信息来源:
http://support.microsoft.com/default.aspx?kbid=311446
察看这篇文章对应的产品
文章 ID : 311446
最后更新日期 : 2002年10月2日
版本 : 1.0
本文的发布号曾为 CHS311446
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要备份注册表,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,查看 Microsoft 知识库中的文章:
256986 Description of the Microsoft Windows Registry(Microsoft Windows 注册表说明)
本页内容
症状
原因
解决方案
更多信息
如何设法阻止病毒运行
有关如何杀死 W32/Sircam 病毒的其他信息
W32.Sircam.Worm@mm 杀毒工具的可用性
这篇文章中的信息适用于:
症状
如果您在安装过程中单击获得更新的安装程序文件对话框中的"是,下载更新的安装程序文件(推荐)",可能会在升级报告中收到下面的信息:
Setup found some blocking issues.You must address these issues before you can continue upgrading you computer.For more information, click Full Report.
Bad System Configuration
单击完整报告时,将报告下面的内容:
Setup detected an invalid system configuration, which is usually caused by a virus.Go to KB Article Q311446 and follow the instructions there.
如果您在安装过程中单击获得更新的升级文件对话框中的"否,跳过这一步继续安装 Windows",可能会遇到以下任一故障现象:• 如果您试图启动一个程序(.exe 文件),此程序可能不会启动,并且您可能会收到以下任一错误信息:
The specific path does not exist.Check the path and try again.
-或-
Windows cannot find 'program_file'.Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.
备注:如果收到"Path to program_name is not a valid Windows application"错误信息或者错误信息中提到 Files32.vxd 文件,请参阅下面的 Microsoft 知识库文章:
310585 You Are Unable to Start a Program with an .exe File Extension(无法启动带 .exe 文件扩展名的程序)
• :如果收到"Path to 另外,如果升级计算机,可能会收到如下信息:
Windows cannot find C:\ Filename
其中 Filename 是信息中提到的完整路径和具体文件。
在这种情况下,当您启动注册表编辑器时,可能会收到下面的错误信息:
Windows cannot find C:\Windows\Regedit.exe
返回页首
原因
W32.Sircam.Worm@mm 蠕虫病毒可能导致此问题。W32/Sircam 病毒通过电子邮件或不受保护的网络文件共享传播,它会泄露或删除计算机上的信息。 要验证计算机是否感染了这种病毒:1. 重新启动计算机,在"Windows XP Startup"(Windows XP 启动)菜单上按 F8 键,然后选择"Safe Mode with Command Prompt"(带命令提示的安全模式)。
2. 在命令提示处,键入 regedit,然后按 ENTER 键。
3. 如果注册表项
HKEY_CLASSES_ROOT\exefile\shell\open\command
设置为
C:\recycled\sirc32.exe "%1" %*
说明计算机感染了 W32/SirCam 蠕虫病毒。
备注:如果此注册表设置是
"%1" %*
以外的内容,说明计算机可能感染了其他病毒。
返回页首
解决方案
Microsoft 没有提供能够发现或杀死计算机病毒的软件。如果怀疑或证实计算机感染了病毒,则获取最新的防病毒软件。有关防病毒软件制造商的列表,请单击下面的文章编号,查看 Microsoft 知识库中的文章:
49500 List of Antivirus Software Vendors(防病毒软件供应商列表)
返回页首
更多信息
警告:"注册表编辑器"使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为"注册表编辑器"使用不当而产生的问题。使用"注册表编辑器"需要您自担风险。
如何设法阻止病毒运行
重要说明:下面的过程只能阻止病毒运行,使您能够运行更新的防病毒程序或 W32/Sircan 杀毒工具。当解决此问题的时候,请从 Internet 或任何其他网络上物理断开所有受到感染的计算机。有关如何恢复受感染计算机的详细说明,请查看下面的 Carnegie Mellon Web 站点:
http://www.cert.org/tech_tips/root_compromise.html
Microsoft 提供第三方联系信息是为了帮助您寻求技术支持。该联系信息如有更改,恕不另行通知。Microsoft 不保证该第三方联系信息的准确性。
1. 验证计算机是否感染了 W32.Sircam.Worm@mm 蠕虫病毒。有关如何操作的信息,请查看本文"原因"节中包含的步骤。如果计算机感染了 W32.Sircam.Worm@mm 蠕虫病毒,继续到步骤 2。如果计算机没有感染 W32.Sircam.Worm@mm 蠕虫病毒,请跳过其余的步骤,按照本文"解决方法"节中包含的说明进行操作。
2. 使用注册表编辑器将以下注册表项中的(默认)字符串值更改为 "%1" %*(带引号):
HKEY_CLASSES_ROOT\exefile\shell\open\command\
3. 在命令提示处,键入 cd \,然后按 ENTER 键。
4. 在命令提示处,键入 del /f /s /a sirc32.exe,然后按 ENTER 键。
5. 在命令提示处,键入 del /f /s /a scam32.exe,然后按 ENTER 键。
6. 在命令提示处,键入 shundown -r,然后按 ENTER 键。
7. 按照本文"解决方法"节中包含的说明进行操作。
W32.Sircam.Worm@mm 蠕虫病毒会修改注册表,使所有可执行 (exe) 文件都通过驻留在 C:\recycled 文件夹中的病毒文件 Sirc32.exe 调用。注册表中的此改动会强制可执行程序作为 Sirc32.exe 文件的命令行参数运行。在升级到 Windows XP 的过程中会删除 Sirc32.exe 文件。
如果在杀死 Sirc32.exe 病毒时不修改 HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command 项,将使计算机上的每个可执行文件无效,这是由于,根据注册表中的这行内容,可执行文件将作为 Sirc32.exe 文件(它不再存在)的命令行参数运行。当试图调用可执行文件时,这会提示"Windows cannot find"信息。
有关如何杀死 W32/Sircam 病毒的其他信息
有关如何正确杀死 W32/Sircam 病毒的其他信息,请查看下面的第三方 Web 站点:
http://www.symantec.com/avcenter ... sircam.worm@mm.html
http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=99141
http://www.datafellows.com/v-descs/sircam.shtml
http://www.antivirus.com/vinfo/security/sircam_descrip.htm
W32.Sircam.Worm@mm 杀毒工具的可用性
有关能够用来正确杀死 W32/Sircam 病毒的工具的信息,请查看下面的第三方 Web 站点:
http://www.symantec.com/avcenter ... m.removal.tool.html
http://www.antivirus.com/vinfo/v ... VName=TROJ_SIRCAM.A
有关 W32/Sircam 病毒的更多信息和其他防病毒供应商参考信息,请查看如下 Carnegie Mellon Web 站点上的"CA-2001-22 W32/Sircam Malicious Code"CERT Advisory:
http://www.cert.org/advisories/CA-2001-22.html
有关其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的文章:
306913 Error Message Caused by Sircam32 Virus When You Start a Program(当启动程序时,由 Sircan32 病毒引起的错误信息)
Microsoft 提供第三方联系信息是为了帮助您寻求技术支持。该联系信息如有更改,恕不另行通知。Microsoft 不保证该第三方联系信息的准确性。
返回页首
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
• Microsoft Windows XP Home Edition
• Microsoft Windows XP Professional Edition
