W32.Klez.H@mm

Versão para impressão

Descoberta: April 17, 2002
Atualizado: February 13, 2007 11:39:46 AM
Também conhecido como: W32/Klez.h@MM [McAfee], WORM_KLEZ.H [Trend], WORM_KLEZ.I [Trend], I-Worm.Klez.h [Kaspersky], Klez.H, W32/Klez-H [Sophos], Win32.Klez.H [Computer Associa, W32/Klez.I [Panda], W32/Klez.H@mm [Frisk]
Tipo: Worm
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154


W32.Klez.H@mm é uma variante modificada do worm W32.Klez.E@mm . Esta variante é capaz de se espalhar por e-mail e através dos compartilhamentos de rede. Também é capaz de infectar arquivos.

Ferramenta de Remoção
A Symantec oferece uma ferramenta para remover infecções de todas as variantes conhecidas do W32.Klez e do W32.ElKern. Esta é a maneira mais fácil de se remover uma infecção e deve ser tentada primeiro.

Observação relativa às detecções do W32.Klez.gen@mm
W32.Klez.gen@mm (em inglês) é uma detecção genérica que detecta variantes do W32.Klez. Computadores que estiverem infectados com W32.Klez.gen@mm provavelmente estão expostos tanto ao W32.Klez.E@mm quanto ao W32.Klez.H@mm. Se o W32.Klez.gen@mm foi detectado em seu computador, faça o download e execute a ferramenta, Na maioria dos casos, a ferramenta será capaz de remover a infecção.





Também foi reportado que o W32.Klez.H@mm pode chegar em uma mensagem de e-mail relativa a uma ferramenta de remoção da Symantec. A Symantec nunca envia mensagens não solicitadas; o arquivo em anexo deverá ser excluído.

Assunto:  Ferramenta de remoção do W32.Klez removal

Mensagem:
O W32.Klez é um vírus perigoso que se espalha atravésd e e-mail.
A Symantec fornece a você a ferramenta de remoção do W32.Klez.

Para mais informações, por favor, acesse http:/ /www.Symantec.com  

Anexo: Install.exe


A versão em Inglês dessa mensagem encontra-se abaixo:

Assunto: W32.Klez removal tools

Mensagem:
W32.Klez is a dangerous virus that spread through email.
Symantec give you the W32.Klez removal tools

For more information,please visit http:/ /www.Symantec.com  

Anexo: Install.exe

Informações para usuários Novell
Os servidores Novell não estão diretamente vulneráveis, mas um clinete Novell sendo utilizado sob o Windows pode acessar o servidor Novell e executar o arquivo de lá (usando um script para login ou outros meios), o que poderá espalhar o vírus posteriormente.

Para mais infromações sobre como o Klez afeta os computadores Macintosh, consulte o documento Are Macintoshes affected by the Klez virus? (este recurso encontra-se em Inglês).

Datas da proteção antivírus

  • Versão inicial do Rapid Release April 17, 2002
  • Última versão do Rapid Release March 12, 2018 revisão 039
  • Versão inicial diária certificada April 17, 2002 revisão 002
  • Última versão diária certificada March 06, 2018 revisão 008
  • Data da versão inicial semanal certificada April 17, 2002

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Neal Hindocha

Descoberta: April 17, 2002
Atualizado: February 13, 2007 11:39:46 AM
Também conhecido como: W32/Klez.h@MM [McAfee], WORM_KLEZ.H [Trend], WORM_KLEZ.I [Trend], I-Worm.Klez.h [Kaspersky], Klez.H, W32/Klez-H [Sophos], Win32.Klez.H [Computer Associa, W32/Klez.I [Panda], W32/Klez.H@mm [Frisk]
Tipo: Worm
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154


Quando o worm é executado, ele faz o seguinte:

Efetua uma cópia de si mesmo para \%System%\Wink<caracteres aleatórios>.exe.


Nota: %System% é uma variável. O worm localiza a pasta System do Windows (por padrão é C:\Windows\System ou C:\Winnt\System32) e efetua uma cópia de si mesmo para esse local.


Ele adiciona o valor

Wink<caracteres aleatórios> %System%\Wink<caracteres aleatórios>.exe

à chave de registro

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

ou cria a chave de registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[caracteres aleatórios]

e insere um valor and inserts um valor na sub-chave para que o worm seja executado quando o windows for iniciado.

