Descoberta: October 01, 2002
Atualizado: February 13, 2007 11:34:04 AM
Tipo: Removal Information




IMPORTANTE - LEIA ISTO PRIMEIRO

  • Se estiver em uma rede, ou tiver uma conexão de rede permanente, como DSL ou uma conexão por modem de cabo, você deve desconectar seu sistema da rede e da Internet. Desative o compartilhamento ou--configure com acesso somente leitura--ou com uso de proteção por senha antes de reconectar um sistema à Internet ou à rede. Como esse vírus se espalha através de pastas compartilhadas nos computadores em rede, para assegurar-se de que ele não infecte novamente o computador após a sua remoção, a Symantec sugere o compartilhamento com acesso somente leitura ou o uso de proteção por senha. Para obter instruções sobre como fazer isto, consulte a sua documentação do Windows ou o documento Como configurar as pastas compartilhadas do Windows para máxima proteção em rede.
    Se você estiver removendo uma infecção em uma rede, certifique-se de que todos os compartilhamentos estejam desativados ou configurados como Somente Leitura antes de continuar.
  • Esta ferramenta não foi criada para executar em servidores de Novell Netware. Para remover esta ameaça de um servidor de Netware, execute uma verificação total do sistema depois de certificar-se ter as definições de vírus mais atualizadas.

O que a ferramenta faz

A Ferramenta de Remoção do W32.Bugbear@mm faz o seguinte:
  1. Termina com o processo viral do W32.Bugbear@mm
  2. Apaga os arquivos virais do W32.Bugbear@mm e o Cavalo de Tróia que o worm instala (detectado pelo antivírus da Symantec como PWS.Hooker.Trojan)
  3. Apaga os valores adicionados ao registro pelo worm

NOTA: a ferramenta remove todos os valores da seguinte chave do registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Normalmente, o sistema operacional apaga qualquer valor nessa chave do registro, assim que os processos são executados. Isso é feito automaticamente. Entretanto, o worm recria o valor que apagado pela ferramenta. Antes de executá-la, certifique-se de ter completado quaisquer instalações em andamento e reiniciado o computador, se isso tiver sido solicitado.

Opções na linha de comando disponíveis para essa ferramenta


Opção

Descrição

/HELP, /H, /?

Mostra a mensagem de ajuda.

/NOFIXREG

Desabilita o reparo do registro (não recomendamos usar essa opção).

/SILENT, /S

Habilita o modo silencioso.

/LOG=<caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro Fxbgbear.log na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja notas).

/START

Força a ferramenta a iniciar a verificação, imediatamente.

/EXCLUDE=<path>

Exclui, especificamente, a <pasta> da verificação (não recomendamos o uso dessa opção).

NOTA: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
  • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
  • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

Para obter e executar a ferramenta

NOTAS:
  • Você deve ter privilégios de administrador para executar essa ferramenta no Windows NT4/2000/XP.
  • Tem havido alguns relatos, a maioria nos computadores com Windows 95/98/Me, onde foi necessário executar a ferramenta no Modo de Segurança. Se você tiver problemas ao usar esta ferramenta, primeiro faça o download seguindo as instruções nos passos 1 e 2, e então reinicie o computador no Modo de Segurança. Todos os sistemas operacionais Windows 32-bit, exceto o Windows NT, podem ser reiniciados no Modo de Segurança. Para instruções sobre como fazer isso, consulte o documento Iniciando o computador em modo de segurança.
  • Se o sistema for conectado a uma rede--a linha digital de assinante (DSL) e a conexão por modem de cabo são tipos de rede, deve desconectar o sistema da rede como descrito no passo 5.
  1. Faça o download do arquivo FxBgBear.exe de:

    http://securityresponse.symantec.com/avcenter/FxBgbear.exe
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a área de trabalho do Windows ou numa mídia removível que não esteja infectada, se possível.
  3. Para verificar a autenticidade da assinatura digital, veja a seção A assinatura digital.
  4. Feche todos os programas, antes de executar a ferramenta.
  5. Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
  6. Se estiver usando Windows ME ou XP, desabilite a Restauração do Sistema. Para mais detalhes, veja a seção Opção Restauração do Sistema no Windows ME ou XP.

