet 重新连接。

此工具运行完毕后,将会出现一条消息,表明计算机是否受到该病毒的感染。此工具将显示与如下所示类似的结果:
  • 已扫描的文件总数
  • 已删除的文件数
  • 已修复的文件数
  • 已终止的病毒进程数
  • 已修复的注册表项数
此工具的功能
此删除工具具有下列功能:
  • 结束相关进程
  • 删除相关文件
  • 删除该威胁添加的注册表值
转换参数
下列转换参数专供网络管理员使用:
/HELP, /H, /?
显示帮助消息。
/NOFIXREG
禁用注册表修复功能(建议不使用此转换参数)。
/SILENT, /S
启用静默模式。
/LOG=[PATH NAME]
创建日志文件,其中 [PATH NAME] 是存储该工具输出内容的位置。 默认情况下,此转换参数会在执行此删除工具的文件夹中创建日志文件 FixBrisvA.log。
/MAPPED
扫描映射的网络驱动器。 (建议不使用此转换参数。请参阅下面的注释)。
/START
强制此工具立即开始扫描。
/EXCLUDE=[PATH]
不扫描指定的 [PATH]。 (建议不使用此转换参数。请参阅下面的注释。)
/NOCANCEL
禁用该删除工具的取消功能。
/NOFILESCAN
防止扫描文件系统。
/NOVULNCHECK
禁用对未安装修补程序的文件的检查。

重要信息:使用 /MAPPED 转换参数并不能保证彻底杀除远程计算机上的病毒,原因是:
  • 扫描映射驱动器时仅扫描已映射的文件夹。 可能不包括远程计算机上的所有文件夹,这样就可能会遗漏应该能检测到的病毒。
  • 如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行删除。
基于以上原因,您应该分别在每台计算机上运行此工具。

/EXCLUDE 转换参数只能处理一个路径,而不能处理多个路径。 除此方法之外,还可以使用 /NOFILESCAN 转换参数,然后使用 AntiVirus 进行手动扫描。 这将使得此工具修改注册表。 然后,通过 AntiVirus 使用最新的病毒定义对计算机进行扫描。 执行这些操作,应该能够清理文件系统。

以下是一个示例命令行,可以用来排除单个驱动器:

"C:\Documents and Settings\user1\Desktop\FixBrisvA.exe" /EXCLUDE=M:\ /LOG=c:\FixBrisvA.txt

或者,下面的命令行将跳过文件系统扫描,但将修复对注册表所做的修改。 然后,应使用正确的排除项运行常规系统扫描:

"C:\Documents and Settings\user1\Desktop\FixBrisvA.exe" /NOFILESCAN /LOG=c:\FixBrisvA.txt

注意:可以赋予此日志文件任何名称,并可将其保存到任何位置。

数字签名
出于安全考虑,此删除工具采用数字签名。 Symantec 建议您只使用从 Symantec 安全响应中心网站直接下载的删除工具副本。

如果不能确定,或者网络管理员需要在部署前验证文件,则需要检查数字签名的可靠性。

请执行下列操作:
  1. 转至 http://www.wmsoftware.com/free.htm
  2. 将 Chktrust.exe 文件下载并保存到此删除工具所在的文件夹。

    注意:大多数下列步骤都是在命令提示符下执行的。 如果将删除工具下载到 Windows 桌面,则较简便的方法是先将此工具移至 C 驱动器的根目录下。 然后将 Chktrust.exe 文件也保存到 C 驱动器的根目录下。

    (步骤 3 假设删除工具和 Chktrust.exe 都位于 C 驱动器的根目录下。)

  3. 单击“开始”>“运行”。
  4. 键入下列命令之一:

    Windows 95/98/Me:
    command

    Windows NT/2000/XP:
    cmd

  5. 单击“确定”。
  6. 在命令窗口中,键入以下内容,每键入一行后按 Enter 键:

    cd\
    cd downloads
    chktrust -i FixBrisvA.exe

  7. 根据您所用的操作系统,会出现以下消息之一:

    Windows XP SP2:
    将出现“信任验证实用程序”窗口。

    请在“生产商”下面,单击 Symantec Corporation 链接。 随即出现数字签名详细信息。
    验证下列字段中的内容,以确保此工具可靠:

    名称: Symantec Corporation
    签名时间: 05/15/2009 03:32:13 AM

    所有其他操作系统:
    您会看到下列消息:

    是否确定要安装和运行由赛门铁克公司发布并且签名时间为 5/15/2009 03:32:13 AM 的“Trojan.Brisv.A!inf 删除工具”?

    注意:
    以上数字签名中的日期和时间是太平洋时间。 会按照您的计算机所在时区和地区选项设置对它们进行调整。

    如果使用的是夏令时,显示的时间要早整整一个小时。

    如果没有出现此对话框,可能有两个原因:

    此工具不是来自 Symantec:除非确定此工具是合法的,而且是从合法的 Symantec 网站下载的,否则不应该运行它。

    此工具是由 Symantec 提供的合法工具:但是,您的操作系统以前被设置为始终信任来自 Symantec 的内容。 有关此问题以及如何再次查看确认对话框的信息,请参阅文档:如何还原“生产商可靠性”确认对话框(英文)。

  8. 单击“是”或“运行”关闭对话框。
  9. 键入 exit,然后按 Enter 键。(此操作将结束 MS-DOS 会话。)
©1995 - 2009 Symantec Corporation
站点地图|
法律声明|
隐私政策|
|
联系我们|
全球站点|
许可证协议