Descoberta: July 20, 2001
Atualizado: February 13, 2007 11:33:23 AM
Tipo: Removal Information


A ferramenta de remoção do W32.Sircam.Worm@mm exclui os arquivos infectados pelo worm W32.Sircam.Worm@mm e remove as alterações feitas a um computador por esse vírus.
Para obter e executar a ferramenta:

  1. Vá para http://www.sarc.com/avcenter/FixSirc.com.
  2. Faça o download do arquivo Fixsirc.com em um local conveniente, como sua pasta de downloads ou a área de trabalho do Windows. Se estiver em uma rede, a ferramenta de remoção deverá ser aplicada em todos os computadores, incluindo o servidor.
  3. Para verificar a autenticidade da assinatura digital, consulte a seção A assinatura digital.
  4. Feche todos os programas antes de executar a ferramenta, incluindo qualquer verificador antivírus como, por exemplo, a Proteção automática do NAV.

    CUIDADO: Não ignore essa etapa (e observe também a nota que vem a seguir). Você deve desativar o Auto-Protect antes de executar a ferramenta. Para obter instruções, consulte o documento How to enable and disable Norton AntiVirus Auto-Protect (inglês).

    NOTA: Há uma exceção ao requisito de desativação do Auto-Protect: Se o NAV detectou e colocou o vírus em quarentena e o NAV não estiver mais em execução devido às alterações no registro feitas pelo worm, não será possível desativar o Auto-Protect, pois ele não estará mais em execução. Porém, certifique-se de que o Auto-Protect do NAV está desativado, tentando desativá-lo conforme descrito acima.
  5. Se você estiver em uma rede ou tiver uma conexão constante com a Internet, desconecte o computador da rede e da Internet. Desative ou proteja com senha o compartilhamento de arquivos, antes de conectar os computadores novamente à rede ou à Internet. Como esse worm se propaga através de pastas compartilhadas nos computadores em rede, para assegurar-se de que ele não infecte novamente o computador após a sua remoção, a Symantec sugere o compartilhamento com acesso somente leitura ou o uso de proteção por senha. Para obter instruções sobre como fazer isto, consulte a sua documentação do Windows ou o documento How to configure shared Windows folders for maximum network protection (inglês).

    CUIDADO: Não ignore esta etapa. É necessário desconectar-se da rede antes de executar a ferramenta.
  6. Se estiver executando o Windows Me ou XP, desative a Restauração do sistema. Consulte a seção Opção de restauração do sistema no Windows Me/XP para obter mais informações.

    NOTA: Se estiver executando o Windows Me/XP, recomendamos não ignorar esta etapa.
  7. Clique duas vezes no arquivo Fixsirc.com para iniciar a ferramenta de remoção.

    NOTA: Se a ferramenta foi descarregada em um disquete, e você desejar executá-la a partir desse disquete, consulte a seção Como executar a ferramenta a partir de um disquete, no final deste documento, para obter instruções especiais.

    NOTA: Se você estiver usando o Windows Me e a opção Restauração do sistema permanecer ativada, será exibida uma mensagem de alerta. Você tem a opção de executar a ferramenta de remoção com a Restauração do sistema ativada (não recomendado) ou sair da ferramenta de remoção.
  8. Clique em Iniciar para começar o processo e permitir que a ferramenta seja executada.
  9. Se estiver usando o Windows Me/XP, reative a Restauração do sistema.
  10. Ative novamente o Auto-Protect.

NOTA:
  • Se for exibida uma mensagem para que a ferramenta seja executada no modo de segurança, reinicie o computador nesse modo e execute a ferramenta novamente. Siga essa instrução, para que o vírus não infecte o computador novamente. Para iniciar no modo de segurança, consulte o documento Como reiniciar o Windows 9x ou Windows Me no modo de segurança
  • O processo de remoção poderá não ser executado com êxito no caso da desativação da Restauração do sistema no Windows ME, porque o Windows impede a Restauração do sistema de ser modificada fora dos programas. Devido a isso, todas as tentativas de remoção do worm feitas pela ferramenta de remoção poderão falhar.
  • Quando o procedimento for encerrado, a ferramenta de remoção poderá detectar que você está usando o Windows ME e a Restauração do sistema permanecerá desativada. Nesse caso, uma mensagem para a reativação dessa opção será exibida.
  • Se precisar executar a ferramenta em scripts de login ou em arquivos de lotes sem mensagens exibidas, use a seguinte sintaxe da linha de comando para o modo silencioso:
    Fixsirc.com /s

Quando a ferramenta terminar sua execução, será exibida uma mensagem indicando se o computador foi infectado pelo W32.Sircam.Worm@mm worm. Caso o worm seja removido, o programa exibe os seguintes resultados:
  • O número total de arquivos verificados.
  • O número de arquivos excluídos.
  • O número de chaves do Registro que foram corrigidas.