    NOTA: Se estiver usando o Windows ME/XP recomendamos, enfaticamente, não pular esse passo.
  7. Clique duas vezes no arquivo FxBgbear.exe para iniciar a ferramenta de remoção.
  8. Clique em Start [Iniciar] para começar o processo e deixe a ferramenta se auto-executar.
  9. Reinicie o computador.
  10. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema esteja limpo.
  11. Se estiver usando o Windows ME ou XP, reabilite a Restauração do Sistema.
  12. Execute o LiveUpdate para assegurar-se de estar com as definições de vírus mais atualizadas.

    NOTA: O procedimento de remoção pode não funcionar se a Restauração do Sistema do Windows ME/XP não estiver desabilitada, como solicitado acima, pois o Windows impede qualquer alteração na Restauração do Sistema feita por programas externos. Por esse motivo, a ferramenta de remoção pode falhar.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Bugbear@mm. No caso de remoção do worm, o programa mostra os seguintes resultados:
    • O número total de arquivos verificados
    • O número de arquivos apagados
    • O número de processos virais terminados
    • O número de entradas do registro apagadas

A assinatura digital
O FxBgbear.exe está assinado digitalmente. A Symantec recomenda que você use somente cópias do FxBgbear.exe que tenham sido obtidas, diretamente, do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:
  1. Vá até http://www.wmsoftware.com/free.htm
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FxBgbear.exe (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça o seguinte:
    • Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
    • Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.
  4. Mude para o diretório no qual o FxBgbear.exe e Chktrust.exe foram salvos e digite:

    chktrust -i FxBgbear.exe

    Por exemplo, se você salvou o arquivo na pasta C:\Downloads, deve digitar os seguintes comandos (pressione Enter após digitar cada comando):

    cd\
    cd downloads
    chktrust -i FxBgbear.exe

    Se a assinatura digital for válida, você verá o seguinte:

    Do you want to install and run "W32.Bugbear@mm Fix Tool" signed on 10/1/2002 1:10 PM and distributed by Symantec Corporation?
    (Você deseja instalar e executar a "Ferramenta de Correção W32.Bugbear@mm" assinada em 1/10/2002 13:10 e distribuída pela Symantec Corporation?)

    NOTAS:
      • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico,
      • Se estiver em Horário de Verão marcará, exatamente, uma hora mais cedo.
      • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
        • Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que, realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
        • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, leia o documento How to restore the Publisher Authenticity confirmation dialog box (Este recurso encontra-se em inglês.)
  5. Clique Yes (Sim) para fechar a caixa de diálogo.
  6. Digite exit e pressione Enter. Isso fechará a sessão MS-DOS.

Opção Restauração do Sistema no Windows Me ou XP
Usuários do Windows Me e do Windows XP devem desligar, temporariamente, a Restauração do Sistema. Esta característica, habilitada por padrão, é usada pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que esses arquivos sejam restaurados pela Restauração do Sistema. Por padrão, o Windows previne que a Restauração do Sistema seja alterada por programas externos. Assim, é possível que você, acidentalmente, restaure um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desligar a Restauração do Sistema, leia a documentação do Windows ou um dos seguintes artigos:

Para informações adicionais e como alternativa a desabilitar a Restauração do Sistema, veja na Microsoft Knowledge Base o artigo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder , ID do Artigo: Q263455. (Este recurso encontra-se em inglês.)

Como executar a ferramenta a partir um disquete
  1. Insira o disquete que contém arquivo FxBgbear.exe no drive.
  2. Clique no botão Iniciar e então, em Executar.
  3. Digite o escrito abaixo e clique no botão OK:

    a:\fxbgbear.exe

    NOTAS:
    • Não há espaços no comando a:\fxbgbear.exe
    • Se você estiver usando o Windows ME e a Restauração do Sistema estiver habilitada, surgirá uma mensagem de alerta. Escolha entre executar a ferramenta de remoção com a opção Restauração do Sistema habilitada ou sair da ferramenta de remoção.
  4. Clique Start (Iniciar) para começar o processo e deixe a ferramenta executar-se.
  5. Se estiver usando o Windows Me reabilite a Restauração do Sistema.