在计算机感染了 SirCam 病毒后无法启动程序

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

本文的发布号曾为 CHS311446
本文已归档。它按“原样”提供,并且不再更新。
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
症状
在安装程序运行期间,如果您在“获取更新的安装程序文件”对话框中单击“是,下载更新的安装程序文件(推荐)”,则可能会在升级报告中看到以下消息:
安装程序发现一些障碍。在升级您的计算机之前,您必须解决这些问题。有关详细信息,请单击“完整报告”。

错误系统配置
如果单击“完整报告”,则会收到以下消息:
Setup detected an invalid system configuration, which is typically caused by a virus. See KB Article Q311446 and follow the instructions there.
如果您在安装期间单击了“获取更新的安装程序文件”对话框中的“否,跳过这一步继续安装 Windows”,则可能会出现以下任一症状:
  • 当您尝试启动程序(.exe 文件)时,该程序可能无法启动,而且您可能收到以下任一错误消息:
    • The specific path does not exist. Check the path and try again.
    • Windows cannot find 'program_file'. Make sure you typed the name correctly, and then try again. To search for a file, click Start, and then click Search.
    注意:如果您收到“Path to program_name is not a valid Windows application”错误消息或者错误消息引用 Files32.vxd 文件,请参见下面的 Microsoft 知识库文章:
    310585 无法启动具有 .exe 文件扩展名的程序
  • 此外,如果您对计算机进行升级,则可能会收到以下消息,其中 filename 是消息中提到的完整路径和特定文件:
    Windows cannot find C:\Filename


    在这种情况下,如果您启动注册表编辑器,则可能会收到以下错误消息:
    Windows cannot find C:\Windows\Regedit.exe
原因
W32.Sircam.Worm@mm 蠕虫病毒可能导致此问题。W32/Sircam 病毒通过电子邮件或不受保护的网络文件共享传播,它会泄露或删除计算机上的信息。验证计算机是否感染了这种病毒:
  1. 重新启动计算机,在“Windows XP 启动”菜单上按 F8,然后选择“带命令行提示的安全模式”。
  2. 在命令提示符处,键入 regedit,然后按 Enter。
  3. 如果以下注册表项设置为“C:\recycled\sirc32.exe "%1" %*”,则说明计算机感染了 W32/SirCam 蠕虫病毒:
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    注意:如果此注册表项的设置不同于
    “"%1" %*”
    则说明计算机可能感染了其他病毒。
解决方案
Microsoft 不提供可检测或删除计算机病毒的软件。如果您怀疑或证实计算机感染了病毒,请获取最新的防病毒软件。有关防病毒软件制造商的列表,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
49500 防病毒软件供应商列表
更多信息
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能会出现严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

如何设法阻止病毒运行

重要说明:下面的过程只是阻止病毒运行,以便您可以运行已更新的防病毒程序或 W32/Sircam 病毒删除工具。当您解决此问题时,请从 Internet 或任何其他网络上物理断开所有受到感染的计算机。有关如何恢复受感染计算机的详细说明,请访问下面的 Carnegie Mellon 网站:
  1. 验证计算机是否感染了 W32.Sircam.Worm@mm 蠕虫病毒。

    有关如何操作的信息,请查看本文“原因”一节中包含的步骤。如果计算机感染了 W32.Sircam.Worm@mm 蠕虫病毒,请继续步骤 2。如果计算机未感染 W32.Sircam.Worm@mm 蠕虫病毒,请跳过其余的步骤,然后按照本文“解决方案”一节中包含的说明进行操作。
  2. 使用注册表编辑器将以下注册表项中的“(默认)”字符串值更改为“"%1" %*”(带引号):
    HKEY_CLASSES_ROOT\exefile\shell\open\command\
  3. 在命令提示符处,键入 cd \,然后按 Enter。
  4. 在命令提示符处,键入 del /f /s /a sirc32.exe,然后按 Enter。
  5. 在命令提示符处,键入 del /f /s /a scam32.exe,然后按 Enter。
  6. 在命令提示符处,键入 shutdown -r,然后按 Enter。
  7. 按照本文“解决方案”一节中包含的说明进行操作。
W32.Sircam.Worm@mm 蠕虫病毒会修改注册表,使所有可执行文件 (.exe) 都通过驻留在 C:\recycled 文件夹中的病毒文件 Sirc32.exe 启动。注册表经过此项改动后,可执行文件都将被强制作为 Sirc32.exe 文件的命令行参数运行。在升级到 Windows XP 的过程中会删除 Sirc32.exe 文件。

如果在删除 Sirc32.exe 病毒后不修改“HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command”项,将使计算机上的每个可执行文件无效,这是因为根据注册表中的这行内容,可执行文件将作为 Sirc32.exe 文件的命令行参数运行,但该文件已不再存在。在此情况下,如果您尝试启动可执行文件,系统将提示“Windows cannot find”消息。

有关如何删除 W32/Sircam 病毒的其他信息

有关如何正确删除 W32/Sircam 病毒的其他信息,请访问下面的第三方网站:

W32.Sircam.Worm@mm 删除工具的可用性

有关可用于正确删除 W32/Sircam 病毒的工具的信息,请访问下面的第三方网站:有关 W32/Sircam 病毒的更多信息以及其他防病毒供应商的参考信息,请查看以下 Carnegie Mellon 网站上的“CA-2001-22 W32/Sircam Malicious Code”(CA-2001-22 W32/Sircam 恶意代码)CERT Advisory:有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306913启动程序时由 Sircam32 病毒导致的错误消息
Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。
rundll32 exe null
属性

文章 ID:311446 - 上次审阅时间:12/07/2015 08:06:03 - 修订版本: 5.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional Edition

  • kbnosurvey kbarchive kbhotfixserver kbqfe kbbug kbenv kberrmsg kbfix kbsetup KB311446
反馈