Trojan.Vundo Removal Tool

 

下載殺毒工具 | 打印機友好頁面

發現日期:2004 年 11 月 20 日
更新: 2007 年 2 月 13 日 11:35:51 AM
類型: 刪除信息

此工具設計用於殺除 Trojan.Vundo 的感染。

要點:

  • 如果您在網絡上或使用固定的 Internet 連接,如 DSL 或電纜調製解調器,請斷開計算機與網絡和 Internet 之間的連接。在計算機與網絡或 Internet 重新連接之前,請禁用或用密碼保護文件共享,或將共享文件設為「只讀」。因為此蠕蟲是通過網絡計算機上的共享文件夾進行傳播的,為確保此蠕蟲被殺除後不會再次感染計算機,Symantec 建議用只讀訪問或密碼保護進行文件共享。

    有關如何執行此操作的指導,請參閱 Windows 文檔或文檔: 如何配置共享 Windows 文件夾盡可能的保護網絡

  • 如果要從網絡中殺除感染,首先請確保已將所有共享文件都禁用或設為「只讀」。
  • 此工具不能在 Novell NetWare 服務器上運行。要從 NetWare 服務器上殺除此威脅,首先請確保擁有當前病毒定義,然後使用 Symantec 防病毒產品運行完整的系統掃瞄。

如何下載和運行此工具

要點: 在 Windows NT 4.0、Windows 2000 或 Windows XP 上,必須具有管理權限才能運行此工具。

網絡管理員請注意:如果正在運行 MS Exchange 2000 Server,建議您從命令行使用 Exclude 轉換參數運行該工具,從而排除對 M 驅動器的掃瞄。有關詳細信息,請參閱 Microsoft 知識庫文章:XADM:不要備份或掃瞄 Exchange 2000 驅動器 M(文章 298924)。

按照以下步驟下載並運行此工具:

  1. 從以下位置下載 FixVundo.exe 文件: http://securityresponse.symantec.com/avcenter/ FixVundo.exe
  2. 將該文件保存至方便的位置,如 Windows 桌面。
  3. 可選:要檢查數字簽名的可靠性,請參閱本文後面的「數字簽名」部分。

    注意: 如果可以確定此工具是從安全響應中心網站下載的,則可以跳過此步驟。如果無法確定,或網絡管理員需要在部署之前驗證文件,請在執行步驟 4 之前按照「數字簽名」部分中的步驟執行操作。

  4. 關閉所有正在運行的程序。
  5. 如果您在網絡上或使用固定的 Internet 連接,請斷開計算機與網絡和 Internet 之間的連接。
  6. 如果運行的是 Windows Me 或 XP,請關閉系統還原功能。有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
  7. 找到剛剛下載的文件。
  8. 雙擊 FixVundo.exe 文件啟動此殺毒工具。
  9. 單擊 Start 啟動此進程,然後運行此工具。
  10. 重新啟動計算機。
  11. 再次運行此殺毒工具以確保系統是乾淨的。
  12. 如果運行的是 Windows Me/XP,請重新啟用系統還原功能。
  13. 如果您在網絡上或使用固定的 Internet 連接,請將計算機與網絡或 Internet 重新連接。
  14. 運行 LiveUpdate,確保您使用的病毒定義是最新的。

此工具運行完畢後,將會出現一條消息,表明計算機是否受到 Trojan.Vundo 的感染。該工具顯示的結果類似於以下內容:

  • 已掃瞄的文件總數
  • 已刪除的文件數
  • 已修復的文件數
  • 已終止的病毒進程數
  • 已修復的註冊表項個數

此工具的功能

Trojan.Vundo 殺毒工具具有下列功能:

  1. 終止 Trojan.Vundo 進程
  2. 刪除 Trojan.Vundo 文件
  3. 刪除 Trojan 添加的註冊表值

轉換參數

以下轉換參數是為網絡管理員而設計的:

