Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Reddit
Newsvine
StumbleUpon
- Descoberto:
- 19 de Janeiro de 2004
- Atualizado:
- 13 de Fevereiro de 2007 11:35:04 AM
- Tipo:
- Removal Information
O Symantec Security Response desenvolveu uma ferramenta de remoção para eliminar infecções das seguintes variantes do Beagle:
- W32.Beagle.A@mm
- W32.Beagle.B@mm
- W32.Beagle.C@mm
- W32.Beagle.E@mm
- W32.Beagle.F@mm
- W32.Beagle.G@mm
- W32.Beagle.H@mm
- W32.Beagle.I@mm
- W32.Beagle.J@mm
- W32.Beagle.K@mm
- W32.Beagle.U@mm
- W32.Beagle.W@mm
- W32.Beagle.X@mm
- W32.Beagle.Y@mm
- W32.Beagle.Z@mm
- W32.Beagle.AB@mm
- W32.Beagle.AC@mm
- W32.Beagle.AG@mm
- W32.Beagle.AO@mm
- W32.Beagle.AR@mm
- W32.Beagle.AU@mm
- W32.Beagle.AV@mm
- W32.Beagle.AW@mm
- W32.Beagle.AY@mm
- W32.Beagle.AZ@mm
- W32.Beagle.BA@mm
- W32.Beagle.CK@mm
- W32.Beagle.CL@mm
- Trojan.Tooso
- Trojan.Tooso.B
- Trojan.Tooso.C
- Trojan.Tooso.D
- Trojan.Tooso.E
- Trojan.Tooso.F
- Trojan.Tooso.H
- Trojan.Tooso.J
- Trojan.Tooso.Q
O que a ferramenta faz
A ferramenta de remoção W32.Beagle@mm executa as seguintes ações:
- Finaliza os processos virais W32.Beagle@mm e Trojan.Tooso
- Apaga os arquivos W32.Beagle@mm e Trojan.Tooso
- Apaga os valores de registro adicionados pelo W32.Beagle@mm e pelo Trojan.Tooso
Nota: essa ferramenta de remoção restaura as configurações-padrão dos seguintes processos:
- Automatic Updates
- Alerter
- Windows Firewall/Internet Connection Sharing (ICS)
Opção | Descrição |
/HELP, /H, /? | Exibe a mensagem de ajuda. |
/NOFIXREG | Desativa o reparo do registro (não recomendamos o uso dessa opção). |
/SILENT, /S | Ativa o modo silencioso. |
/LOG=<nome do caminho> | Cria um arquivo de registro no qual o <nome do caminho> é o local onde os registros de saída da ferramenta são armazenados. Por padrão, esse alternador cria o arquivo de registro FxBeagle.log na mesma pasta de onde a ferramenta de remoção foi executada. |
/MAPPED | Verifica os discos de rede mapeados (não recomendamos o uso dessa opção. Veja a Nota abaixo). |
/START | Força a ferramenta a iniciar a verificação imediatamente. |
/EXCLUDE=<caminho> | Exclui o <caminho> especificado da verificação (não recomendamos o uso dessa opção. Veja a Nota abaixo). |
/NOFILESCAN | Desativa a verificação dos arquivos do sistema. |
Nota: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
- A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
- Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.
Por essas razões, você deve executar a ferramenta em cada um dos computadores.
O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o seu produto antivírus da Symantec Isto permitirá que a ferramenta faça as devidas correções no registro. Após isto, verifique seu computador com o seu produto antivírus da Symantec e as definições de vírus mais recentes. Estas etapas devem remover esta ameaça do sistema.
Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:
>"C:\Documents and Settings\user1\Desktop\FxBeagle.exe" /EXCLUDE=M:\ /LOG=c:\FxBeagle.txt
Além disso, a linha de comando abaixo desativará a verificação dos arquivos do sistema, mas irá corrigir as alterações feitas no registro. Você deverá fazer uma verificação de vírus com as devidas exclusões:
>"C:\Documents and Settings\user1\Desktop\FxBeagle.exe" /NOFILESCAN /LOG=c:\FxBeagle.txt
Notas:
- O símbolo de maior (>) não faz parte do caminho.
- O nome do arquivo de registro pode ser qualquer um. O nome listado é meramente um exemplo.
Obtendo e executando a ferramenta
Nota: no Windows NT4/2000/XP, você deve ter privilégios de administrador para executar essa ferramenta.
AVISO: para administradores de rede. Se estiver executando o MS Exchange 2000 Server, é recomendado que você exclua a unidade M da verificação utilizando o parâmetro Exclude. Para mais informações, consulte o artigo em inglês da Base de dados da Microsoft XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Artigo 298924).
- Faça o download do arquivo FxBeagle utilizando o link: http://securityresponse.symantec.com/avcenter/FxBeagle.exe.
- Salve-o em local apropriado, como sua pasta de downloads ou a Área de Trabalho do Windows ou em mídia removível que não esteja infectada.
- Para verificar a autenticidade da assinatura digital, consulte a seção Assinatura digital.
- Feche todos os programas em execução antes de iniciar a ferramenta.
