Det går inte att starta program när datorn är infekterad av SirCam-viruset

Artikelöversättning Artikelöversättning
Artikel-id: 311446 - Visa produkter som artikeln gäller.
Denna artikel har tidigare publicerats under SV311446
Visa alla | Dölj alla

På den här sidan

Symptom

Om du klickar på Ja, hämta de uppdaterade installationsfilerna (rekommenderas) i dialogrutan Hämta uppdaterade installationsfiler under installationen, kan det hända att följande meddelande visas i uppgraderingsrapporten:
Vissa allvarliga problem har upptäckts. Du måste rätta till de här problemen innan du kan fortsätta uppgradera datorn. Klicka på Information om du vill se ytterligare information.

Felaktig systemkonfiguration
Om du klickar på Fullständig visas följande meddelande:
En ogiltig systemkonfiguration, som vanligen orsakas av ett virus, har upptäckts. Läs KB-artikel Q311446 och följ instruktionerna där.
Om du klickar på Nej, hoppa över det här steget och fortsätt installationen i dialogrutan Hämta uppdaterade installationsfiler under installationen, kan något av följande inträffa:
  • När du försöker starta ett program (.exe) kan det hända att programmet inte startar och att du får något av följande felmeddelanden:
    • Den angivna sökvägen finns inte. Kontrollera sökvägen och försök igen.
    • Det går inte att hitta programfil. Kontrollera att du angav rätt namn och försök igen. Om du vill söka efter en fil klickar du på Start och sedan på Sök.
    Obs! Läs följande artikel i Microsoft Knowledge Base om det visas ett felmeddelande om att sökvägen till programnamn inte är ett giltigt Windows-program, eller om felmeddelandet refererar till filen Files32.vxd:
    310585 Det går inte att starta ett program med ett EXE-filtillägg
  • Om du uppgraderar datorn kan dessutom följande felmeddelande visas, där filnamn är den fullständiga sökvägen och filen som nämns i meddelandet:
    Det går inte att hitta C:\filnamn


    I detta fall kan följande meddelande visas när du öppnar Registereditorn:
    Det går inte att hitta C:\Windows\Regedit.exe

Orsak

Problemet kan orsakas av maskviruset W32.Sircam.Worm@mm. Viruset W32/Sircam sprider sig själv genom e-postmeddelanden eller oskyddade nätverksfilresurser och kan avslöja eller ta bort information på datorn. Så här kontrollerar du om datorn är infekterad av denna virustyp:
  1. Starta om datorn, tryck på F8 på startmenyn i Windows XP och välj sedan felsäkert läge med kommandotolk.
  2. Skriv regedit i kommandotolken och tryck på RETUR.
  3. Om följande registernyckel är angiven till C:\recycled\sirc32.exe "%1" %* är datorn angripen av W32/SirCam-viruset:
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    Obs! Om den här registerinställningen är en annan än
    "%1" %*
    kan datorn ha angripits av ett annat virus.

Lösning

Microsoft tillhandahåller inte program som kan identifiera eller ta bort datavirus. Om du misstänker eller vet att datorn är infekterad av ett virus bör du skaffa ett uppdaterat antivirusprogram. Det finns en lista över leverantörer av antivirusprogram som du kan se genom att klicka på följande artikelnummer och visa artikeln i Microsoft Knowledge Base:
49500 Lista över leverantörer av antivirusprogram

Mer Information

Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera och återställa registret i Windows

Så här förhindrar du att viruset körs

Viktigt! Följande procedur hindrar bara att viruset körs, vilket gör att du kan köra ett uppdaterat antivirusprogram eller ett verktyg för att ta bort W32/Sircam. Medan du arbetar med att lösa detta problem bör du koppla bort alla infekterade datorer fysiskt från Internet och andra nätverk. Detaljerade anvisningar för återställning av en infekterad dator finns på följande Carnegie Mellon-webbplats:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
  1. Kontrollera om datorn har infekterats av maskviruset W32.Sircam.Worm@mm.

    Information om hur du gör detta finns i avsnittet "Orsak" i denna artikel. Om datorn har infekterats av maskviruset W32.Sircam.Worm@mm fortsätter du till steg 2. Annars hoppar du över återstående steg och följer anvisningarna i avsnittet "Lösning" i denna artikel.
  2. Använd Registereditorn för att ändra (standard-)strängvärdet i följande registernyckel till "%1" %*1 (med citattecken):
    HKEY_CLASSES_ROOT\exefile\shell\open\command\
  3. Skriv cd \ i en kommandotolk och tryck på RETUR.
  4. Skriv del /f /s /a sirc32.exe i kommandotolken och tryck sedan på RETUR.
  5. Skriv del /f /s /a scam32.exe i kommandotolken och tryck sedan på RETUR.
  6. Skriv shutdown -r i kommandotolken och tryck på RETUR.
  7. Följ anvisningarna i avsnittet "Lösning" i denna artikel.
Maskviruset W32.Sircam.Worm@mm ändrar registret så att alla körbara filer (.exe) startas genom virusfilen Sirc32.exe i mappen C:\recycled*. När du utför denna ändring i registret tvingas alla körbara filer att köras som kommandoradsargument till filen Sirc32.exe. Genom uppgraderingen till Windows XP tas filen Sirc32.exe bort.

Om viruset Sirc32.exe tas bort utan att nyckeln HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command ändras blir alla körbara filer på datorn ogiltiga, eftersom de körbara filerna enligt denna rad i registret ska köras som en kommandoradsparameter till filen Sirc32.exe (som inte finns längre). Detta föranleder att meddelandet "Det går inte att hitta?" visas vid försök att starta den körbara filen.

Ytterligare information om borttagning av viruset W32/Sircam

Ytterligare information om borttagning av viruset W32/Sircam finns på följande webbplatser för andra företag:
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html
http://www.datafellows.com/v-descs/sircam.shtml
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SIRCAM.A

Verktyg för borttagning av W32.Sircam.Worm@mm

Det finns information om verktyg för borttagning av viruset W32/Sircam finns på följande webbplatser för andra företag:
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSIRCAM%2EA&VSect=Sn
Mer information om viruset W32/Sircam och ytterligare hänvisningar till tillverkare av antivirusprogram finns i CERT Advisory "CA-2001-22 W32/Sircam Malicious Code" på följande Carnegie Mellon-webbplats:
http://www.cert.org/advisories/CA-2001-22.html
Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
306913 Felmeddelande orsakat av viruset Sircam32 vid programstart
Kontaktinformationen för andra företag som lämnas i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna information kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.
Obs! Det här är en "FAST PUBLISH?-artikel som skapats direkt inom Microsofts supportorganisation. Informationen i artikeln tillhandahålls i befintligt skick för att besvara framtida frågor. På grund av den snabba framtagningen kan materialet innehålla typografiska fel och kan utan förvarning när som helst komma att omarbetas. Se användarvillkoren för andra hänsynstaganden.

Egenskaper

Artikel-id: 311446 - Senaste granskning: den 26 september 2013 - Revision: 1.0
Informationen i denna artikel gäller:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Nyckelord: 
kbhotfixserver kbqfe kbbug kbenv kberrmsg kbfix kbsetup KB311446

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com