你目前正处于脱机状态,正在等待 Internet 重新连接

在计算机感染了 SirCam 病毒后无法启动程序

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

本文的发布号曾为 CHS311446
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
症状
在安装程序运行期间,如果您在“获取更新的安装程序文件”对话框中单击“是,下载更新的安装程序文件(推荐)”,则可能会在升级报告中看到以下消息:
安装程序发现一些障碍。在升级您的计算机之前,您必须解决这些问题。有关详细信息,请单击“完整报告”。

错误系统配置
如果单击“完整报告”,则会收到以下消息:
Setup detected an invalid system configuration, which is typically caused by a virus. See KB Article Q311446 and follow the instructions there.
如果您在安装期间单击了“获取更新的安装程序文件”对话框中的“否,跳过这一步继续安装 Windows”,则可能会出现以下任一症状:
  • 当您尝试启动程序(.exe 文件)时,该程序可能无法启动,而且您可能收到以下任一错误消息:
    • The specific path does not exist. Check the path and try again.
    • Windows cannot find 'program_file'. Make sure you typed the name correctly, and then try again. To search for a file, click Start, and then click Search.
    注意:如果您收到“Path to program_name is not a valid Windows application”错误消息或者错误消息引用 Files32.vxd 文件,请参见下面的 Microsoft 知识库文章:
    310585 无法启动具有 .exe 文件扩展名的程序
  • 此外,如果您对计算机进行升级,则可能会收到以下消息,其中 filename 是消息中提到的完整路径和特定文件:
    Windows cannot find C:\Filename


    在这种情况下,如果您启动注册表编辑器,则可能会收到以下错误消息:
    Windows cannot find C:\Windows\Regedit.exe
原因
W32.Sircam.Worm@mm 蠕虫病毒可能导致此问题。W32/Sircam 病毒通过电子邮件或不受保护的网络文件共享传播,它会泄露或删除计算机上的信息。验证计算机是否感染了这种病毒:
  1. 重新启动计算机,在“Windows XP 启动”菜单上按 F8,然后选择“带命令行提示的安全模式”。
  2. 在命令提示符处,键入 regedit,然后按 Enter。
  3. 如果以下注册表项设置为“C:\recycled\sirc32.exe "%1" %*”,则说明计算机感染了 W32/SirCam 蠕虫病毒:
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    注意:如果此注册表项的设置不同于
    “"%1" %*”
    则说明计算机可能感染了其他病毒。
解决方案
Microsoft 不提供可检测或删除计算机病毒的软件。如果您怀疑或证实计算机感染了病毒,请获取最新的防病毒软件。有关防病毒软件制造商的列表,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
49500 防病毒软件供应商列表
更多信息
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能会出现严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

如何设法阻止病毒运行

重要说明:下面的过程只是阻止病毒运行,以便您可以运行已更新的防病毒程序或 W32/Sircam 病毒删除工具。当您解决此问题时,请从 Internet 或任何其他网络上物理断开所有受到感染的计算机。有关如何恢复受感染计算机的详细说明,请访问下面的 Carnegie Mellon 网站:
  1. 验证计算机是否感染了 W32.Sircam.Worm@mm 蠕虫病毒。

    有关如何操作的信息,请查看本文“原因”一节中包含的步骤。如果计算机感染了 W32.Sircam.Worm@mm 蠕虫病毒,请继续步骤 2。如果计算机未感染 W32.Sircam.Worm@mm 蠕虫病毒,请跳过其余的步骤,然后按照本文“解决方案”一节中包含的说明进行操作。
  2. 使用注册表编辑器将以下注册表项中的“(默认)”字符串值更改为“"%1" %*”(带引号):
    HKEY_CLASSES_ROOT\exefile\shell\open\command\
  3. 在命令提示符处,键入 cd \,然后按 Enter。
  4. 在命令提示符处,键入 del /f /s /a sirc32.exe,然后按 Enter。
  5. 在命令提示符处,键入 del /f /s /a scam32.exe,然后按 Enter。
  6. 在命令提示符处,键入 shutdown -r,然后按 Enter。
  7. 按照本文“解决方案”一节中包含的说明进行操作。
W32.Sircam.Worm@mm 蠕虫病毒会修改注册表,使所有可执行文件 (.exe) 都通过驻留在 C:\recycled 文件夹中的病毒文件 Sirc32.exe 启动。注册表经过此项改动后,可执行文件都将被强制作为 Sirc32.exe 文件的命令行参数运行。在升级到 Windows XP 的过程中会删除 Sirc32.exe 文件。

如果在删除 Sirc32.exe 病毒后不修改“HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command”项,将使计算机上的每个可执行文件无效,这是因为根据注册表中的这行内容,可执行文件将作为 Sirc32.exe 文件的命令行参数运行,但该文件已不再存在。在此情况下,如果您尝试启动可执行文件,系统将提示“Windows cannot find”消息。

有关如何删除 W32/Sircam 病毒的其他信息

有关如何正确删除 W32/Sircam 病毒的其他信息,请访问下面的第三方网站:

W32.Sircam.Worm@mm 删除工具的可用性

有关可用于正确删除 W32/Sircam 病毒的工具的信息,请访问下面的第三方网站:有关 W32/Sircam 病毒的更多信息以及其他防病毒供应商的参考信息,请查看以下 Carnegie Mellon 网站上的“CA-2001-22 W32/Sircam Malicious Code”(CA-2001-22 W32/Sircam 恶意代码)CERT Advisory:有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306913启动程序时由 Sircam32 病毒导致的错误消息
Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。
rundll32 exe null
属性

文章 ID:311446 - 上次审阅时间:06/26/2012 07:19:00 - 修订版本: 5.0

  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • kbhotfixserver kbqfe kbbug kbenv kberrmsg kbfix kbsetup KB311446
反馈