发现日期:2005 年 5 月 16 日
更新: 2007 年 2 月 13 日 11:36:06 AM
类型: 删除信息
此工具设计用于杀除 Trojan.Jasbom 的感染。
重要信息:
- 如果您在网络上或使用固定的 Internet 连接,如 DSL 或电缆调制解调器,请断开计算机与网络和 Internet 之间的连接。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享,或将共享文件设为“只读”。因为此蠕虫是通过网络计算机上的共享文件夹进行传播的,为确保此蠕虫被杀除后不会再次感染计算机,Symantec 建议用只读访问或密码保护进行文件共享。
有关如何执行此操作的指导,请参阅 Windows 文档或文档: 如何配置共享 Windows 文件夹尽可能的保护网络
- 如果要从网络中杀除感染,首先请确保已将所有共享文件都禁用或设为“只读”。
- 此工具不能在 Novell NetWare 服务器上运行。要从 NetWare 服务器上杀除此威胁,首先请确保拥有最新的病毒定义,然后使用 Symantec 防病毒产品运行完整的系统扫描。
如何下载并运行此工具
重要信息: 在 Windows NT 4.0、Windows 2000 或 Windows XP 上,必须具有管理权限才能运行此工具。
网络管理员请注意:如果正在运行 MS Exchange 2000 Server,建议您从命令行使用 Exclude 转换参数运行该工具,从而排除对 M 驱动器的扫描。有关详细信息,请参阅 Microsoft 知识库文章:XADM:不要备份或扫描 Exchange 2000 驱动器 M(文章 298924)。
按照以下步骤下载并运行此工具:
- 从 http://securityresponse.symantec.com/avcenter/Fixmagi.com 下载 FxJasbom.exe 文件。
- 将此文件保存到方便的位置,如 Windows 桌面。
- 可选:要检查数字签名的可靠性,请参阅本文后面的“数字签名”部分。
注意: 如果可以确定此工具是从安全响应中心网站下载的,则可以跳过此步骤。如果无法确定,或网络管理员需要在部署之前验证文件,请在执行步骤 4 之前按照“数字签名”部分中的步骤执行操作。
- 关闭所有正在运行的程序。
- 如果您在网络上或使用固定的 Internet 连接,请断开计算机与网络和 Internet 之间的连接。
- 如果运行的是 Windows Me 或 XP,请关闭系统还原功能。有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
- 找到刚才下载的文件。
- 双击 FxJasbom.exe 文件以启动此杀毒工具。
- 单击 Start 启动此进程,然后运行此工具。
- 重新启动计算机。
- 再次运行此杀毒工具以确保系统是干净的。
- 如果运行的是 Windows Me/XP,请重新启用系统还原功能。
- 如果您在网络上或使用固定的 Internet 连接,请将计算机与网络或 Internet 重新连接。
- 运行 LiveUpdate,确保您使用的病毒定义是最新的。
此工具运行完毕后,将会出现一条消息,表明计算机是否受到该威胁的感染。 该工具显示的结果类似于以下内容:
- 已扫描的文件总数
- 已删除的文件数
- 已修复的文件数。
- 已终止的病毒进程数
- 已修复的注册表项的个数。
此工具的功能
此杀毒工具执行下列操作:
- 终止相关的进程
- 删除相关的文件
- 删除该威胁添加的注册表值。
转换参数
以下转换参数是为网络管理员而设计的:
转换参数 |
说明 |
/HELP, /H, /? |
显示帮助消息。 |
/NOFIXREG |
禁用注册表修复功能(建议不使用此转换参数)。 |
/SILENT, /S |
启用静默模式。 |
/LOG=<path name> |
创建日志文件,其中 <path name> 是存储该工具输出内容的位置。在默认情况下,该转换参数会在执行该杀毒工具的文件夹中创建日志文件 FxJasbom.log。 |
/MAPPED |
扫描映射的网络驱动器。(建议不使用此转换参数。请参阅下面的注释)。 |
/START |
强制此工具立即开始扫描。 |
/EXCLUDE=<path> |
