Atualizado: February 13, 2007 11:33:25 AM
Tipo: Removal Information


A ferramenta de remoção do CodeRed faz a remoção do CodeRed I e II , incluindo o CodeRed.F , e realiza uma avaliação da vulnerabilidade do seu computador. A Symantec está fornecendo o que ela acredita ser um utilitário seguro, confiável e protegido para remover os efeitos de uma infecção do CodeRed.

Para obter e executar a ferramenta:

  1. Vá ao endereço http://www.sarc.com/avcenter/FixCRed.exe.
  2. Faça o download do arquivo FixCRed.exe para um lugar conveniente, como a pasta de download ou a área de trabalho do Windows.
  3. Para verificar a autenticidade da assinatura digital, consulte a seção A assinatura digital.
  4. Feche todos os programas antes de executar a ferramenta, incluindo qualquer verificador por demanda (tal como o Auto-Protect do NAV).
  5. Clique duas vezes no arquivo FixCRed.exe para iniciar a ferramenta de remoção.

    NOTA: Se você fez o download da ferramenta para um disquete e deseja executá-la a partir dele, veja a seção Como executar a ferramenta a partir um disquete no final deste documento para instruções especiais.
  6. Clique em Start (Iniciar) para começar o processo e deixe a ferramenta se auto-executar.
  7. Ative novamente o Auto-Protect.

NOTAS:
    • A ferramenta de remoção verifica o CodeRed I e II apenas no Windows 2000. Entretanto, ela irá detectar e remover o Trojan.VirtualRoot em todas as versões do Windows.
    • Quando o procedimento é finalizado, a ferramenta de remoção pode detectar que você tem compartilhamentos abertos. A ferramenta irá remover os compartilhamentos abertos automaticamente.

Quando a ferramenta termina de ser executada, você verá a mensagem indicando se o computador estava infectado pelo worm do CodeRed ou pelo Trojan.VirtualRoot. Ela também irá exibir uma mensagem se o seu computador está vulnerável a reinfecção. Se o CodeRed foi detectado na memória ou se o computador está vulnerável, a ferramenta irá abrir o navegador padrão da Web e carregar a página da Microsoft que contém o patch. A ferramenta não irá verificar o Trojan.VirtualRoot até que o patch seja aplicado.

No caso de uma remoção do Trojan.VirtualRoot, o programa exibe os seguintes resultados:
    • O número total de arquivos verificados
    • O número de arquivos apagados
    • O número de processos virais terminados

O que a ferramenta faz
A Ferramenta faz o seguinte:
  1. Verifica a presença na memória de todas as variantes conhecidas do CodeRed.
  2. Realiza uma avaliação de vulnerabilidade do computador. Se ele está vulnerável, a ferramenta abre o navegador da Web e carrega a página da Microsoft que contém o patch.
  3. Tenta finalizar os processos do CodeRed e do Trojan.VirtualRoot.
  4. Verifica e exclui os arquivos Trojan.VirtualRoot liberados pelo CodeRed II.
  5. Remove os mapeamentos IIS em /Scripts ou /MSADC e restaura o System File Checker.
  6. Exclui os quatro arquivos a seguir, se eles existirem:
    • C:\inetpub\Scripts\Root.exe
    • D:\inetpub\Scripts\Root.exe
    • C:\progra~1\Common~1\System\MSADC\Root.exe
    • D:\Progra~1\Common~1\System\MSADC\Root.exe
  7. Detecta e remove automaticamente os compartilhamentos abertos criados pelo Trojan.VirtualRoot.
  8. Exclui os valores /MSADC e /Scripts do registro para evitar que sejam colocados na Metabase do IIS se eles ainda não existirem. Se esses valores já existirem a exclusão é inofensiva, porque o IIS irá restaurar os valores padrão.
  9. Registra a atividade no arquivo FixCRed.log. Esse arquivo é guardado na mesma pasta que a ferramenta.
    NOTA: Você precisa ter os privilégios de Administrador para deixar que a ferramenta não mapeie as raízes virtuais que foram criadas pelo worm, a partir da metabase do IIS.

    A assinatura digital

    O FixCRed.exe está assinado digitalmente. A Symantec recomenda que você use somente cópias do FixCRed.exe que tenham sido obtidas, diretamente, do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:
    1. Vá até http://www.wmsoftware.com/free.htm
    2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FixCRed.exe, por exemplo, C:\Downloads.
    3. Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.
    4. Mude para o diretório no qual o FixCRed.exe e o Chktrust.exe foram armazenados e digite:

      chktrust -i FixCRed.exe

      Por exemplo, se você salvou o arquivo na pasta C:\Downloads, eis como chegar à pasta e digitar o comando:

      cd\
      cd downloads
      chktrust -i FixCRed.exe

      Aperte Enter depois de digitar cada comando.
    5. Se a assinatura digital for válida, você verá o seguinte aviso:

      Do you want to install and run "FixCRed.exe" signed on 9/5/2001 8:42 AM and distributed by Symantec Corporation?
      (Você deseja instalar e executar o “FixCRed.exe” assinada em 5/9/2002, 19:17, e distribuída pela Symantec Corporation?)

      NOTAS:
      • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
      • Se estiver em Horário de Verão marcará, exatamente, uma hora mais cedo.
      • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
        • A ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que, realmente, tenha sido obtida através do site da Symantec, você não deve executá-la.
        • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, leia o documento How to restore the Publisher Authenticity confirmation dialog box. (Como restaurar a caixa de confirmação de Autenticidade de Editor).
    6. Clique Yes (Sim) para fechar a caixa de diálogo.
    7. Digite exit e então pressione Enter. Isso fechará a sessão MS-DOS.

    Como executar a ferramenta a partir um disquete
    1. Insira o disquete que contém arquivo FixCRed.exe na unidade de disquete.
    2. Clique em Iniciar e então, em Executar.
    3. Digite o seguinte e depois clique em OK:

      a:FixCRed.exe
    4. Clique Start (Iniciar) para começar o processo e deixe a ferramenta se auto-executar.