O worm tenta desabilitar os verificadores de vírus "on-access" e alguns worms espalhados previamente (como o W32.Nimda e CodeRed) através da interrupção de seus processos ativos. O worm remove as chaves de registro de inicialização utilizadas por produtos antivírus e remove os arquivos de definições de vírus, incluindo:
  • Anti-Vir.dat
  • Chklist.dat
  • Chklist.ms
  • Chklist.cps
  • Chklist.tav
  • Ivb.ntz
  • Smartchk.ms
  • Smartchk.cps
  • Avgqt.dat
  • Aguard.dat

Cópia para a unidade local e de rede
O worm faz uma cópia de si mesmo para as unidades locais, de rede, unidades mapeadas como:
  • Um nome de arquivo aleatório que possui dupla extensão. Por exemplo: Filename.txt.exe.
  • Um arquivo .rar que possui dupla extensão. Por exemplo: Filename.txt.rar.


E-mail
Este worm procura por endereços de e-mail no catálogo de endereços do Windows, da base de dados do ICQ e nos arquivos locais . O worm envia uma mensagem para esse sendereços com uma cópia de si mesmo em anexo. O worm contém seu próprio mecanismo de SMTP e tenta utilizar quaisquer servidores SMTP disponíveis. Por exemplo, se o worm encontra o endereço usuario@abc123.com ele tentará enviar uma mensagem através do servidor smtp.abc123.com.

A linha de assunto, corpo da mensagem e o nome do arquivo em anexo são aleatórios. O remetente també, é aleatório e selecionado a partir dos endereços de e-mail encontrados no computador infectado.

O worm irá procurar endereços de e-mail em arquivos com as seguintes extensões:
  • mp8
  • .exe
  • .scr
  • .pif
  • .bat
  • .txt
  • .htm
  • .html
  • .wab
  • .asp
  • .doc
  • .rtf
  • .xls
  • .jpg
  • .cpp
  • .pas
  • .mpg
  • .mpeg
  • .bak
  • .mp3
  • .pdf


Além do arquivo anexo contendo o worm, ele também poderá anexar um arquivo aleatório do computador infectado. O arquivo terá uma das extensões:
  • mp8
  • .txt
  • .htm
  • .html
  • .wab
  • .asp
  • .doc
  • .rtf
  • .xls
  • .jpg
  • .cpp
  • .pas
  • .mpg
  • .mpeg
  • .bak
  • .mp3
  • .pdf


Como resultado, a mensagem teria dois anexos, sendo o primeiro o próprio worm e o segundo um arquivo selecionado aleatóriamente.

A mensagem de e-mail enviada pelo worm é composta de sequências aleatórias de caracteres. O assunto poderá ser um dos seguintes:
  • Worm Klez.E immunity
  • Undeliverable mail--"[Palavra aleatória]"
  • Returned mail--"[Random word]"
  • a [Palavra aleatória] [Palavra aleatória] game
  • a [Palavra aleatória] [Palavra aleatória] tool
  • a [Palavra aleatória] [Palavra aleatória] website
  • a [Palavra aleatória] [Palavra aleatória] patch
  • [Palavra aleatória] removal tools
  • how are you
  • let's be friends
  • darling
  • so cool a flash,enjoy it
  • your password
  • honey
  • some questions
  • please try again
  • welcome to my hometown
  • the Garden of Eden
  • introduction on ADSL
  • meeting notice
  • questionnaire
  • congratulations
  • sos!
  • japanese girl VS playboy
  • look,my beautiful girl friend
  • eager to see you
  • spice girls' vocal concert
  • japanese lass' sexy pictures


A palavra aleatória poderá ser uma destas:
  • new
  • funny
  • nice
  • humour
  • excite
  • good
  • powful
  • WinXP
  • IE 6.0
  • W32.Elkern
  • W32.Klez.E
  • Symantec
  • Mcafee
  • F-Secure
  • Sophos
  • Trendmicro
  • Kaspersky


O corpo da mensagem é aleatório.


Spoofing de Email
  • Este worm utiliza frequentemente uma técnica conhecida como "spoofing." Quando ele executa sua rotina de envio de mensagens de e-mail, ele pode usar um endereço de e-mail aleatório que ele encontrar no computador infectado como remetente. Muitos casos têm sido reportados nos quais usuários de computadores não-infectados recebem avisos de que eles enviaram uma mensagem infectada para alguma outra pessoa.