O que a ferramenta faz
A ferramenta de remoção do W32.Sircam.Worm@mm faz o seguinte:
  1. Verifica e exclui os arquivos infectados com o worm W32.Sircam.Worm@mm worm.
  2. A ferramenta remove as seguintes chaves do Registro:

    HKEY_LOCAL_MACHINE\Software\SirCam
  3. Na chave do Registro

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

    ela exclui os seguintes valores:

    Driver32
  4. Na chave do Registro

    HKEY_CLASSES_ROOTexefile\shell\open\command

    A ferramenta modifica o valor [Padrão] configurando-o como:

    "%1" %*
  5. A ferramenta remove a linha "@win \recycled\sirc32.exe" do arquivo C:\Autoexec.bat.
  6. Ela restaura também o arquivo Rundll32.exe, renomeado pelo worm.

A assinatura digital
O FixSirc.com possui uma assinatura digital. A Symantec recomenda que você use cópias do FixSirc.com que foram descarregadas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga estas etapas:
  1. Vá para http://www.wmsoftware.com/free.htm
  2. Faça o download e salve o arquivo chktrust.exe na mesma pasta onde salvou o FixSirc.com (por exemplo, C:\Downloads).
  3. Clique em Iniciar, aponte para Programas e clique no Prompt do MS-DOS.
  4. Vá para a pasta onde o FixSirc.com e Chktrust.exe estão armazenados e digite:

    chktrust -i FixSirc.com

    Por exemplo, se você salvou o arquivo na pasta C:\Downloads:

    cd\
    cd downloads
    chktrust -i FixSirc.com

    Pressione a tecla Enter depois de digitar cada comando.
  5. Se a assinatura digital for válida, você verá uma mensagem semelhante a:

    Deseja instalar e executar o "FixSirc.com" assinado em 31/7/01 09:36:00 e distribuído pela Symantec
    Corporation?

    NOTAS:
    • A data e hora exibidas nessa caixa de diálogo serão ajustadas de acordo com o seu fuso horário local caso seu computador não esteja definido para o fuso horário do Pacífico.
    • Se estiver no horário de verão, será exibida exatamente uma hora mais cedo.
    • Se essa caixa de diálogo não for exibida, não use a sua cópia do fixsirc.com. Não é da Symantec.
  6. Clique em Sim para fechar a caixa de diálogo.
  7. Digite exit e pressione Enter. Isso fechará a sessão do MS-DOS.

A opção Restauração do sistema no Windows Me/XP
Os usuários do Windows Me e do Windows XP devem desativar temporariamente a Restauração do sistema. Esse recurso, que por padrão está ativado, é utilizado pelo Windows Me/XP para restaurar arquivos no computador, caso se tornem danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia, é possível que o vírus, worm ou Cavalo de Tróia tenha sido armazenado pela Restauração do sistema. Por padrão, o Windows impede que a Restauração do sistema seja modificada por programas externos. Como resultado, existe a possibilidade de que você restaure acidentalmente um arquivo infectado, ou que as verificações on-line detectem uma ameaça nesse local. Para obter instruções sobre como desativar a Restauração do sistema, leia a documentação do Windows ou um dos seguintes artigos:
Para obter informações adicionais e uma alternativa para a desativação da Restauração do sistema do Windows Me, consulte o artigo do Knowledge Base da Microsoft Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder , ID do artigo: Q263455. (inglês)

Como executar a ferramenta a partir de um disquete
  1. Insira o disquete que contém o arquivo Fixsirc.com na unidade de disquete.
  2. Clique em Iniciar e em Executar.
  3. Digite o seguinte e clique em OK:

    a:\fixsirc.com

    NOTAS:
    • Não deve haver espaços no comando a:\fixsirc.com
    • Se você estiver usando o Windows Me e a opção Restauração do sistema permanecer ativada, será exibida uma mensagem de alerta. Você tem a opção de executar a ferramenta de remoção com a Restauração do sistema ativada, ou sair da ferramenta de remoção.
  4. Clique em Iniciar para começar o processo e permitir que a ferramenta seja executada.
  5. Se estiver usando o Windows Me, reative a Restauração do sistema.