- Se o seu computador estiver conectado em rede ou dispuser de conexão permanente à Internet, desconecte-o.
- Se estiver executando o Windows Me ou XP, desative a Restauração do Sistema. Consulte a seção Opção de Restauração do Sistema no Windows Me/XP, mais adiante neste documento, para informações adicionais.
Cuidado: se estiver executando o Windows Me/XP, recomendamos que você não ignore esta etapa.
- Clique duas vezes no arquivo FxBeagle.exe para ativar a ferramenta de remoção.
- Clique em Start para iniciar o processo, e aguarde até o término da execução da ferramenta.
- Reinicie o computador.
- Execute a ferramenta novamente para garantir que o sistema não permaneceu infectado.
- Se estiver executando o Windows Me/XP, reative a Restauração do Sistema.
- Execute o LiveUpdate para certificar-se de que você possui as definições de vírus mais recentes.
Nota: o procedimento de remoção pode não ser bem-sucedido se a opção de Restauração do sistema do Windows Me/XP não tiver sido desativada como indicado anteriormente, pois o Windows impede que a Restauração do Sistema seja modificada por outros programas.
Quando a execução da ferramenta for concluída, será exibida uma mensagem indicando se o computador foi infectado pelo W32.Beagle@mm. Se o worm foi removido, a ferramenta exibe os seguintes resultados:
- O número total de arquivos verificados.
- O número de arquivos excluídos.
- O número de arquivos reparados.
- O número de processos de vírus finalizados.
- O número de entradas de registro corrigidas.
Assinatura digital
FxBeagle.exe é assinado digitalmente. A Symantec recomenda que você somente utilize cópias da ferramenta FxBeagle.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga essas etapas:
- Vá para http://www.wmsoftware.com/free.htm.
- Faça o download e salve o arquivo chktrust.exe na mesma pasta onde o FxBeagle.exe foi salvo (por exemplo, C:\Downloads).
- Dependendo do seu sistema operacional, faça o seguinte:
- Clique em Iniciar > Programas > Prompt do MS-DOS.
- Clique em Iniciar > Programas > Acessórios > Prompt de Comando.
- Vá para a pasta onde o FxBeagle.exe e Chktrust.exe estão armazenados e digite: chktrust -i FxBeagle.exe.
Por exemplo, se o arquivo foi salvo na pasta C:\Downloads, você deve digitar os seguintes comandos:
cd\
cd downloads
chktrust -i FxBeagle.exe
Pressione Enter após digitar cada comando. Se a assinatura digital for válida, você verá o seguinte:
Deseja instalar e executar a Ferramenta de Remoção do W32.Beagle assinada em 09/10/2005 04:18:12 am e distribuído pela Symantec Corporation?
Notas:- A data e a hora exibidas na caixa de diálogo serão ajustadas conforme o seu fuso horário local, caso não utilize o horário do Pacífico em seu computador.
- Se estiver no horário de verão, a hora exibida será exatamente uma hora mais cedo.
- Caso essa caixa de diálogo não seja exibida, há duas razões possíveis:
- A ferramenta não é da Symantec: a menos que esteja certo de que a ferramenta seja legítima e tenha sido descarregada de um website da Symantec legítimo, não a execute.
- A ferramenta é da Symantece e é legítima: Entretanto, seu sistema operacional foi instruído previamente a sempre confiar no conteúdo da Symantec. Para mais informações sobre como exibir a mensagem de confirmação novamente, consulte o documento Restaurando a caixa de diálogo de confirmação de Autenticidade de Editor.
- Clique em Sim para fechar a caixa de diálogo.
- Digite exit e pressione Enter. (Isso fechará a sessão do MS-DOS.)
Opção Restauração do Sistema no Windows Me/XP
Os usuários do Windows Me e do Windows XP devem desativar temporariamente a Restauração do Sistema. Esse recurso, ativado por padrão, é utilizado pelo Windows Me/XP para restaurar os arquivos no computador caso esses tornem-se danificados. Se um vírus, worm ou cavalo de Tróia infectar o computador, a Restauração do Sistema pode armazenar uma cópia dessas ameaças.
O Windows impede que a Restauração do Sistema seja alterada por programas externos, inclusive programas antivírus. Portanto, esses programas podem não conseguir remover ameaças que se encontrem na pasta da Restauração do Sistema. Como resultado, a Restauração do Sistema tem o potencial de restaurar um arquivo infectado no computador, mesmo se os arquivos infectados foram removidos de outros locais.
Também é possível que uma verificação de vírus detecte uma ameaça na pasta da Restauração do Sistema, mesmo se a ameaça foi removida do computador.
Para mais informações sobre como desativar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes documentos:
- Ativando ou desativando o recurso de restauração do sistema no Windows Me
- Ativando ou desativando o recurso de Restauração do Sistema no Windows XP
Para mais informações e para uma solução que não envolve desativar a restauração do sistema, consulte o seguinte artigo da Base de Conhecimento da Microsoft Antivirus Tools Cannot Clean Infected Files in the Restore Folder , ID do artigo: Q263455.