    Por exemplo, Laura Andrade está usando um computador infectado pelo W32.Klez.H@mm. Laura não está usando um programa antivírus ou não possui as definições de vírus mais recentes. Quando o W32.Klez.H@mm executa sua rotina de envio de mensagens de e-mail, ele encontra o endereço de e-mail de Haroldo Leal. O worm então insere o endereço de Haroldo no campo "De:" da mensagem infectada e a envia para Janete Ramos. Janete entra em contato com Haroldo para reclamar ter recebido dele uma mensagem infectada, mas Haroldo efetua uma verificação de vírus em seu computador e nada é encontrado - como esperado - porque não é o computador de Haroldo que possui vírus.

    Se você está usando a versão atual do Norton AntiVirus, possui as definições de vírus mais recentes, verificou seu computador com o Norton Antivirus configurado para verificar todos os arquivos e nada foi encontrado, esteja seguro de que seu computador não está infectado.
  • Tem existido muitos casos onde, em algumas situações, se você receber uma mensagem enviada pelo vírus que tenha usado seu próprio mecanismo SMTP, a mensagem aparecerá como "postmaster bounce message" de seu próprio domínio. Por exemplo, se seu endereço de e-mail é usuário@dominio.com, você pode receber uma mensagem que parece ser do postmaster@dominio.com informando que você tentou enviar uma mensagem e que a tentativa falhou. Se essa falsa mensagem foi enviada pelo vírus, o anexo contém o próprio vírus. Neste caso esses anexos não devem ser abertos.
  • A mensagem pode se fazer passar por uma ferramenta de imunização contra o vírus. Uma das versões dessa falsa mensagem é:

    O Klez.E é o worm que mais de espalha no mundo. Ele é muito perigoso e corrompe seus arquivos. Devido a excelente capacidade de se auto-ocultar e a sua técnica de defesa contra antivírus, muitos softwares antivírus não conseguem detectá-lo ou removê-lo. Nós desemvolvemos esta ferramenta de imunização gratuita para combater esse vírus malicioso. Você só precisa executar esta ferramenta uma vez, e então o Klez nunca virá para o seu computador.

    NOTA: Devido ao fato desta ferramenta agir como um "falso Klez" para enganar o real worm, alguns softwares antivírus talvez reclamem quando você a executar. Se isto acontecer, ignone o aviso e selecione "Continue". Se você tiver qualquer dúvida, envie um e-mail para mim.

Se essa mensagem for aberta em uma versão não corrigida do Microsoft Outlook ou do Outlook Express, o anexo poderá ser automaticamente executado. Informações sobre essa vulnerabilidade estão disponíveis aqui .


Inserção do Vírus
O worm insere o vírus W32.Elkern.4926 como um arquivo de nome aleatório na pasta \%Arquivos de Programas% e o executa.


Nota: %Arquivos de Programas% é uma variável. O worm localiza a pasta \Arquivos de Programas (que por padrão é C:\Arquivos de Programas) e copia o vírus para esse local.

Recomendações

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Escrito por: Neal Hindocha

Descoberta: April 17, 2002
Atualizado: February 13, 2007 11:39:46 AM
Também conhecido como: W32/Klez.h@MM [McAfee], WORM_KLEZ.H [Trend], WORM_KLEZ.I [Trend], I-Worm.Klez.h [Kaspersky], Klez.H, W32/Klez-H [Sophos], Win32.Klez.H [Computer Associa, W32/Klez.I [Panda], W32/Klez.H@mm [Frisk]
Tipo: Worm
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154



Remoção usando a ferramenta de remoção
Ferramenta de Remoção
A Symantec oferece uma ferramenta para remover infecções de todas as variantes conhecidas do W32.Klez e do W32.ElKern. Esta é a maneira mais fácil de se remover uma infecção e deve ser tentada primeiro.

Observação relativa às detecções do W32.Klez.gen@mm:
W32.Klez.gen@mm é uma detecção genérica que detecta variantes do W32.Klez. Computadores que estiverem infectados com W32.Klez.gen@mm provavelmente estão expostos tanto ao W32.Klez.E@mm quanto ao W32.Klez.H@mm. Se o W32.Klez.gen@mm foi detectado em seu computador, faça o download e execute a ferramenta, Na maioria dos casos, a ferramenta será capaz de remover a infecção.


Procedimento de remoção manual para Windows 95/98/Me
Se o W32.Klez.H@mm foi ativado, na maioria dos casos você não poderá iniciar o Norton AntiVirus. Uma vez que o worm seja executado, o processo de remoção poderá ser difícil e demorado. O procedimento a ser seguido irá variar de acordo com o sistema operacional. Por favor, leia e siga as instruções referentes ao seu sistema operacional.