不扫描指定的 <path>。(建议不使用此转换参数。请参阅下面的注释)。 |
/NOFILESCAN |
防止扫描文件系统。 |
重要信息: 使用 /MAPPED 转换参数不能保证完全杀除远程计算机上的病毒,原因如下:
- 扫描映射驱动器时扫描的只是映射的文件夹。可能不包括远程计算机上的所有文件夹,这样就可能会遗漏应该能检测到的病毒。
- 如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行杀毒。
基于以上原因,您应该分别在每台计算机上运行此工具。
/EXCLUDE 转换参数只能处理一个路径,而不能处理多个路径。除此方法之外,还可以使用 /NOFILESCAN 转换参数,然后使用 AntiVirus 进行手动扫描。这将使此工具修改注册表。然后,通过 AntiVirus 使用最新的病毒定义对计算机进行扫描。执行这些操作应该能够清理文件系统。
以下是一个示例命令行,可以用来排除单个驱动器:
"C:\Documents and Settings\user1\Desktop\FxJasbom.exe" /EXCLUDE=M:\ /LOG=c:\FxJasbom.txt
或者,下面的命令行将跳过文件系统扫描,但将修复对注册表所做的修改。然后,应使用正确的排除项运行常规系统扫描:
"C:\Documents and Settings\user1\Desktop\FxJasbom.exe" /NOSCANFILE /LOG=c:\FxJasbom.txt
注意: 可以赋予该日志文件任何名称,并可将其保存到任何位置。
数字签名
出于安全考虑,此杀毒工具使用了数字签名。Symantec 建议您只使用从 Symantec 安全响应中心网站直接下载的此杀毒工具的副本。
如果不能确定,或者网络管理员需要在部署前验证文件,则需要检查数字签名的可靠性。
请执行下列操作:
- 转至 http://www.wmsoftware.com/free.htm.
- 将 Chktrust.exe 文件下载并保存到杀毒工具所在的文件夹。
注意: 大多数下列步骤都是在命令提示符下执行的。如果将杀毒工具下载到 Windows 桌面,则较简便的方法是先将此工具移至 C 驱动器的根目录下。然后将 Chktrust.exe 文件也保存到 C 驱动器的根目录下。
(步骤 3 假设杀毒工具和 Chktrust.exe 都位于 C 驱动器的根目录下。)
- 单击 “开始”>“运行”.
- 键入下列项之一:
- Windows 95/98/Me:
command
- Windows NT/2000/XP:
cmd
- 单击 “确定”.
- 在命令窗口中,键入下列内容,键入每一行后按 Enter :
cd\
cd downloads
chktrust -i FxJasbom.exe
- 您将看到下列消息之一,具体取决于您使用的操作系统:
- Windows XP SP2:
将显示 Trust Validation Utility 窗口。
在 Publisher 下,单击 Symantec Corporation 链接。 显示 Digital Signature Details。
验证以下字段的内容,以确保该工具为正版工具:
Name: Symantec Corporation
Signing Time: XXtimestamp MM/DD/YYYY HH:MM:SS AM/PM XX
- 所有其他操作系统:
您将看到下列消息:
Do you want to install and run "Trojan.Jasbom Removal Tool" signed on XXtimestampXX and distributed by Symantec Corporation?
注意:
- 以上数字签名中的日期和时间都基于太平洋时间。 它们将根据您计算机所在的时区以及“区域选项”设置进行调整。
- 如果使用的是夏令时,则显示的时间要早整整一个小时。
- 如果未出现此对话框,可能存在两个原因:
- 单击 Yes 或 Run 以关闭该对话框。
- 键入 exit,然后按 Enter. (此操作将关闭 MS-DOS 会话。)
Technorati
Facebook
Google
Digg
Delicious
Reddit
StumbleUpon
Yahoo
Faves
Newsvine