Atualizado: February 13, 2007 11:33:56 AM
Tipo: Removal Information


AVISO: Existem duas versões para este worm: Wscript.KakWorm e Wscript.KakWorm.B. A ferramenta descrita nesta página serve apenas para o Wscript.KakWorm.
Por favor, clique aqui para a ferramenta de remoção do Wscript.KakWorm.B .

Como obter e utilizar a ferramenta de reparo do Wscript.KakWorm
Para utilizar esta ferramenta, recomendamos que você faça o download do arquivo Fixkak.exe para a sua área de trabalho do Windows ou para uma pasta em seu disco rígido. Após terminar o download do arquivo, siga os seguintes passos:

  1. Feche todos os programas.
  2. Clique duas vezes sobre o Fixkak.exe para executá-lo. Uma caixa de diálogo Ferramenta de Reparo irá aparecer.
  3. Clique sobre Remover. Umas das três seguintes mensagens aparecerão após você clicar sobre Remover:
    • "Seu computador não está infectado" (Seu sistema está protegido e você não precisa fazer nada).
    • "Seu computador foi restaurado com sucesso" (O worm foi removido e o seu sistema agora está livre dos danos provocados pelo mesmo.)
    • "Ocorreu um erro durante a execução deste programa" (A ferramenta de remoção encontrou um problema que ela não pôde solucionar. Será necessário remover o worm manualmente. Consulte esta página para obter as instruções da remoção manual.)

O que a ferramenta faz
A ferramenta de reparo do Wscript.KakWorm só funciona no Windows 95/98 ou Windows NT. Ela opera as seguintes mudanças em seu sistema:
  • Procura pelo arquivo Kak.hta que o worm colocou na pasta Iniciar. Se o arquivo estiver presente e o CRC (checagem de redundância cíclica) for compatível, ele exclui este arquivo. (CRC é um número derivado de um bloco de dados que detecta erros quando um dado é transferido.)
  • Checa o valor de cAgOu na seguinte chave de registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      Se este valor estiver presente, será excluído.
      • A ferramenta procura por todas as chaves abaixo:

      HKEY_CURRENT_USER\Identities\<subkeys>\Software\Microsoft\Outlook Express\5.0\Signatures

      onde  <subkeys> representa todas as subchaves possíveis de HKEY_CURRENT_USER\Identities
      • Procura pelo valor de Assinatura Padrão na chave de Assinaturas para o Outlook Express 5.0. Se presente, este valor será excluído.
      • Procura e exclui o Kak.htm nas pastas do Windows.
      • Restaura o arquivo original Autoexec.bat.
      • Se estiver presente, a ferramenta irá excluir a subchave \00000000 que o worm cria no:

      HKEY_CURRENT_USER\Identities\???\Software\Microsoft\Outlook Express\5.0\Signatures\00000000

      AVISO: Devido ao worm não salvar esta informação, a ferramenta não pode restaurar a assinatura padrão do Outlook Express, se alguma existia antes do
      Outlook Express ser infectado.

      Informações sobre o Chktrust
      Para verificar a assinatura digital do Fixkak.exe utilizando o Chktrust.exe:
      1. Faça o download do Chktrust.exe dentro da mesma pasta onde você salvou o Fixkak.exe.
      2. Clique em Iniciar, aponte para Programas e clique no Prompt do MS-DOS.
      3. Mude para a pasta onde o Fixkak.exe e o Chktrust.exe estão armazenados. Por exemplo, se os arquivos foram salvos na área de trabalho do Windows, digite:

        cd \windows\desktop
      4. Digite o seguinte comando para checar a assinatura digital do Fixkak.exe:

        chktrust -i fixkak.exe
      5. Se a assinatura digital for válida, você verá uma mensagem como esta:

        Do you want to install and run “Fix Kak Utility" signed on 07/28/2000 05:38 PM and distributed by Symantec Corporation.
        (Você deseja instalar e executar o Fix Kak Utility assinado em 28/07/2000 17:38 e distribuído pela Symantec Corporation.)

        AVISOS:
        • A data e hora que são exibidos neste diálogo serão ajustadas para o seu fuso horário se o seu computador não estiver configurado para o horário do Pacífico.
        • Se você estiver em Horário de Verão, a hora exibida será uma hora mais cedo.
        • Você também poderá receber a mensagem Resultado:0". Se isto acontecer, então o teste é positivo e o arquivo é da Symantec.
        • Se esta mensagem não aparecer ou a data e hora não estiverem adequadamente ajustadas para o seu fuso horário, não utilize a sua cópia do Fixkak.exe. Ela não é da Symantec.
      6. Clique Sim para fechar a caixa de diálogo Chktrust.
      7. Digite sair e então pressione Enter.