Siga as instruções na ordem listada, Não ignore nenhuma etapa. Este procedimento foi testado e funcionará na maioria dos casos.


Nota: Devido ao dano que pode ser causado por este worm, e dependendo de quantas vezes o mesmo foi executado, o processo poderá não funcionar em todos os casos. Se isso ocorrer, você poderá precisar dos serviços de um técnico em computadores.


1. Faça o download das definições de vírus
    Faça o download das definições de vírus usando o Intelligent Updater. Salve o arquivo na Área de Trabalho do Windows. Este primeiro passo é necessário para assegurar-se de que você possui as definições de vírus mais recentes para serem utilizadas no processo de remoção. As definições de vírus do Intelligent Updater estão disponíveis aqui.

    Para instruções detalhadas de como fazer o download e instalar o Intelligent Updater a partir do site do Symantec Security Response, consulte o documento Como atualizar os arquivos de definição de vírus usando o Intelligent Updater.


2. Reinicie o computador em Modo de Segurança ou em Modo VGA
3. Edite o registro
    Você deverá editar a chave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run e remover o valor wink???.exe após ter anotado o nome exato do arquivo wink.

    CUIDADO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
    1. Clique no botão Iniciar, e em Executar. A caixa de diálogo Executar se abrirá.
    2. Digite regedit e clique em OK. O Editor do Registro será aberto.
    3. Navegue até a chave a seguir:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    4. No painel direito, procure pelos seguintes valores:

      Wink[caracteres aleatórios] %System%\Wink[caracteres aleatórios].exe
      WQK %System%\Wqk.exe

    5. Anote o nome exato do arquivo Wink[caracteres aleatórios].exe .
    6. Exclua o valor Wink[caracteres aleatórios] e o valor WQK (se existir).
    7. Navegue até e expanda a seguinte chave:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
    8. No painel esquerdo, sob a chave \Services, procure pela seguinte sub-chave, e a exclua, se existir:

      \Wink[caracteres aleatórios]


      Nota: Esta chave provavelmente não existirá nos computadores baseados no Windows 95/98/Me, mas ainda assim recomendamos que você faça esta verificação.

    9. Clique em Registro e na opção Sair.

4. Configure o Windows para mostrar todos os arquivos
    1. Abra o Windows Explorer.
    2. Clique no menu Exibir (Windows 95/98) ou no menu Ferramentas (Windows Me/2000/XP) e, em seguida, clique em Opções ou "Opções de pasta".
    3. Clique na guia Exibir.
    4. Desmarque a opção "Ocultar extensões de tipos de arquivo conhecidos".
    5. Siga um dos procedimentos abaixo:
      • Windows 95: Clique em "Mostrar todos os arquivos".
      • Windows 98: Na caixa Configurações avançadas, dentro da pasta "Arquivos ocultos", clique em Mostrar todos os arquivos.
      • Windows Me/2000/XP: Desmarque "Ocultar arquivos protegidos do sistema operacional" e, na pasta "Arquivos ocultos", clique em "Mostrar pastas e arquivos ocultos".
    6. Clique em Sim se uma caixa de diálogo de aviso for exibida.
    7. Clique em Aplicar e em OK.
    5. Exclua o arquivo Wink[caracteres aleatórios]
      Usando o Windows Explorer, abra a pasta C:\Windows\System e localize o arquivo Wink[caracteres aleatórios].exe (dependendo da configuração de seu sistema, a extensão .exe poderá não ser exibida).


      Nota: Se você instalou o Windows em outro local diferente de C:\Windows, faça a substituição adequada.

    6. Esvazie a Lixeira
      Clique com o botão direito do mouse sobre o ícone da Lixeira na Área de Trabalho do Windows e selecione a opção Esvaziar Lixeira.

    7. Execute o Intelligent Updater
      Clique duas vezes sobre o arquivo do Intelligent Updater do passo 1. Clique em Yes ou em OK se solicitado.

    8. Reinicie o computador
      Saia do Windows e desligue o computador usando o botão de força. Aguarde por 30 segundos e ligue-o novamente.


      CUIDADO: Este passo é muito importante. Uma reinfecção irá acontecer caso este passo não seja seguido da forma descrita.


