W32.Kiman Removal Tool

此工具是針對移除下列感染源而設計： W32.Kiman.A.

重要：

• 如果您的電腦位於網路上，或者是與 Internet 保持連線 (例如 DSL 或纜線數據機)，請先中斷與網路及/或 Internet 的連線。在將電腦重新連線到網路或 Internet 之前，請先將檔案共享停用或設定密碼保護，或設定共享檔案為「唯讀」。因為這隻病蟲利用網路電腦中的共用資料夾散播，所以若要確保電腦移除此病蟲之後不會再中毒，賽門鐵克建議共用時採取「唯讀」存取，或使用密碼保護。
  
  有關如何進行這項步驟的指示，請參閱您的 Windows 說明文件，或「 如何設定共用的 Windows 資料夾以提供最佳的網路防護」文件。
  
• 如果您正在網路上清除受感染檔案，請先確定共用資料夾已停用或設定成「唯讀」。
• 本工具並非針 Novell NetWare 伺服器所設計。若要從 NetWare 伺服器移除此威脅，請先確認您有最新的病毒定義檔，然後再使用賽門鐵克防毒產品對系統進行完整掃描。

1. 如何下載並執行工具

重要： 在 Windows NT 4.0、Windows 2000 或 Windows XP 上，您必須要有管理員權限才可以執行此工具。

請網路管理員注意：如果您執行的是 MS Exchange 2000 Server，我們建議您從指令行執行此工具配合「排除」(Exclude) 參數以排除掃描磁碟機 M。 如需詳細資訊，請參閱 Microsoft 知識庫文章「XADM： 不要備份或掃描 Exchange 2000 磁碟機 M」 (文章 298924)。

請遵循下列步驟來下載及執行工具：

1. 從下列網站下載 FxKiman.exe 檔案：http://securityresponse.symantec.com/avcenter/FixKiman.exe
2. 將檔案儲存到便於存取的位置，例如 Windows 桌面。
3. 選擇性作法：若要檢查數位簽章的真偽，請參考本文稍後的「數位簽章」一節。
   
   注意：如果您確定您正從「賽門鐵克安全機制應變中心」網站下載此工具，您可以省略此步驟。如果您不確定、或是需有網路管理員才能在部署前先認證檔案，請在進行到第 4 步驟前，遵循「數位簽章」一節中所述的步驟。
   
4. 關閉所有正在執行的程式。
5. 如果您的電腦位於網路上，或者是與 Internet 保持連線，請先中斷連線。
6. 如果您使用的是 Windows Me 或 Windows XP，請關閉「系統還原」。有關如何關閉「系統還原」的說明，請閱讀您的 Windows 文件，或下列文章：
   • 如何關閉或啟用 Windows Me「系統還原」
   • 如何關閉或啟用 Windows XP「系統還原」
7. 找出您剛下載的檔案。
8. 在 FxKiman.exe 檔上連按兩下滑鼠，啟動移除工具。
9. 按下「開始」啟動程序，並允許工具執行。
10. 重新啟動電腦。
11. 再次執行移除工具，確保系統已清除乾淨。
12. 如果您執行的是 Windows Me/XP，請重新啟用「系統還原」。
13. 如果您的電腦位於網路上，或者是與 Internet 保持連線，請重新開啟網路或 Internet 連線。
14. 執行 LiveUpdate 確保您使用最新版的病毒定義檔。

當工具完成執行時，您會看到一項訊息，指出電腦是否已感染 W32.Bropia。工具會顯示類似下列的結果：

• 檔案掃描總數
• 刪除的檔案數
• 修復的檔案數
• 終止的病毒程序數
• 修復的登錄項目數

移除工具的功能

「W32.Bropia 移除工具」會執行下列作業：

1. 終止 W32.Bropia 程序
2. 刪除 W32.Bropia 檔案
3. 刪除 W32.Bropia 加入的登錄值

參數

下列參數設計來提供給網路管理員使用：

參數	說明
/HELP, /H, /?	顯示說明訊息。
/NOFIXREG	關閉登錄修復功能 (我們不建議您使用這個參數)。
/SILENT, /S	啟用無訊息模式。
/LOG=<path name>	建立日誌檔，其中 <path name> 是儲存工具輸出的位置。根據預設，這個參數會在執行移除工具的同一個資料夾內建立日誌檔 FxBropia.log。
/MAPPED	掃描對應的網路磁碟機。(我們不建議您使用這個參數。請參閱「注意」)。
/START	指示工具立即開始掃描。
/EXCLUDE=<path>	不掃描特定的 <path>。(我們不建議您使用這個參數。請參閱「注意」)。
/NOFILESCAN	防止檔案系統被掃描。

