已偵測: 4 月 13, 2005
已更新: 2 月 13, 2007 11:35:57 AM
類型: 刪除信息
此工具是設計用以移除 W32.Mytob.AR@mm 所造成的感染。
重要:
- 如果您的電腦位於網路上,或者是與 Internet 保持連線 (例如 DSL 或纜線數據機),請先中斷與網路及 Internet 的連線。在將電腦重新連線到網路或 Internet 之前,請先將檔案共享停用或設定密碼保護,或設定共享檔案為「唯讀」。因為這隻病蟲會利用網路電腦中的共用資料夾散播,所以若要確保電腦移除此病蟲之後不會再中毒,賽門鐵克建議共用時採取「唯讀」存取,或使用密碼保護。
如需操作步驟,請參閱您的 Windows 說明,或位於下列位置的文件:「 如何設定共用的 Windows 資料夾以提供最佳的網路防護」。
- 如果您正在網路上清除受感染檔案,請先確定共用資料夾已停用或設定成「唯讀」。
- 本工具並非針對 Novell NetWare 伺服器所設計。若要從 NetWare 伺服器移除此威脅,請先確認您有最新的病毒定義檔,然後再使用賽門鐵克防毒產品對系統進行完整掃描。
如何下載並執行工具
重要: 在 Windows NT 4.0、Windows 2000 或 Windows XP 上,您必須要有管理員權限才可以執行此工具。
請網路管理員注意:如果您執行的是 MS Exchange 2000 Server,我們建議您從指令行執行此工具配合「排除」(Exclude) 參數以排除掃描磁碟機 M。如需詳細資訊,請參閱 Microsoft 知識庫文章:「XADM: 不要備份或掃描 Exchange 2000 磁碟機 M」(文章 298924)。
請遵循下列步驟來下載及執行工具:
- 從下列網站下載 fxmytbar.exe 檔案:http://securityresponse.symantec.com/avcenter/fxmytbar.exe
- 將檔案儲存在方便的位置,例如您的 Windows 桌面。
- 選擇性做法:若要檢查數位簽章的真偽,請參考本文稍後的「數位簽章」一節。
注意:如果您確定您正從「賽門鐵克安全機制應變中心」網站下載此工具,您可以省略此步驟。如果您不確定、或是需有網路管理員才能在部署前先認證檔案,請在進行到第 4 步驟前,遵循「數位簽章」一節中所述的步驟。
- 關閉所有正在執行的程式。
- 如果您的電腦位於網路上,或者是與 Internet 保持連線,請先中斷連線。
- 如果您使用的是 Windows Me 或 Windows XP,請關閉「系統還原」。有關如何關閉「系統還原」的說明,請閱讀您的 Windows 文件,或下列文章:
- 找到您剛才下載的檔案。
- 在 fxmytbar.exe 檔上按兩下滑鼠,啟動移除工具。
- 按下「開始」啟動程序,並允許工具執行。
- 重新啟動電腦。
- 再次執行移除工具,確保系統已清除乾淨。
- 如果您是執行 Windows Me/XP,請重新啟動「系統還原」。
- 如果您的電腦位於網路上,或者是與 Internet 保持連線,請重新開啟網路或 Internet 連線。
- 執行 LiveUpdate 確保您使用最新版的病毒定義檔。
當工具完成執行時,您會看到一項訊息,指出電腦是否已感染 W32.Mytob.AR@mm。工具會顯示類似下列的結果:
- 檔案掃描總數
- 刪除的檔案數
- 修復的檔案數
- 終止的病毒程序數
- 修復的登錄項目數
移除工具的功能
「移除工具」會執行下列作業:
- 終止 W32.Mytob.AR@mm 程序
- 刪除 W32.Mytob.AR@mm 檔案
- 刪除此病蟲所加入的登錄值
- 修復 Hosts 檔案
參數
下列參數設計來提供給網路管理員使用:
參數 |
說明 |
/HELP、/H、/? |
顯示說明訊息。 |
/NOFIXREG |
關閉登錄修復功能 (我們不建議您使用這個參數)。 |
/SILENT、/S |
啟用無回應模式。 |
/LOG=<path name> |
建立日誌檔,其中 <path name> 是儲存工具輸出的位置。根據預設,這個參數會在執行移除工具的同一個資料夾內建立日誌檔 FxMytbAR.log。 |
/MAPPED |
掃描對應的網路磁碟(我們不建議您使用這個參數。請參閱「注意」)。 |
/START |
指示工具立即開始掃描。 |
/EXCLUDE=<path> |
