1. /
  2. Security Response/
  3. W32.Lirva Removal Tool
  4. W32.Lirva Removal Tool
  • Compartilhar

W32.Lirva Removal Tool

Descoberto:
9 de Janeiro de 2003
Atualizado:
13 de Fevereiro de 2007 11:34:12 AM
Tipo:
Removal Information


O Que a Ferramenta Faz
A Ferramenta de Remoção do W32.Livra faz o seguinte:
  1. Encerra todos os processos de virais do W32.A@mm e do W32.C@mm.
  2. Apaga os arquivos virais do W32.Lirva.A@mm e do W32.Lirva.C@mm
  3. Repara as entradas do registro alteradas pelo worm
Opções na linha de comando disponíveis para essa ferramenta


Opção

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desabilita o reparo do registro (Não recomendamos usar dessa opção.)

/SILENT, /S

Habilita o modo silencioso.

/LOG=<nome do caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro, FixLirva.log, na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados . (Não recomendamos usar dessa opção. Veja a Nota abaixo.)

/START

Obriga que a ferramenta inicie a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui o <caminho> especificado do processo de verificação. (Não recomendamos o uso dessa opção.)


NOTA: O uso da opção /MAPPED não garante a remoção completa do vírus no computador remoto, porque:
  • A verificação das unidades mapeadas efetua a verificação apenas das pastas mapeadas. Este processo talvez não inclua todas as pastas no computador remoto, o que pode resultar em deteções não efetuadas.
  • Se um arquivo infectado pelo vírus for detectado na unidade mapeada, a remoção falhará se um aplicativo no computador remoto usar esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

Para obter e executar a ferramenta

IMPORTANTE: Leia as informações a seguir antes de começar.
Você deve estar conectado como Administrador para executar esta ferramenta no Windows NT 4.0, Windows 2000 ou Windows XP. Se você não está certo sobre como fazer isso ou se você não tem esses privilégios, consulte seu administrador de rede ou um consultor de informática.
  1. Faça um download do arquivo FixLivra.exe a partir de: http://securityresponse.symantec.com/avcenter/FixLirva.exe
  2. Salve o arquivo en um local conveniente, por exemplo na sua pasta de downloads ou na área de trabalho do Windows (ou na mídia removível que não esteja infectada).
  3. Para verificar a autenticidade da assinatura digital, consulte a seção Assinatura Digital abaixo.
  4. Feche todos os aplicativos em executação antes de executar a ferramenta.
  5. Se você estiver em rede, ou tiver uma conexão permanente com a Internet, desconecte o computador.
  6. Se estiver usando Windows Me/XP, desative o recurso de restauração do sistema. Consulte a seção Recurso de Restauração do Sistema no Winodows Me/XP mais adiante deste documento.

    CUIDADO: Se estiver usando o Windows Me/XP, recomendamos, enfaticamente, não pular esta etapa.
  7. Clique duas vezes no arquivo FixLivra.exe para iniciar a ferramenta de remoção.
  8. Clique em Iniciar para dar início ao processo e deixe a ferramenta ser executada.

    NOTA: Se forem exibidas mensagens de erro quando estiver executando a ferramenta, ou se a ferramenta parecer não ser executada corretamente, reinicie o computador no Modo de Segurança e execute a ferramenta novamente. Todos os sistemas operacionais Windows 32-bit, exceto o Windows NT, podem ser reiniciados no Modo de Segurança. Leia o documento que se aplica a sua versão do Windows
    Como iniciar o Windows XP no Modo de Segurança
    Como iniciar o Windows 2000 no Modo de Segurança
    Como iniciar o Windows 9x ou Windows Me no Modo de Segurança
  9. Reinicie o computador.
  10. Execute a ferramenta de remoção de novo a fim de certificar-se de que o sistema está limpo.
  11. Se utiliza Windows Me/XP, reative o recurso de restauração do sistema.
  12. Execute o LiveUpdate e certifique-se que você está utilizando as mais recentes definições de vírus.
  13. Inicie seu produta antivírus da Symatnec e execute uma verificação completa do sistema.

