W32.Blaster.Worm Removal Tool

Esta versão da ferramenta de remoção do W32.Blaster.Worm remove as variantes abaixo:

• W32.Blaster.Worm
• W32.Blaster.B.Worm
• W32.Blaster.C.Worm
• W32.Blaster.D.Worm
• W32.Blaster.E.Worm
• W32.Blaster.F.Worm

---

Notas Importantes:

• O W32.Blaster.Worm explora a vulnerabilidade do RPC do DCOM. Esta vulnerabilidade está descrita no Boletim de Segurança da Microsoft MS03-026 e a correção está disponível nesse local. Você deve fazer o download e instalar a correção. Em muitos casos você terá que fazer isso antes de continuar com o processo de remoção. Se não for possível remover a infecção ou evitar a reinfecção seguindo as instruções abaixo, você deve fazer o download e instalar a correção primeiro.
• Informações adicionais e um local anternativo para fazer o download da correção da Microsoft estão disponíveis no artigo What You Should Know About the Blaster Worm and Its Variants (este recurso encontra-se em inglês).
• Devido a maneira como o worm funciona, pode ser difícil conectar-se a Internet para obter a correção da vulnerabilidade, definições de vírus ou a ferramena de remoção antes que o worm desligue o computador. Foi reportado que, para usuários do Windows XP, a ativação do firewall do Windows XP pode permitir que sejam feitos o download e a instalação da correção, e a execução da ferramenta de remoção. Isso também pode funcionar para outros firewalls, mas não foi confirmado.

---

O que a ferramenta faz

A ferramenta de remoção do W32.Blaster.Worm faz o seguinte:

1. Finaliza os processos virais do W32.Blaster.Worm e suas variantes.
2. Exclui os arquivos do W32.Blaster.Worm, do W32.Blaster.B.Worm e do W32.Blaster.C.Worm.
3. Exclui os arquivos gravados na máquina pelo worm.
4. Exclui os valores de Registro adicionados pelo vírus.
   

---

Nota: Acesse a seção Informações Adicionais ao final deste documento para consultar a lista de parâmetros de linha de comando disponíveis para esta ferramenta e também informações de como verificar a autenticidade da assinatura digital.

---

Para restaurar a conectividade da Internet e evitar que o computador seja reiniciado
Em muitos casos, tanto no Windows 2000 quando no XP, alterar as configurações para o serviço Remote Call Procedure (RPC) pode permitir que você conecte-se a Internet sem que o computador seja desligado. Para restaurar a conectividade da Internet, siga os passos abaixo:

1. Clique em Iniciar > Executar. A caixa de diálogo Executar será aberta.
2. Digite:
   
   SERVICES.MSC /S
   
   na linha de comando e clique em OK. A janela Serviços será aberta.
   
3. No painel direito, localize o serviço Remote Procedure Call (RPC).
   
   

   ---

   CUIDADO: Na lista também existe um serviço chamado Remote Procedure Call (RPC) Locator. Não confunda os dois serviços.

   ---

   
   
4. Clique com o botão direito no serviço Remote Procedure Call (RPC) e clique em Propriedades.
5. Clique na guia Recuperação.
6. Usando a lista suspensa, altere os itens Primeira falha, Segunda falha e as falhas subsequentes para "Reiniciar o serviço".
7. Clique em Aplicar e em OK.
   
   

   ---

   CUIDADO: Certifique-se de alterar estas configurações após ter removido o worm.
   

   ---

Para obter e executar a ferramenta

---

Nota: Você deve ter privilégios de administrador para executar essa ferramenta no Windows 2000/XP.

---

---

AVISO: Para administradores de rede. Se estiver executando o MS Exchange 2000 Server, é recomendado que você exclua a unidade M da verificação usando o parâmetro Exclude. Independentemente de fazer isto, antes de executar a ferramenta faça uma cópia de segurança de todos os dados da unidade M. Para informações sobre o motivo deste procedimento consulte o artigo em inglês da Base de dados da Microsoft "XADM: Calendar Items Disappear from User's Folders" (Artigo 299046).

---

1. Faça o download do arquivo FixBlast.exe.
2. Salve o arquivo em um lugar conveniente, como a pasta de download, a área de trabalho do Windows ou numa mídia removível que não esteja infectada, se possível.
3. Para verificar a autenticidade da assinatura digital, veja a seção Assinatura digital.
4. Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
5. Se você estiver usando Windows ME ou XP, desabilite a Restauração do Sistema. Para mais detalhes, veja a seção Opção de Restauração do Sistema no Windows ME ou XP.
   
   

   ---

   Cuidado: Se você estiver usando o Windows ME/XP recomendamos enfaticamente que você não ignore esse passo. O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desabilitada, porque o Windows não permite que outros programas modifiquem a Restauração do Sistema.

