|||||
Symantec.com > 諾頓 > 病毒與風險 > W32.Reatle@mm Removal Tool
PRINT THIS PAGE

W32.Reatle@mm Removal Tool

下載移除工具 | 友善列印頁面

已偵測: 7 月 19, 2005
已更新: 2 月 13, 2007 11:36:01 AM
類型: 刪除信息




此工具是設計用以移除 W32.Reatle.C@mm 所造成的感染。

重要:
  • 如果您的電腦位於網路上,或者是與 Internet 保持連線 (例如 DSL 或纜線數據機),請先中斷與網路及 Internet 的連線。在將電腦重新連線到網路或 Internet 之前,請先將檔案共享停用或設定密碼保護,或設定共享檔案為「唯讀」。因為這隻病蟲會利用網路電腦中的共用資料夾散播,所以若要確保電腦移除此病蟲之後不會再中毒,賽門鐵克建議共用時採取「唯讀」存取,或使用密碼保護。

    如需操作步驟,請參閱您的 Windows 說明,或位於下列位置的文件:     如何設定共用的 Windows 資料夾以提供最佳的網路防護
  • 如果您正在網路上清除受感染檔案,請先確定共用資料夾已停用或設定成「唯讀」。
  • 本工具並非針對 Novell NetWare 伺服器所設計。若要從 NetWare 伺服器移除此威脅,請先確認您有最新的病毒定義檔,然後再使用賽門鐵克防毒產品對系統進行完整掃描。


如何下載並執行工具

 重要: 在 Windows NT 4.0、Windows 2000 或 Windows XP 上,您必須要有管理員權限才可以執行此工具。

請網路管理員注意:如果您執行的是 MS Exchange 2000 Server,我們建議您從指令行執行此工具配合「排除」(Exclude) 參數以排除掃描磁碟機 M。如需詳細資訊,請參閱 Microsoft 知識庫文章:XADM: 不要備份或掃描 Exchange 2000 磁碟機 M」(文章 298924)。

請遵循下列步驟來下載及執行工具:
  1. 從下列位址下載 FixReatle.exe 檔案:http://securityresponse.symantec.com/avcenter/FixReatle.exe。
  2. 將檔案儲存在方便的位置,例如您的 Windows 桌面。
  3. 選擇性做法:若要檢查數位簽章的真偽,請參考本文稍後的「數位簽章」一節。

    注意:如果您確定您正從「賽門鐵克安全機制應變中心」網站下載此工具,您可以省略此步驟。如果您不確定、或是需有網路管理員才能在部署前先認證檔案,請在進行到第 4 步驟前,遵循「數位簽章」一節中所述的步驟。
  4. 關閉所有正在執行的程式。
  5. 如果您的電腦位於網路上,或者是與 Internet 保持連線,請先中斷連線。
  6. 如果您使用的是 Windows Me 或 Windows XP,請關閉「系統還原」。有關如何關閉「系統還原」的說明,請閱讀您的 Windows 文件,或下列文章:
  7. 找到您剛才下載的檔案。
  8. FixReatle.exe 檔上按兩下滑鼠,啟動移除工具。
  9. 按下「開始」啟動程序,並允許工具執行。
  10. 重新啟動電腦。
  11. 再次執行移除工具,確保系統已清除乾淨。
  12. 如果您是執行 Windows Me/XP,請重新啟動「系統還原」。
  13. 如果您的電腦位於網路上,或者是與 Internet 保持連線,請重新開啟網路或 Internet 連線。
  14. 執行 LiveUpdate 確保您使用最新版的病毒定義檔。

當工具完成執行時,您會看到一項訊息,指出電腦是否已感染威脅。工具會顯示類似下列的結果:
  • 檔案掃描總數
  • 刪除的檔案數
  • 修復的檔案數
  • 終止的病毒程序數
  • 修復的登錄項目數

移除工具的功能

「移除工具」會執行下列作業:
  1. 終止相關程序
  2. 刪除相關檔案
  3. 刪除此威脅所加入的登錄值


參數

下列參數設計來提供給網路管理員使用:

參數

說明

/HELP、/H、/?
顯示說明訊息。

/NOFIXREG
關閉登錄修復功能 (我們不建議您使用這個參數)。

/SILENT、/S
啟用無回應模式。

/LOG=[PATH NAME]>
建立日誌檔,其中 [PATH NAME] 是儲存工具輸出的位置。根據預設,這個參數會在執行移除工具的同一個資料夾內建立日誌檔 FixReatle.log。

/MAPPED
掃描對應的網路磁碟(我們不建議您使用這個參數。請參閱「注意」)。

/START
指示工具立即開始掃描。

/EXCLUDE=[PATH]
掃描時略過指定的 [PATH](我們不建議您使用這個參數。請參閱「注意」)。

/NOFILESCAN
防止檔案系統被掃描。


重要: /MAPPED 參數的使用並不能確保完全移除遠端電腦中的病毒,原因如下:
    • 掃描對應的磁碟就只會掃描對應的資料夾。這可能無法包含遠端電腦上的所有資料夾,且可能造成偵測不完整。
    • 如果偵測到對應磁碟上有病毒檔案,且遠端電腦的程式正在使用該檔案,則您無法移除該檔案。