NOTA: O procedimento de remoção pode não funcionar se a Restauração do Sistema do Windows ME/XP não estiver desabilitada, como solicitado acima, pois o Windows impede qualquer alteração na Restauração do Sistema feita por programas externos. Por esse motivo, a ferramenta de remoção pode falhar.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Lirva.A@mm/W32.Lirva.C@mm. No caso de remoção do worm, o programa mostra os seguintes resultados:
  • O número total de arquivos verificados.
  • O número de arquivos excluídos.
  • O número de arquivos restaurados.
  • O número de processos de vírus terminados.
  • O número de entradas restauradas no registro.

Assinatura Digital
O FixLivra.exe é assinado digitalmente. A Symantec recomenda que você utilize apenas cópias do FixLivra.exe, diretamente descarregados a partir da página na web do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga estas etapas:
  1. Vá para http://www.wmsoftware.com/free.htm.
  2. Faça um download se salve o arquivo chtrust.exe na mesma pasta onde você salvou o FixLivra.exe (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça um dos seguintes:
    • Clique em Iniciar, selecione Programas e clique no prompt do MS-DOS.
    • Clique em Iniciar, selecione Programas, clique em Acessórios, e clique no prompt Comando.
  4. Vá para a pasta onde o FixLivra.exe e Chktrust.exe estão armazenados e digite:

    chktrust -i FixLirva.exe

    Por exemplo, se você salvou o arquivo para a pasta C:\Downloads, você deve digitar os seguintes comandos:

    cd\
    cd downloads
    chktrust -i FixLirva.exe


    Pressione Enter após cada comando. Se a assinatura digital for válida, você verá uma mensagem semelhante a:

    "Deseja instalar e executar o "W32.Livra Fix Tool" assinado em 09.01.03 às 10:16:00 e distribuído pela Symantec Corporation?"

    NOTAS:
      • A data e hora exibidas nessa caixa de diálogo serão ajustadas de acordo com o seu fuso horário local caso seu computador não esteja definido para o fuso horário do Pacífico.
      • Se estiver no horário de verão, será exibida exatamente uma hora adiantada.
      • Se essa caixa de diálogo não for exibida, existem dois possíveis motivos:
        • A ferramenta não é da Symantec. Se não tiver certeze de que ferramenta é autêntica e que você fez o download do site autêntico da Symantec, não deve executá-la.
        • A ferramenta é da Symantec e é autêntica, porém, seu sistema operacional foi instruido anteriormente a sempre confiar em conteúdo da Symantec. Para obter mais informações sobre isso e sobre como exibir o diálogo de confirmaçaõ de novo, leai o documento How to restore the Publisher Authenticity confirmation dialog box (inglês).
  5. Clique em Sim para fechar a caixa de diálogo.
  6. Digite exit e pressione Enter. (Isso fechará a sessão do MS-DOS.)

Opção de restauração do sistema no Windows Me/XP
Usuários do Windows Me e do Windows XP devem desligar, temporariamente, a Restauração do Sistema. Esta característica, habilitada por padrão, é usada pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que esses arquivos sejam restaurados pela Restauração do Sistema. Por padrão, o Windows previne que a Restauração do Sistema seja alterada por programas externos. Assim, é possível que você, acidentalmente, restaure um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desligar a Restauração do Sistema, leia a documentação do Windows ou um dos seguintes artigos:
Para obter informações adicionais e uma solução alternativa que não envolva desativar a restauração do sistema, consulte o artigo da Knowledge Base da Microsoft Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID do artigo: Q263455.

Para executar a ferremanta a partir de um disquete
  1. Insira o disquete que contém o arquivo FixLivra.exe na unidade de disco flexível.
  2. Clique em Iniciar e clique em Executar.
  3. Digite o seguinte texto:

    a:\FixLirva.exe

    Clique em OK.

    NOTAS:
    • Não há espaços no comando a:\FixLirva.exe.
    • Se você estiver usando o Windows ME e a Restauração do Sistema estiver habilitada, surgirá uma mensagem de alerta. Escolha entre executar a ferramenta de remoção com a opção Restauração do Sistema habilitada ou sair da ferramenta de remoção.
  4. Clique em Iniciar para dar início ao processo e deixe a ferramenta executar-se.
  5. Se estiver usando Windows Me, reabilite o recurso de restauração do sistema.



Resumo