掃描時略過指定的 <path>(我們不建議您使用這個參數。請參閱「注意」)。 |
/NOFILESCAN |
防止檔案系統被掃描。 |
重要: /MAPPED 參數的使用並不能確保完全移除遠端電腦中的病毒,原因如下:
- 掃描對應的磁碟就只會掃描對應的資料夾。這可能無法包含遠端電腦上的所有資料夾,且可能造成偵測不完整。
- 如果偵測到對應磁碟上有病毒檔案,且遠端電腦的程式正在使用該檔案,則您無法移除該檔案。
基於上述理由,您應該在每台電腦上分別執行移除工具。
/EXCLUDE 參數只能用在一個,而非多個路徑上。您可以使用 /NOFILESCAN 參數加上 AntiVirus 的手動掃描來克服這個問題。這樣將能夠讓工具變更登錄。然後,使用防毒程式目前最新的病毒定義檔來掃描電腦。當您完成這些步驟之後,應該就已經將系統整個清理乾淨了。
下列的指令行範例可供您排除某個磁碟:
"C:\Documents and Settings\user1\Desktop\ fxmytbar.exe " /EXCLUDE=M:\ /LOG=c:\ fxmytbar .txt
下列的指令行將會略過檔案系統的掃描動作,但是可以修復對登錄的修改。接下來應該以適當的排除項目來做定期的系統掃描:
"C:\Documents and Settings\user1\Desktop\ fxmytbar.exe " /NOSCANFILE /LOG=c:\ fxmytbar.txt
注意:您可以任意命名日誌檔,並將它儲存在任何位置。
數位簽章
基於安全理由,移除工具使用數位簽章。賽門鐵克建議您只使用直接從「賽門鐵克安全機制應變中心」網站下載的移除工具。
如果您不確定,或在部署前需要網路管理員認證檔案,您應該檢查數位簽章的真偽。
請遵循下列步驟:
- 前往 http://www.wmsoftware.com/free.htm。
- 下載 Chktrust.exe 檔案並儲存在您儲存移除工具的相同資料夾內。
注意:下列的大部份步驟需在指令提示中完成。若您將移除工具下載到 Windows 桌面上,先將它移到 C 磁碟機的根目錄中會比較方便。然後請將 Chktrust.exe 檔案也儲存到 C 磁碟機的根目錄。
(第 3 個步驟是為了確認移除工具與 Chktrust.exe 都在 C 磁碟機的根目錄下)。
- 按下「開始」>「執行」。
- 輸入以下指令之一:
- Windows 95/98/Me:
command
- Windows NT/2000/XP:
cmd
- 按下「確定」。
- 在指令列輸入下列字串,並在輸入每一行後按 Enter:
cd\
cd downloads
chktrust -i fxmytbar.exe
- 依您的作業系統不同,您會看到下列訊息其中之一:
- Windows XP SP2:
Trust Validation Utility 視窗會出現。
在 Publisher 下,按一下 Symantec Corporation 連結。接著 Digital Signature Details 會出現。
請確認下列欄位內容,以確保工具的真偽:
名稱: 賽門鐵克公司
簽章時間: 04/13/2005 01:51:31 AM
- 所有其它作業系統
您應該會看到下列訊息:
您要安裝並執行由賽門鐵克公司於 2005 年 4 月 13 日 上午 01:51:31 所簽署發行的 " W32.Mytob.AR@mm Removal Tool " 嗎?
注意:
- 上述數位簽章的日期和時間是指太平洋時間。它們會因您的電腦時區和「地區選項」設定而有所不同。
- 如果您使用「日光節約時間」,則顯示的時間會剛好早一個鐘頭。
- 如果沒有出現這個對話方塊,問題可能來自兩個地方:
- 您使用的工具不是由賽門鐵克所提供:除非您確定使用的工具是從合法的賽門鐵克網站所下載的,否則請勿執行它。
- 您可以在賽門鐵克的網站上找到這個工具,而且完全合法:然而,您的作業系統已經過設定接受所有來自賽門鐵克的內容。如需相關資訊,以及如何再次檢視確認對話方塊的詳細資訊,請參閱下列文件:「如何還原 Publisher Authenticity 確認對話方塊」。
- 按下「是」或「執行」關閉對話方塊。
- 輸入 Exit,然後按下 Enter 鍵(這會關閉 MS-DOS 視窗)。
StumbleUpon
Hemidemi
Google
MyShare
YouPush
Yahoo
Twitter
Digg
Delicious
Newsvine