      Deixe o computador iniciar normalmente. Se alguns arquivos forem detectados como infectados pelo W32.Klez.H@mm ou W32.Klez.gen@mm, envie-os para a Quarentena. Alguns dos arquivos que poderão ser encontrados são Luall.exe, Rescue32.exe e Nmain.exe.

    9. Faça uma verificação de vírus com o Norton AntiVirus a partir da linha de comando
      Como alguns arquivos do Norton Antivirus foram danificados pelo worm você deve fazer uma verificação a partir da linha de comando.


      Nota: Estas instruções são somente para as versões domésticas/pequena empresa do Norton Antivirus. O arquivo Navw32.exe não faz parte das versões corporativas do Norton Antivirus como o NAVCE. O verificador de linha de comando do NAVCE, Vpscan.exe, não removerá este worm.

      1. Clique em Iniciar e em Executar.
      2. Digite - ou copie e cole - o comando seguinte, e clique em Ok:

        NAVW32.EXE /L /VISIBLE
      3. Deixe que a verificação seja executada. Envie para a Quarantena quaisquer arquivos adicionais que sejam detectados.

    10. Reinicie o computador
      Deixe o computador iniciar normalmente.

    11. Reinstale o Norton Antivirus

      Nota: Se você estiver usando o Norton Antivirus 2002 no Windows XP, isso pode não ser possível em todos os sistemas. Entretanto, você pode tentar o seguinte:

    1. Abra o Painel de Controle
    2. Clique duas vezes em Ferramentas Administrativas
    3. Clique duas vezes em Serviços.
    4. Na lista, selecione Windows Installer. Clique em Ação e selecione Iniciar.


    12. Reinicie o computador e efetue uma verificação novamente
      1. Saia do Windows e desligue o computador usando o botão de força. Aguarde por 30 segundos e ligue-o novamente.


        CUIDADO: Este passo é muito importante. Uma reinfecção irá acontecer caso este passo não seja seguido da forma descrita.
      2. Execute o LiveUpdate e faça o donwload das definições de vírus mais recentes.
      3. Inicie o Norton AntiVirus e certifique-se de que o Norton Antivirus está configurado para verificar todos os arquivos.is configured to scan all files. Para obter instruções de como fazer isso, consulte o documento Como configurar o Norton AntiVirus para verificar todos os arquivos.
      4. Execute uma verificação completa do sistema. Envie para a Quarantena quaisquer arquivos detectados como infectados pelo W32.Klez.H@mm ou W32.Klez.gen@mm.


    Procedimento de remoção manual para Windows 2000/XP

    1. Faça o download das definições de vírus
      Faça o download das definições de vírus usando o Intelligent Updater. Salve o arquivo na Área de Trabalho do Windows. Este primeiro passo é necessário para assegurar-se de que você possui as definições de vírus mais recentes para serem utilizadas no processo de remoção. As definições de vírus do Intelligent Updater estão disponíveis aqui.

      Para instruções detalhadas de como fazer o download e instalar o Intelligent Updater a partir do site do Symantec Security Response, consulte o documento Como atualizar os arquivos de definição de vírus usando o Intelligent Updater.

    2. Reinicie o computador em Modo de Segurança
      1. Saia do Windows e desligue o computador utilizando o botão de força. Aguarde por trinta segundos. Não ignore esta etapa.
      2. Reinicie o computador em Modo de Segurança. Todos os sistemas operacionais de 32-bits, com exceção do Windows NT, podem ser inicializados em Modo de Segurança. Consulte o documento Como iniciar o computador em modo de segurança para obter instruções detalhadas.
      3. Edite o registro
        Você deverá editar a chave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services e remover a sub-chave Wink[caracteres aleatórios] após ter anotado o nome exato do arquivo wink.

        CUIDADO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
        1. Clique no botão Iniciar, e em Executar. A caixa de diálogo Executar se abrirá.
        2. Digite regedit e clique em OK. O Editor do Registro será aberto.
        3. Navegue até a chave a seguir:

          HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
        4. No painel direito, sob a chave \Services procure a seguinte sub-chave:

          \Wink[
          caracteres aleatórios]
        1. Anote o nome exato do arquivo Wink[caracteres aleatórios].exe .
        2. Exclua a sub-chave Wink[caracteres aleatórios].
        3. Navegue até e expanda a seguinte chave:

          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
        4. No painel direito, procure pelos seguintes valores ew exclua-os se encontrar:

          Wink[caracteres aleatórios] %System%\Wink[caracteres aleatórios].exe
          WQK %System%\Wqk.exe


          Nota: Estes valores provavelmente não existirão nos computadores baseados no Windows 2000/XP, mas ainda assim recomendamos que você faça esta verificação.

