Trojan.Desktophijack.B - Eliminação

As instruções a seguir aplicam-se a todos os produtos antivírus Symantec atuais e recentes, incluindo as linhas de produtos Symantec AntiVirus e Norton AntiVirus.

1. Desative a Restauração do Sistema (Windows Me/XP).
2. Atualize as definições de vírus.
3. Execute uma verificação completa do sistema e exclua todos os arquivos detectados.
4. Exclua todos os valores adicionados ao Registro.
   

Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Desativando a Restauração do Sistema (Windows Me/XP)
Se estiver utilizando o Windows Me/XP, recomendamos que desative temporariamente a Restauração do Sistema. Esse recurso que, por padrão, está ativo é utilizado pelo Windows Me/XP para restaurar os arquivos no computador caso eles sejam danificados. Se um vírus, worm ou Cavalo de tróia infectar o computador, a Restauração do Sistema pode armazenar uma cópia do vírus, worm ou Cavalo de tróia no computador.

O Windows evita que a Restauração do Sistema seja alterada por programas externos, inclusive programas antivírus. Portanto, programas antivírus podem não conseguir remover ameaças que se encontrem na pasta da Restauração do Sistema. Como resultado, a Restauração do Sistema tem o potencial de restaurar um arquivo infectado para o computador, mesmo se os arquivos infectados foram removidos de outros locais.

Ainda, pode ser que uma verificação de vírus detecte uma ameaça na pasta da Restauração do Sistema, mesmo se a ameaça foi removida do computador.

Para mais instruções sobre como desativar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes documentos:

• Desativando ou ativando a Restauração do Sistema no Windows Me
• Desativando ou ativando a Restauração do Sistema no Windows XP

Nota: Quando concluir o processo de remoção e estiver seguro de que a ameaça foi removida, reative a Restauração do Sistema seguindo as instruções nos documentos mencionados anteriormente.

Para mais informações e uma alternativa para a desativação da Restauração do Sistema do Windows Me, consulte o artigo da Base de Conhecimento da Microsoft: As Ferramentas do Antivírus Não Podem Excluir os Arquivos Infectados na Pasta _Restore(ID do Artigo: Q263455).

2. Atualizando as definições de vírus
O Symantec Security Response efetua testes completos em todas as definições de vírus para garantir sua qualidade antes de as mesmas serem disponibilizadas em nossos servidores. Há duas maneiras de obter as definições de vírus mais recentes:

• Executando o LiveUpdate, que é a forma mais fácil de obter as definições de vírus. Essas definições são enviadas aos servidores do LiveUpdate uma vez por semana (geralmente, às quartas-feiras), a menos que ocorra uma grande epidemia de vírus. Para determinar se as definições para essa ameaça estão disponíveis através do LiveUpdate, consulte Definições de Vírus (LiveUpdate).
• Obtendo as definições através do Intelligent Updater: As definições de vírus do Intelligent Updater estão disponíveis para download diariamente. O download das definições deve ser feito a partir do website do Symantec Security Response e elas devem ser instaladas manualmente. Para determinar se as definições para essa ameaça estão disponíveis através do Intelligent Updater, consulte Definições de vírus (Intelligent Updater).
  
  Para mais informações, consulte o documento Atualizando os arquivos das definições de vírus utilizando o Intelligent Updater.

3. Verificando e excluindo os arquivos infectados

1. Inicie o produto antivírus Symantec e certifique-se de que ele esteja configurado para verificar todos os arquivos.
   • Para os produtos Norton AntiVirus ao consumidor:Consulte o documento Configurando o Norton AntiVirus para verificar todos os arquivos.
   • Para os produtos Symantec AntiVirus Enterprise:Consulte o documento Verificando se o produto antivírus Symantec Corporate está configurado para verificar todos os arquivos..
2. Execute uma verificação completa do sistema.
3. Se qualquer arquivo for detectado, clique em Excluir.

Importante:Se não conseguir iniciar o produto antivírus Symantec ou o relatório do produto de que ele não pôde excluir um arquivo detectado, será necessário interromper a execução do risco para poder removê-lo. Para fazer isso, execute a verificação no Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador no Modo de Segurança. Assim que tiver reiniciado no Modo de Segurança, execute a verificação novamente.

Após os arquivos terem sido detectados, reinicie o computador no modo Normal e continue na próxima seção.

É provável que mensagens de aviso sejam exibidas ao reiniciar o computador, devido a que o risco pode não ter sido completamente removido até esse momento. Ignore essas mensagens e clique em OK. As mensagens não serão exibidas se o computador for reiniciado após as instruções de remoção terem sido totalmente completadas. As mensagens exibidas podem ser similares às seguintes:

Título: [Caminho do arquivo]
Corpo da mensagem: O Windows não pôde localizar o [nome do arquivo]. Certifique-se de ter digitado o nome corretamente e tente novamente. Para procurar um arquivo, clique em Iniciar > Pesquisar.


4. Excluindo o valor do registro
Importante: A Symantec recomenda fazer um backup do Registro antes de efetuar quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as subchaves que são especificadas. Para mais informações, consulte o documento Fazendo um backup do Registro do Windows.

1. Clique em Iniciar > Executar.
2. Digite regedit
3. Clique em OK.
   
   Nota: Se não conseguir abrir o Editor do registro, o risco pode ter alterado o registro para evitar o acesso ao Editor do registro. O Security Response criou uma ferramentapara solucionar esse problema. Faça o download e execute essa ferramentae continue com a remoção.
   
   
4. Vá até a subchave:
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
5. No painel direito, exclua o valor:
   
   "[Valor Aleatório]" = "[Caminho do Cavalo de tróia]"
   
   
6. Vá até, e exclua, a subchave:
   
   
   HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
   
   
7. Vá até a subchave:
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\Explorer
   
   
8. No painel direito, redefina o valor:
   
   "NoActiveDesktopChanges" = "1"
   
   
9. Vá até a subchave:
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\System
   
   
10. No painel direito, redefina os valores:
    
    "NoDispBackgroundPage" = "1"
    "NoDispAppearancePage" = "1"
    
    
11. Vá até a subchave:
    
    HKEY_CURRENT_USER\Control Panel\Colors
    
    
12. No painel direito, redefina os valores:
    
    "Background" = "0 0 0"
    "WallpaperStyle" = "0"
    
    
13. Saia do Editor do Registro.

Detalhes técnicos