基於上述理由,您應該在每台電腦上分別執行移除工具。

/EXCLUDE 參數只能用在一個,而非多個路徑上。您可以使用 /NOFILESCAN 參數加上 AntiVirus 的手動掃描來克服這個問題。這樣將能夠讓工具變更登錄。然後,使用防毒程式目前最新的病毒定義檔來掃描電腦。當您完成這些步驟之後,應該就已經將系統整個清理乾淨了。

下列的指令行範例可供您排除某個磁碟:

"C:\Documents and Settings\user1\Desktop\FixReatle.exe" /EXCLUDE=M:\ /LOG=c:\FixReatle.txt

下列的指令行將會略過檔案系統的掃描動作,但是可以修復對登錄的修改。接下來應該以適當的排除項目來做定期的系統掃描:

"C:\Documents and Settings\user1\Desktop\FixReatle.exe" /NOSCANFILE /LOG=c:\FixReatle.txt

注意:您可以任意命名日誌檔,並將它儲存在任何位置。



數位簽章
基於安全理由,移除工具使用數位簽章。賽門鐵克建議您只使用直接從「賽門鐵克安全機制應變中心」網站下載的移除工具。

如果您不確定,或在部署前需要網路管理員認證檔案,您應該檢查數位簽章的真偽。

請遵循下列步驟:
  1. 前往 http://www.wmsoftware.com/free.htm
  2. 下載 Chktrust.exe 檔案並儲存在您儲存移除工具的相同資料夾內。

    注意:下列的大部份步驟需在指令提示中完成。若您將移除工具下載到 Windows 桌面上,先將它移到 C 磁碟機的根目錄中會比較方便。然後請將 Chktrust.exe 檔案也儲存到 C 磁碟機的根目錄

    (第 3 個步驟是為了確認移除工具與 Chktrust.exe 都在 C 磁碟機的根目錄下)。
  3. 按下「開始」>「執行」
  4. 輸入以下指令之一:
    • Windows 95/98/Me:

      command
    • Windows NT/2000/XP:

      cmd

  5. 按下「確定」
  6. 在指令視窗中輸入下列字串,並在輸入每一行後按 Enter

    cd\
    cd downloads
    chktrust -i FixReatle.exe
  7. 依您的作業系統不同,您會看到下列訊息其中之一:
    • Windows XP SP2:
      Trust Validation Utility 視窗會出現。

      在 Publisher 下,按一下 Symantec Corporation 連結。接著 Digital Signature Details 會出現。
      請確認下列欄位內容,以確保工具的真偽:

      名稱: 賽門鐵克公司
      簽章時間: Tuesday, July 19, 2005 12:16:30 PM
    • 所有其它作業系統
      您應該會看到下列訊息:

      您要安裝並執行由賽門鐵克公司於 2005 年 7 月 19 日下午 12:16 所簽署發行的「W32.Reatle 移除工具」嗎?

      注意:
    • 上述數位簽章的日期和時間是指太平洋時間。它們會因您的電腦時區和「地區選項」設定而有所不同。
    • 如果您使用「日光節約時間」,則顯示的時間會剛好早一個鐘頭。
    • 如果沒有出現這個對話方塊,問題可能來自兩個地方:
      • 您使用的工具不是由賽門鐵克所提供:除非您確定使用的工具是從合法的賽門鐵克網站所下載的,否則請勿執行它。
      • 您可以在賽門鐵克的網站上找到這個工具,而且完全合法:然而,您的作業系統先前已收到指示,永遠信任來自賽門鐵克的內容。如需相關資訊,以及如何再次檢視確認對話方塊的詳細資訊,請參閱下列文件:「如何還原 Publisher Authenticity 確認對話方塊」。

  8. 按下「是」「執行」關閉對話方塊。
  9. 輸入 exit,然後按下 Enter 鍵(這會關閉 MS-DOS 視窗)。


由威脅所修改的登錄項目

下列是可能由此威脅所修改的登錄子鍵清單,且未經「W32.Reatle@mm 移除工具」重新設定:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\EnableFirewall
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify

威脅對上述登錄項目造成的變更可能會停用「系統還原」與「Windows 安全中心」的功能。 若要重新啟用此功能,請完成下列步驟:


1. 還原「Windows 安全中心」
這個風險會嘗試停用 Windows XP Service Pack 2 中的「Windows 安全中心」功能。如果您執行的是 Windows XP Service Pack 2,且想要還原「Windows 安全中心」的完整功能,請完成下列步驟:

重要:如果您的電腦有連接到網域,您可能無法調整這些設定。 若是如此,請聯絡您的網路管理員以取得詳細資訊。
    1. 按下「開始」>「控制台」。
    2. 連按兩下「安全中心」
    3. 在右窗格中,按下「Windows 防火牆」。 「Windows 防火牆」便會出現。
    4. 選取「開啟」。
    5. 按下「確定」關閉「Windows 防火牆」。
    6. 在「安全中心」左窗格中,選取「變更安全中心警示我的方式」。
    7. 按下「警示設定」。
    8. 選取「警示設定」、「防火牆」「病毒防護」。
    9. 按下「確定」
    10. 按下「自動更新」。
    11. 選取「自動」。
    12. 按下「確定」
    13. 關閉「安全中心」。
2. 重新啟用「系統還原」
有關如何關閉「系統還原」的說明,請閱讀您的 Windows 文件,或下列文章:

©1995 - 2009 Symantec Corporation
網站導覽|
法律聲明|
隱私權政策|
|
聯絡賽門鐵克|
全球網站|
授權合約