   ---

   
   
6. Reinicie o computador em Modo de segurança ou em modo VGA.
   • Para Windows 95, 98, Me, 2000, ou XP, reinicie o computador em Modo de segurança. Para instruções sobre como fazer isso, consulte o documento Como iniciar o computador em modo de segurança.
   • Para Windows NT 4, reinicie o computador no Modo VGA.
     
     
7. Clique duas vezes no arquivo FixBlast.exe para iniciar a ferramenta de remoção.
8. Clique em Start [Iniciar] para iniciar o processo e deixe a ferramenta ser executada.
9. Reinicie o computador.
10. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema esteja limpo.
11. Se estiver usando o Windows ME ou XP, habilite novamente a opção de Restauração do Sistema.
12. Execute o LiveUpdate para assegurar-se de estar com as definições de vírus mais atualizadas.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Blaster.Worm. No caso de remoção do worm, o programa mostra os seguintes resultados:

• O número total de arquivos verificados
• O número de arquivos apagados
• O número de processos virais terminados
• O número de entradas do registro apagadas

Opção Restauração do Sistema no Windows Me ou XP
Usuários do Windows Me e do Windows XP devem desabilitar temporariamente a Restauração do Sistema. Este recurso, habilitado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que essas ameaças sejam restauradas pela Restauração do Sistema.

O Windows previne que a Restauração do Sistema seja alterada por programas externos. Assim, programas antivírus ou ferramentas de remoção não conseguem remover limpar arquivos da pasta de Restauração do Sistema. Como resultado, o recurso possui potencial para infectar o computador novamente, caso uma restauração seja executada.

Para instruções sobre como desligar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes artigos:

• Como desativar ou ativar o recurso de restauração do sistema no Windows Me
• Como desativar ou ativar o recurso de restauração do sistema no Windows XP

Para informações adicionais, ou uma alternativa a desabilitação do recurso, consulte o documento da Base de Dados da Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455) (este recurso encontra-se em Inglês).

Como executar a ferramenta a partir um disquete

1. Insira o disquete que contém arquivo FixBlast.exe na unidade de disco flexível.
2. Clique no botão Iniciar e então, em Executar.
3. Digite o comando abaixo e clique no botão OK:
   
   a:\FixBlast.exe
   
   and then click OK.
   
   

   ---

   Nota: Não há espaços no comando a:\FixBlast.exe

   ---

   
   
4. Clique Start (Iniciar) para começar o processo e deixe a ferramenta ser executada.
5. Se estiver usando o Windows Me reabilite a Restauração do Sistema.
   
   

Informações Adicionais

Parâmetros de linha de comando disponíveis para essa ferramenta

Parâmetro	Descrição
/HELP, /H, /?	Exibe a mensagem de ajuda.
/NOFIXREG	Desativa a correçào do registro (o uso dessa opção não é recomendado)
/SILENT, /S	Habilita o modo silencioso.
/LOG=<caminho>	Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FixBlast.log na mesma pasta em que a ferramenta for executada.
/MAPPED	Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).
/START	Força a ferramenta a iniciar a verificação imediatamente.
/EXCLUDE=<caminho>	Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).

---

Nota: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:

• A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
• Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

---

Assinatura Digital
O FixBlast.exe é assinado digitalmente. A Symantec recomenda que você use somente cópias do FixBlast.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:

1. Vá até http://www.wmsoftware.com/free.htm
2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FixBlast.exe (por exemplo, C:\Downloads).
3. Dependendo do seu sistema operacional, faça o seguinte:
   • Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
   • Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.
     
     
4. Mude para o diretório no qual o FixBlast.exe e Chktrust.exe foram salvos e digite:
   
   chktrust -i FixBlast.exe
   
   Por exemplo, se você salvou os arquivos na pasta C:\Downloads, deve digitar os seguintes comandos (pressione Enter após digitar cada comando):
   
   cd\
   cd downloads
   chktrust -i FixBlast.exe
   
   Pressione Enter após ter digitado cada comando. Se a assinatura digital for válida, você verá o seguinte:
   
   Do you want to install and run "W32.Blaster.Worm Removal Tool" signed on 8/11/2003 7:14 PM and distributed by Symantec Corporation?

(Você deseja instalar e executar a "Ferramenta de Remoção do W32.Blaster.Worm" assinada em 11/8/2003 às 19h14m e distribuída pela Symantec Corporation?)


Notas:

• A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
• Se estiver em Horário de Verão a hora exibida será exatamente uma hora mais cedo.
• Se essa caixa de diálogo não aparecer, há duas possíveis razões:
  • Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
  • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, leia o documento How to restore the Publisher Authenticity confirmation dialog box (Este recurso encontra-se em inglês).
    
    

5. Clique Yes (Sim) para fechar a caixa de diálogo.

6. Digite Exit e pressione Enter. Isso fechará a sessão MS-DOS.