轉換參數
說明
/HELP、/H、/? 顯示幫助消息。
/NOFIXREG 禁用註冊表修復功能(建議不使用此轉換參數)。
/SILENT、/S 啟用靜默模式。
/LOG=<path name> 創建日誌文件,其中 <path name> 是存儲工具輸出文件的位置。默認情況下,此轉換參數會在執行該殺毒工具的文件夾中創建日誌文件 FixVundo.log。
/MAPPED 掃瞄映射的網絡驅動器。(建議不使用此轉換參數。請參閱下面的註釋。)
/START 強制此工具立即啟動掃瞄。
/EXCLUDE=<path> 不掃瞄指定的 <path>。(建議不使用此轉換參數。請參閱下面的註釋。)
/NOFILESCAN 防止掃瞄文件系統。

要點: 使用 /MAPPED 轉換參數不能保證完全殺除遠程計算機上的病毒,原因如下:

    • 掃瞄映射驅動器時只掃瞄映射的文件夾。可能不包括遠程計算機上的所有文件夾,這樣就可能會遺漏應該能檢測到的病毒。
    • 如果在映射驅動器上檢測到病毒文件,而遠程計算機上的某個程序正在使用該文件,則無法進行殺毒。


基於以上原因,您應該分別在每台計算機上運行此工具。

/EXCLUDE 轉換參數只能處理一個路徑,而不能處理多個路徑。除此方法之外,還可以使用 /NOFILESCAN 轉換參數,然後使用 AntiVirus 進行手動掃瞄。這將使此工具修改註冊表。然後,通過 AntiVirus 使用最新的病毒定義對計算機進行掃瞄。執行這些操作應該能夠清理文件系統。

以下是一個示例命令行,可以用來排除單個驅動器:

"C:Documents and Settingsuser1Desktop FixVundo.exe " /EXCLUDE=M: /LOG=c:Vundo.txt

或者,下面的命令行將跳過文件系統掃瞄,但將修復對註冊表所做的修改。然後,應使用正確的排除項運行常規系統掃瞄:

"C:Documents and Settingsuser1Desktop FixVundo.exe " /NOSCANFILE /LOG=c:Vundo.txt

注意:可以賦予該日誌文件任何名稱,並可將其保存到任何位置。


數字簽名

出於安全考慮,
FixVundo.exe 使用了數字簽名。Symantec 建議您只使用從 Symantec 安全響應中心網站直接下載的 FixVundo.exe 的副本。

如果不能確定,或者網絡管理員需要在部署前驗證文件,則需要檢查數字簽名的可靠性。

請執行下列操作:

  1. 轉至 http://www.wmsoftware.com/free.htm
  2. 將 Chktrust.exe 文件下載並保存到 FixVundo.exe 所在的文件夾中。

    注意: 大多數下列步驟都是在命令提示符下執行的。如果將殺毒工具下載到 Windows 桌面,則較簡便的方法是先將此工具移至 C 驅動器的根目錄下。然後將 Chktrust.exe 文件也保存到 C 驅動器的根目錄下。

    (步驟 3 假設殺毒工具和 Chktrust.exe 都位於 C 驅動器的根目錄下。)

  3. 單擊「開始」>「運行」。
  4. 鍵入下列項之一:
    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. 單擊「確定」
  6. 在命令窗口中,鍵入下列內容,鍵入每一行後按 Enter 鍵:

    cd
    cd downloads
    chktrust -i
    FixVundo.exe

    您應該看到以下消息:

    Do you want to install and run " Trojan.Vundo Removal Tool " signed on 01/14/2003 9:45 AM and distributed by Symantec Corporation?

    注意

    • 如果您的計算機沒有設置為太平洋時區,顯示在此對話框中的日期和時間要根據您所在的時區進行調整。
    • 如果使用的是夏令時,顯示的時間要早整整一個小時。
    • 如果未出現此對話框,可能存在兩個原因:
      • 此工具不是由 Symantec 提供的:除非確定此工具是從合法 Symantec 網站下載的合法工具,否則不要運行它。
      • 此工具是由 Symantec 提供的合法工具:但是,您的操作系統以前被設置為始終信任來自 Symantec 的內容。有關此問題以及如何再次查看確認對話框的信息,請參閱文檔: 如何還原「發行商可靠性」確認對話框

  7. 單擊 Yes 關閉此對話框。
  8. 鍵入 exit,然後按 Enter 鍵。(此操作將關閉 MS-DOS 會話。)

This entry was posted in 未分類. Bookmark the permalink.

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s