Descoberta: November 28, 2001
Atualizado: February 13, 2007 11:33:46 AM
Tipo: Removal Information


O que a ferramenta faz
A ferramenta de remoção do W32.Badtrans.B@mm faz o seguinte:

  1. Finaliza todos os processos do W32.Badtrans.B@mm.
  2. Exclui os arquivos executáveis do W32.Badtrans.B@mm.

C UIDADO : esta ferramenta remove somente o W32.Badtrans.B@mm. Esta ferramenta não deve ser utilizada para remover outras variantes do W32.Badtrans.


Parâmetros de linha de comando disponíveis para esta ferramenta
/SILENT, /S – Ativa o modo silencioso.
Cria um arquivo de registro onde o <nome do caminho> é o local de armazenamento dos dados de saída da ferramenta.

/START – Força a ferramenta a iniciar a verificação imediatamente.


Para obter e executar a ferramenta
CUIDADO: Uma vez que o computador foi atacado pelo W32.Badtrans.B@mm, é possível que a segurança do sistema tenha sido comprometida. Por esta razão, todas as senhas utilizadas no computador infectado devem ser alteradas. Isso inclui senhas de acesso remoto e de conexão à Internet, senhas de recursos compartilhados, entre outras.

Nota: é necessário ter direitos de Administrador para executar essa ferramenta no Windows NT4.
  1. Faça o download do arquivo FixBadtr.exe utilizando o link abaixo:

    http://securityresponse.symantec.com/avcenter/FixBadtr.exe
  2. Salve-o em local apropriado, como a pasta de downloads ou a Área de Trabalho do Windows (ou, se possível, em uma mídia removível não infectada).
  3. Para verificar a autenticidade da assinatura digital, consulte a seção Assinatura Digital.
  4. Feche todos os programas em execução antes de iniciar a ferramenta.
  5. Se estiver em uma rede ou tiver uma conexão permanente com a Internet, desconecte o computador da rede e da Internet.
  6. Se estiver executando o Windows Me ou XP, desative a Restauração do Sistema. Para mais informações, consulte a seção Opção Restauração do Sistema no Windows Me/XP.

    Nota: se estiver executando o Windows Me/XP, recomendamos que você não ignore esta etapa.
  7. Clique duas vezes no arquivo FixBadtr.exe para ativar a ferramenta de remoção.
  8. Clique em Start para iniciar o processo, e aguarde até o término da execução da ferramenta.
  9. Faça o download das correções da Microsoft para corrigir sistemas vulneráveis. Essas correções podem ser encontradas nos seguintes websites da Microsoft:

    http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
  10. Reinicie o computador.

    Nota: a chave de registro criada pelo worm não será removida até que o computador seja reiniciado.
  11. Execute a ferramenta novamente para garantir que o sistema não permaneceu infectado.
  12. Instale as correções da Microsoft para corrigir o sistema vulnerável.
  13. Se estiver executando o Windows Me ou XP, reative a Restauração do Sistema.
  14. Execute o LiveUpdate para certificar-se de que você possui as definições de vírus mais recentes.

    Nota: O procedimento de remoção pode não ser bem-sucedido se a Restauração do Sistema do Windows Me/XP não estiver desativada como orientado anteriormente, porque o Windows impede que os arquivos da Restauração do Sistema sejam alterados por programas externos. Por causa disso, a ferramenta de remoção pode não funcionar.

Quando a execução da ferramenta for concluída, será exibida uma mensagem indicando se o computador foi infectado pelo W32.Badtrans.B@mm. Se o worm foi removido, a ferramenta exibe os seguintes resultados:
    • O número total de arquivos verificados.
    • O número de arquivos excluídos.
    • O número de processos virais finalizados.


Assinatura Digital
O FixBadtr.exe é assinado digitalmente. A Symantec recomenda que você utilize somente cópias do FixBadtr.exe que tenham sido obtidas diretamente do site do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga essas etapas:
  1. Vá para http://www.wmsoftware.com/free.htm
  2. Faça o download e salve o arquivo chktrust.exe na mesma pasta onde o FixBadtr.exe foi salvo (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça o seguinte:
    • Clique em Iniciar > Programas > Prompt do MS-DOS.
    • Clique em Iniciar > Programas > Acessórios > Prompt de Comando.
    • Vá para a pasta onde o FixBadtr.exe e Chktrust.exe estão armazenados e digite:

      chktrust -i FixBadtr.exe

      Por exemplo, se o arquivo foi salvo na pasta C:\Downloads, você deve digitar os seguintes comandos:

      cd\
      cd downloads
      chktrust -i FixBadtr.exe
  4. Pressione Enter após digitar cada comando. Se a assinatura digital for válida, você verá o seguinte:

    Deseja instalar e executar o "BadTrans Fix Tool" assinado em 29.11.01 às 10:53:00 hs e distribuído pela Symantec Corporation.

    Notas:
    • A data e a hora que são exibidas nessa caixa de diálogo serão ajustadas ao seu fuso horário, se o computador não estiver configurado para o fuso horário do Pacífico.
    • Se estiver no horário de verão, a hora exibida será exatamente uma hora mais cedo.
    • Se essa caixa de diálogo não for exibida, existem duas razões:
        • A ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta é legítima e foi obtida de um website legítimo da Symantec, não a execute.
        • A ferramenta é da Symantece e é legítima. Entretanto, seu sistema operacional foi instruído previamente a sempre confiar no conteúdo da Symantec. Para mais informações sobre como exibir a mensagem de confirmação novamente, consulte o documento Restaurando a caixa de diálogo de confirmação de Autenticidade de Editor.
  5. Clique em Sim para fechar a caixa de diálogo.
  6. Digite exit e pressione Enter. Isso fechará a sessão do MS-DOS.


Opção Restauração do Sistema no Windows Me/XP
Os usuários do Windows Me e do Windows XP devem desativar temporariamente a Restauração do Sistema. Esse recurso, ativado por padrão, é utilizado pelo Windows Me/XP para restaurar arquivos danificados. Quando um computador é infectado por um vírus, worm ou cavalo de Tróia, é possível que a Restauração do Sistema tenha criado uma cópia de segurança desse vírus, worm ou cavalo de Tróia. Por padrão, o Windows impede que os arquivos da Restauração do Sistema sejam alterados por programas externos. Como resultado, existe a possibilidade de restaurar acidentalmente um arquivo infectado, ou, ainda, que verificadores on-line de vírus detectem uma ameaça naquele local. Para obter instruções sobre como desativar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes artigos:

Para mais informações e para uma solução que não envolve desativar a restauração do sistema, consulte o seguinte artigo da Base de Conhecimento da Microsoft Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder , ID do artigo: Q263455:


Executando a ferramenta a partir de um disquete
  1. Insira o disquete que contém o arquivo Fixbadtr.exe na unidade de disquete.
  2. Clique em Iniciar > Executar.
  3. Digite o seguinte e clique em OK:

    a:\fixbadtr.exe


    Notas:
    • Não há espaços no comando a:\fixbadtr.exe
    • Se estiver utilizando o Windows Me e a opção Restauração do Sistema permanecer ativada, uma mensagem de alerta será exibida. Você tem a opção de executar a ferramenta de remoção com a Restauração do Sistema ativada ou sair da ferramenta de remoção.

  4. Clique em Start para iniciar o processo, e aguarde até o término da execução da ferramenta.
  5. Se estiver utilizando o Windows Me, reative a Restauração do Sistema.