重要： /MAPPED 參數的使用並不能確保完全移除遠端電腦中的病毒，原因如下：

• 掃描對應的磁碟就只會掃描對應的資料夾。這可能無法包含遠端電腦上的所有資料夾，且可能造成偵測不完整。
• 如果偵測到對應磁碟上有病毒檔案，且遠端電腦的程式正在使用該檔案，則您無法移除該檔案。

基於上述理由，您應該在每台電腦上分別執行移除工具。

/EXCLUDE 參數只能用在一個，而非多個路徑上。您可以使用 /NOFILESCAN 參數加上 AntiVirus 的手動掃描來克服這個問題。這樣將能夠讓工具變更登錄。然後，使用防毒程式目前最新的病毒定義檔來掃描電腦。當您完成這些步驟之後，應該就已經將系統整個清理乾淨了。

下列的指令行範例可供您排除某個磁碟：

"C:\Documents and Settings\user1\Desktop\FxKiman.exe" /EXCLUDE=M:\ /LOG=c:\FxKiman.txt

下列的指令行將會略過檔案系統的掃描動作，但是可以修復對登錄的修改。接著以適當的排除項目來做正常的系統掃描：

"C:\Documents and Settings\user1\Desktop\FxKiman.exe" /NOFILESCAN /LOG=c:\FxKiman.txt

注意：您可以任意命名日誌檔，並將它儲存在任何位置。


數位簽章
為安全起見，移除工具需要數位簽章。賽門鐵克建議您只使用直接從「賽門鐵克安全機制應變中心」網站下載的 移除工具。

如果您不確定，或在部署前需要網路管理員認證檔案，您應該檢查數位簽章的真偽。

請遵循下列步驟：

1. 前往 http://www.wmsoftware.com/free.htm。
2. 下載 Chktrust.exe 檔案，並和 FxBropia.exe 儲存在同一個資料夾。
   
   注意：下列的大部份步驟需在指令提示中完成。若您將移除工具下載到 Windows 桌面上，先將它移到 C 磁碟機的根目錄中會比較方便。然後請將 Chktrust.exe 檔案也儲存到 C 磁碟機的根目錄。
   
   (第 3 個步驟是為了確認移除工具與 Chktrust.exe 都在 C 磁碟機的根目錄下)。
   
3. 按下「開始」>「執行」。
4. 輸入以下指令之一：
   • Windows 95/98/Me：
     
     command
     
     
   • Windows NT/2000/XP：
     
     cmd
     
     
5. 按下「確定」。
6. 在指令視窗中輸入下列字串，並在輸入每一行後按 Enter：
   
   cd\
   cd downloads
   chktrust -i FxKiman.exe
   
   您應該會看到下列訊息：
   
   您要安裝並執行由賽門鐵克公司於   2006 年 2 月 2 日早上 09:58 所簽署發行的 " W32.Kiman.A 移除工具 " 嗎？
   
   注意
   • 如果您的電腦不是設定為太平洋時區，則此對話方塊中的日期和時間會隨您的時區而調整。
   • 如果您使用「日光節約時間」，則顯示的時間會剛好早一個鐘頭。
   • 如果沒有出現這個對話方塊，問題可能來自兩個地方：
     • 您使用的工具不是由賽門鐵克所提供：除非您確定使用的工具是從合法的賽門鐵克網站所下載的，否則請勿執行它。
     • 您可以在賽門鐵克的網站上找到這個工具，而且完全合法：然而，您的作業系統已經過設定接受所有來自賽門鐵克的內容。如需與此相關的資訊，並瞭解如何再次檢視確認對話方塊，請參閱「如何還原 Publisher Authenticity 確認對話方塊」。
       
       
7. 按下「是」關閉對話方塊。
8. 輸入 Exit，然後按下 Enter 鍵。 (這會關閉 MS-DOS 階段作業)。