        5. Click Registry, and click Exit.


      4. Configure o Windows para mostrar todos os arquivos
        1. Abra o Windows Explorer.
        2. Clique no menu Ferramentas e, em seguida, clique em Opções de pasta.
        3. Clique na guia Exibir.
        4. Desmarque a opção "Ocultar extensões de tipos de arquivo conhecidos".
        5. Desmarque "Ocultar arquivos protegidos do sistema operacional" e, na pasta "Arquivos ocultos", clique em "Mostrar pastas e arquivos ocultos".
        6. Clique em Aplicar e em OK.

      5. Exclua o arquivo Wink[caracteres aleatórios]
        Usando o Windows Explorer, abra a pasta C:\Windows\System e localize o arquivo Wink[caracteres aleatórios].exe (dependendo da configuração de seu sistema, a extensão .exe poderá não ser exibida).


        Nota: Se você instalou o Windows em outro local diferente de C:\Windows, faça a substituição adequada.location other than C:\Windows, make the appropriate substitution.
      6. Esvazie a Lixeira
        Clique com o botão direito do mouse sobre o ícone da Lixeira na Área de Trabalho do Windows e selecione a opção Esvaziar Lixeira.

      7. Execute o Intelligent Updater
        Clique duas vezes sobre o arquivo do Intelligent Updater do passo 1. Clique em Yes ou em OK se solicitado.

      8. Reinicie o computador
        Saia do Windows e desligue o computador usando o botão de força. Aguarde por 30 segundos e ligue-o novamente.


        CUIDADO: Este passo é muito importante. Uma reinfecção irá acontecer caso este passo não seja seguido da forma descrita.

        Deixe o computador iniciar normalmente. Se alguns arquivos forem detectados como infectados pelo W32.Klez.H@mm ou W32.Klez.gen@mm, envie-os para a Quarentena. Alguns dos arquivos que poderão ser encontrados são Luall.exe, Rescue32.exe e Nmain.exe.


      9. Faça uma verificação de vírus com o Norton AntiVirus a partir da linha de comando
        Porque alguns arquivos do Norton Antivirus foram danificados pelo worm você deve fazer uma verificação a partir da linha de comando.


        Nota: Estas instruções são somente para as versões domésticas/pequena empresa do Norton Antivirus. O arquivo Navw32.exe não faz parte das versões corporativas do Norton Antivirus como o NAVCE. O verificador de linha de comando do NAVCE, Vpscan.exe, não removerá este worm.
        1. Clique em Iniciar e em Executar.
        2. Digite - ou copie e cole - o comando seguinte, e clique em OK:

          NAVW32.EXE /L /VISIBLE
        3. Deixe que a verificação seja executada. Envie para a Quarantena quaisquer arquivos adicionais que sejam detectados.


      10. Reinstale o Norton Antivirus

      Nota: Se você estiver usando o Norton Antivirus 2002 no Windows XP, isso pode não ser possível em todos os sistemas. Entretanto, você pode tentar o seguinte:
      1. Abra o Painel de Controle
      2. Clique duas vezes em Ferramentas Administrativas
      3. Clique duas vezes em Serviços.
      4. Na lista, selecione Windows Installer. Clique em Ação e selecione Iniciar.
      Siga as instruções do documento Como restaurar o Norton AntiVirus após a remoção de um vírus para reinstalar o Norton Antivirus.

        11. Reinicie o computador e efetue uma verificação novamente
        1. Saia do Windows e desligue o computador usando o botão de força. Aguarde por 30 segundos e ligue-o novamente.


          CUIDADO: Este passo é muito importante. Uma reinfecção irá acontecer caso este passo não seja seguido da forma descrita.
        2. Execute o LiveUpdate e faça o donwload das definições de vírus mais recentes.
        3. Inicie o Norton AntiVirus e certifique-se de que o Norton Antivirus está configurado para verificar todos os arquivos.is configured to scan all files. Para obter instruções de como fazer isso, consulte o documento Como configurar o Norton AntiVirus para verificar todos os arquivos.
        4. Execute uma verificação completa do sistema. Envie para a Quarantena quaisquer arquivos detectados como infectados pelo W32.Klez.H@mm ou W32.Klez.gen@mm.

        Escrito por: Neal Hindocha