W32.Beagle.MO@mm Removal Tool

resumo

Fazer o download da ferramenta de remoção|Versão para impressão

Descoberto:: 14 de Março de 2004
Atualizado:: 13 de Fevereiro de 2007 11:35:11 AM
Tipo:: Removal Information

O Symantec Security Response desenvolveu uma ferramenta de remoção para limpar infecções das variantes:

W32.Beagle.M@mm
W32.Beagle.N@mm
W32.Beagle.O@mm

O que a ferramenta faz

A ferramenta de remoção do W32.Beagle.M-O@mm faz o seguinte:

Finaliza os processos virais do W32.Beagle.M-O@mm.
Repara os arquivos infectados pelo W32.Beagle.M-O@mm.
Exclui as cópias do worm criadas no sistema, incluindo os arquivos de extensão .zip e .rar protegidos por senha.
Exclui os valores de Registro adicionados pelo vírus.

Notas:

A ferramenta de remoção irá finalizar o processo do explorer.exe o que poderá fazer com que a Área de trabalho pisque durante o processo de recarregamento.
Acesse a seção Referências ao final deste documento para consultar a lista de parâmetros de linha de comando disponíveis para esta ferramenta e também informações de como verificar a autenticidade da assinatura digital.

Para obter e executar a ferramenta

Nota: Você deve ter privilégios de administrador para executar essa ferramenta no Windows NT4/2000/XP.

AVISO: Para administradores de rede. Se estiver executando o MS Exchange 2000 Server, é recomendado que você exclua a unidade M da verificação usando o parâmetro Exclude. Independentemente de fazer isto, antes de executar a ferramenta faça uma cópia de segurança de todos os dados da unidade M. Para informações sobre o motivo deste procedimento consulte o artigo em inglês da Base de dados da Microsoft "XADM: Calendar Items Disappear from User's Folders" (Artigo 299046).

Faça o download do arquivo FxBgleMO.exe.
Salve o arquivo em um lugar conveniente, como a pasta de download, a Área de trabalho do Windows ou numa mídia removível que não esteja infectada, se possível.
Feche todos os programas antes de executar a ferramenta.
Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
Se você estiver usando Windows ME ou XP, desabilite a Restauração do Sistema. Para mais detalhes, veja a seção Opção de Restauração do Sistema no Windows ME ou XP.

Cuidado: Se você estiver usando o Windows ME/XP recomendamos enfaticamente que você não ignore esse passo. O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desabilitada, porque o Windows não permite que outros programas modifiquem a Restauração do Sistema.
Clique duas vezes no arquivo FxBglem.exe para iniciar a ferramenta de remoção.
Clique em Start [Iniciar] para iniciar o processo e deixe a ferramenta ser executada.
Reinicie o computador.
Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema está limpo.
Se estiver usando o Windows ME ou XP, ative novamente a opção de Restauração do Sistema.
Execute o LiveUpdate para assegurar-se de estar com as definições de vírus mais atualizadas.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Beagle@mm. No caso de remoção do worm, o programa mostra os seguintes resultados:

O número total de arquivos verificados
O número de arquivos apagados
O número de processos virais terminados
O número de entradas do registro apagadas

Opção Restauração do Sistema no Windows Me ou XP
Usuários do Windows Me e do Windows XP devem desabilitar temporariamente a Restauração do Sistema. Este recurso, habilitado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que essas ameaças sejam restauradas pela Restauração do Sistema.

O Windows previne que a Restauração do Sistema seja alterada por programas externos. Assim, programas antivírus ou ferramentas de remoção não conseguem remover limpar arquivos da pasta de Restauração do Sistema. Como resultado, o recurso possui potencial para infectar o computador novamente, caso uma restauração seja executada.

Para instruções sobre como desligar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes artigos:

Para informações adicionais, ou uma alternativa a desabilitação do recurso, consulte o documento da Base de Dados da Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455) (este recurso encontra-se em Inglês).

Referências
Parâmetros de linha de comando disponíveis para essa ferramenta

Parâmetro

Descrição

/HELP, /H, /?
Exibe a mensagem de ajuda.

/NOFIXREG
Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S
Habilita o modo silencioso.

/LOG=<caminho>
Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FxBeagle.log na mesma pasta em que a ferramenta for executada.

/MAPPED
Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).

/START
Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>
Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).

/NOFILESCAN
Desativa a verificação dos arquivos de sistema.

Notas: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:

A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o seu produto antivírus da Symantec. Isto permitirá que a ferramenta faça as devidas correçòes no registro. Após isto, verifique seu computador com o seu produto antivírus da Symantec e as definições de vírus mais recentes. Estes passos deverão remover esta ameaça do sistema.

Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:

>"C:\Documents and Settings\user1\Desktop\FxBgleMO.exe" /EXCLUDE=M:\ /LOG=c:\FxBgleMO.txt

Também, a linha de comando abaixo irá desativar a verificação dos arquivos do sistema, para irá corrigir o registro. Você deverá fazer uma verificação de vírus com as devidas exclusões:

>"C:\Documents and Settings\user1\Desktop\FxBgleMO.exe" /NOFILESCAN /LOG=c:\FxBgleMO.txt

Notas:

O sinal de maior que (>) não faz parte do caminho.
O nome do arquivo de registro pode ser escolhido a seu critério. O nome indicado é somente um exemplo.

Assinatura Digital
O arquivo FxBgleMO.exe é assinado digitalmente. A Symantec recomenda que você use somente cópias do FxBgleMO.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:

Vá até http://www.wmsoftware.com/free.htm
Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FxBgleMO.exe (por exemplo, C:\Downloads).
Dependendo do seu sistema operacional, faça o seguinte:
- Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
- Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.
Mude para o diretório no qual o FxBgleMO.exe e Chktrust.exe foram salvos e digite:

chktrust -i FxBgleMO.exe

Por exemplo, se você salvou os arquivos na pasta C:\Downloads, deve digitar os seguintes comandos (pressione Enter após digitar cada comando):

cd\ cd downloads chktrust -i FxBgleMO.exe

Pressione Enter após ter digitado cada comando. Se a assinatura digital for válida, você verá o seguinte:

"Do you want to install and run "W32.Beagle.M@mm Removal Tool" signed on 3/16/2004 7:58 AM and distributed by Symantec Corporation?"

Notas:
- A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
- Se estiver em Horário de Verão a hora exibida será exatamente uma hora mais cedo.
- Se essa caixa de diálogo não aparecer, há duas possíveis razões:
  - Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
  - A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, leia o documento How to restore the Publisher Authenticity confirmation dialog box (Este recurso encontra-se em inglês).

5. Clique Yes (Sim) para fechar a caixa de diálogo.
6. Digite Exit e pressione Enter. Isso fechará a sessão MS-DOS.

Parâmetro	Descrição
/HELP, /H, /?	Exibe a mensagem de ajuda.
/NOFIXREG	Desativa o reparo do registro (não recomendamos o uso dessa opção).
/SILENT, /S	Habilita o modo silencioso.
/LOG=<caminho>	Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FxBeagle.log na mesma pasta em que a ferramenta for executada.
/MAPPED	Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).
/START	Força a ferramenta a iniciar a verificação imediatamente.
/EXCLUDE=<caminho>	Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).
/NOFILESCAN	Desativa a verificação dos arquivos de sistema.