文章編號: 311446 - 上次校閱: 2006年8月23日 - 版次: 4.0

電腦感染 SirCam 病毒後無法啟動程式

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
本文曾發行於 CHT311446
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必備份登錄,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986? (http://support.microsoft.com/kb/256986/ ) Microsoft Windows 登錄說明

在此頁中

全部展開 | 全部摺疊

徵狀

在安裝程式執行期間,如果您在 [取得更新的安裝檔案] 對話方塊中選取了 [是,下載更新的安裝檔案 (建議選項)],您可能會在升級報告中看到下列訊息:
安裝程式找到一些中止安裝的問題。您必須先解決這些才能繼續升級您的電腦。請按 [完整報告] 來取得其他資訊。

錯誤的系統設定
如果按一下 [完整報告],就會收到下列訊息:
Setup detected an invalid system configuration, which is typically caused by a virus.See KB Article Q311446 and follow the instructions there.(安裝程式偵測到一般來說是由病毒造成的無效系統設定。請參閱「Microsoft 知識庫」中編號 Q311446 的文章,並依照文章的指示。)
在安裝期間,如果您在 [取得更新的安裝檔案] 對話方塊中選取了 [否,跳過這個步驟並繼續安裝 Windows],您可能會遇到下列一或多種徵狀:
  • 當您嘗試啟動程式 (.exe 檔案) 時,程式可能無法啟動,而且可能出現下列任何一項錯誤訊息:
    • The specific path does not exist.Check the path and try again. (指定的路徑不存在,請檢查路徑後重試。)
    • Windows 找不到 'program_file'。請檢查鍵入的名稱是否正確,再試一次。要搜尋檔案,請按 [開始] 按鈕,然後按 [搜尋]。
    注意 如果您看到 "Path to program_name is not a valid Windows application" (program_name 的路徑不是有效的 Windows 應用程式) 錯誤訊息,或是錯誤訊息參照 Files32.vxd 檔,請參閱下面的「Microsoft 知識庫」文件:
    310585? (http://support.microsoft.com/kb/310585/ ) 無法啟動副檔名為 .exe 的程式
  • 此外,如果您升級電腦,可能會出現下列訊息,其中 filename 是訊息中提到的完整路徑和特定檔案:
    Windows 找不到 C:\Filename


    在這種情況下,當您啟動「登錄編輯程式」時,可能會收到下列錯誤訊息:
    Windows 找不到 C:\Windows\Regedit.exe
回此頁最上方

發生的原因

W32.Sircam.Worm@mm 蠕蟲病毒可能會造成此問題。W32/Sircam 病毒是經由電子郵件或未經保護的網路檔案共用散佈,此病毒可能會洩露或刪除您電腦上的資訊。 如果要確認電腦是否受到這類病毒感染:
  1. 重新啟動您的電腦,在 [Windows XP 啟動] 功能表按下 [F8],然後選取 [安全模式 (含命令提示字元)]
  2. 在命令提示字元輸入 regedit,然後按 ENTER。
  3. 如果下列登錄機碼 是設定為 C:\recycled\sirc32.exe "%1" %*,表示電腦已受到 W32/SirCam 蠕蟲病毒感染:
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    注意 如果登錄設定不是
    "%1" %*
    ,表示電腦可能感染了其他病毒。
回此頁最上方

解決方案

Microsoft 並未提供可以偵測或移除電腦病毒的軟體。如果您懷疑或確定電腦已感染病毒,請取得最新的防毒軟體。如需防毒軟體製造商的清單,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
49500? (http://support.microsoft.com/kb/49500/ ) 防毒軟體廠商的清單
回此頁最上方

其他相關資訊

警告如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。您可能需要重新安裝作業系統,才能解決這些問題。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。
回此頁最上方

如何嘗試防止病毒執行

重要 下列程序只是用於防止病毒執行,讓您可以執行更新的防毒程式或 W32/Sircam 病毒移除工具。解決此問題時,請實際從網際網路或任何其他網路中斷與所有受感染電腦的連線。如需有關如何復原受感染電腦的詳細指示,請參閱下列 Carnegie Mellon 網站:
http://www.cert.org/tech_tips/root_compromise.html (http://www.cert.org/tech_tips/root_compromise.html)
  1. 確認電腦是否受到 W32.Sircam.Worm@mm 蠕蟲病毒感染。

    如需有關如何執行這項操作的詳細資訊,請參閱本文<發生的原因>一節中所述步驟。如果電腦已經感染 W32.Sircam.Worm@mm 蠕蟲病毒,請繼續進行步驟二。如果沒有感染 W32.Sircam.Worm@mm 蠕蟲病毒,請略過其餘步驟,並且依照本文<解決方案>一節中的指示進行。
  2. 使用「登錄編輯程式」,將下列登錄機碼中的 (預設) 字串值變更為 "%1" %* (加上雙引號):
    HKEY_CLASSES_ROOT\exefile\shell\open\command\
  3. 在命令提示字元輸入 cd\,然後按 ENTER。
  4. 在命令提示字元輸入 del /f /s /a sirc32.exe,然後按 ENTER。
  5. 在命令提示字元輸入 del /f /s /a scam32.exe,然後按 ENTER。
  6. 在命令提示字元輸入 shutdown -r,然後按 ENTER。
  7. 依照本文<解決方案>一節中的指示進行。
The W32.Sircam.Worm@mm 蠕蟲病毒會修改系統登錄,使得所有的可執行檔 (.exe) 都經由位於 C:\recycled 資料夾的病毒檔 Sirc32.exe 啟動。在登錄中進行這項變更時,會強制可執行檔必須當做 Sirc32.exe 檔的命令列引數執行。經由升級為 Windows XP 的過程,Sirc32.exe 檔會被移除。

如果不修改 HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command 機碼就移除 Sirc32.exe 病毒,將會使電腦上的每一個可執行檔都失效;因為依據登錄中的這一行,可執行檔必須當做 Sirc32.exe 檔 (已經移除了) 的命令列參數來執行。這種情況就會造成嘗試啟動可執行檔時出現「Windows 找不到」訊息的問題。
回此頁最上方

有關如何移除 W32/Sircam 病毒的其他資訊

如需如何正確移除 W32/Sircam 病毒的詳細資訊,請參閱下列協力廠商網站:
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html (http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html)
http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=99141 (http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=99141)
http://www.datafellows.com/v-descs/sircam.shtml (http://www.datafellows.com/v-descs/sircam.shtml)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SIRCAM.A (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SIRCAM.A)
回此頁最上方

如何取得 W32.Sircam.Worm@mm Removal 移除工具

如需可用來正確移除 W32/Sircam 病毒的工具資訊,請參閱下列協力廠商網站:
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html (http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSIRCAM%2EA&VSect=Sn (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSIRCAM%2EA&VSect=Sn)
如需有關 W32/Sircam 病毒的詳細資訊,以及其他防毒軟體廠商的參考資料,請參閱下列 Carnegie Mellon 網站上的 CERT 公告「CA-2001-22 W32/Sircam Malicious Code」:
http://www.cert.org/advisories/CA-2001-22.html (http://www.cert.org/advisories/CA-2001-22.html)
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
306913? (http://support.microsoft.com/kb/306913/ ) Error message caused by Sircam32 virus when you start a program
Microsoft 提供協力廠商的連絡資訊,以協助您找出技術支援。此連絡資訊若有變更,恕不另行通知。Microsoft 不保證此協力廠商連絡資訊的準確性。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional Edition (商用版)
回此頁最上方
關鍵字:?
kbhotfixserver kbqfe kbbug kbenv kberrmsg kbfix kbsetup KB311446
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。