Descoberta: January 14, 2003
Atualizado: February 13, 2007 11:34:12 AM
Tipo: Removal Information


O que a ferramenta faz

A Ferramenta de Remoção do W32.Sobig.A@mm faz o seguinte:

  1. Encerra todos os processos virais do W32.Sobig.A@mm
  2. Apaga os arquivos virais do W32.Sobig.A@mm
  3. Apaga os valores de registro adicionados pelo worm
Opções da linha de comando disponíveis para essa ferramenta

Opção

Descrição

/HELP, /H, /?

Mostra a mensagem de ajuda.

/NOFIXREG

Desabilita o reparo do registro (o uso desta opção não é recomendado).

/SILENT, /S

Habilita o modo silencioso.

/LOG=<path name>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro, FixSobig.log, na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja nota abaixo).

/START

Força a ferramenta a iniciar a verificação, imediatamente.

/EXCLUDE=<path>

Exclui o <caminho> especificado da verificação (o uso desta opção não é recomendado).

NOTA: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
  • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
  • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

Obtendo e executando a ferramenta

Nota: Você deve possuir direitos de Administrador para executar esta ferramenta no Windows NT 4.0, Windows 2000 ou Windows XP
  1. Faça o download do arquivo FixSobig.exe de: http://securityresponse.symantec.com/avcenter/FixSobig.exe
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a área de trabalho do Windows (ou uma mídia removível que não esteja infectada).
  3. Para verificar a autenticidade da assinatura digital, veja a seção "A assinatura digital" neste documento.
  4. Feche todos os programas antes de executar a ferramenta.
  5. Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
  6. Se estiver usando Windows ME ou XP desabilite a Restauração do Sistema. Para mais detalhes, veja a seção "Opção Restauração do Sistema no Windows ME ou XP" mais a diante neste documento.

    Cuidado: Se estiver usando o Windows ME/XP recomendamos, enfaticamente, não pular esse passo.
  7. Clique duas vezes no arquivo FixSobig.exe para iniciar a ferramenta de remoção.
  8. Clique em Start [Iniciar] para começar o processo e deixe a ferramenta se auto-executar.
  9. Reinicie o computador.
  10. Execute a ferramenta de remoção outra vez para se assegurar de que o sistema está limpo.
  11. Se você está usando o Windows Me/XP, reative a Restauração do Sistema.
  12. Execute o LiveUpdate para ter certeza de que você está usando as definições de vírus mais recentes.

NOTA: O procedimento de remoção pode não funcionar se a Restauração do Sistema do Windows ME/XP não estiver desabilitada, como solicitado acima, pois o Windows impede qualquer alteração na Restauração do Sistema feita por programas externos.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Sobig.A@mm. No caso de remoção do worm, o programa mostra os seguintes resultados:
    • O número total de arquivos verificados
    • O número de arquivos apagados
    • O número de arquivos reparados
    • O número de processos virais terminados
    • O número de entradas do registro reparadas

    A assinatura digital
    O FixSobig.exe está assinado digitalmente. A Symantec recomenda que você use somente cópias do FixSobig.exe que tenham sido obtidas, diretamente, do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:
    1. Vá para http://www.wmsoftware.com/free.htm.
    2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FixSobig.exe (por exemplo, C:\Downloads).
    3. Dependendo do seu sistema operacional, faça o seguinte:
      • Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
      • Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.
    4. Mude para o diretório no qual o FixSobig.exe e o Chktrust.exe foram salvos e digite:

      chktrust -i FixSobig.exe.

      Por exemplo, se você salvou o arquivo na pasta C:\Downloads, você deve digitar os seguintes comandos:

      cd\
      cd downloads
      chktrust -i FixSobig.exe.

      Pressione Enter após digitar cada comando. Se a assinatura digital for válida, você verá o seguinte:

      "Do you want to install and run the " W32.Sobig.A@mm Fix Tool" signed on 1/14/2003 9:45 AM and distributed by Symantec Corporation?"
      (Você deseja instalar e executar a"Ferramenta de Correção W32.Sobig.A@mm" assinada em 1/14/2003 9:45 e distribuída pela Symantec Corporation?)

      NOTA
      • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
      • Se estiver em Horário de Verão marcará, exatamente, uma hora mais cedo.
      • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
        • Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
        • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, leia o documento, How to restore the Publisher Authenticity confirmation dialog box (Como restaurar a caixa de confirmação de Autenticidade de Editor). Este recurso encontra-se em inglês.
    5. Clique Yes (Sim) para fechar a caixa de diálogo.
    6. Digite exit e pressione Enter. (Isso fechará a sessão MS-DOS.)

    Opção Restauração do Sistema no Windows Me/XP

    Usuários do Windows Me e do Windows XP devem desligar, temporariamente, a Restauração do Sistema. Esta característica, habilitada por padrão, é usada pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que esses arquivos sejam restaurados pela Restauração do Sistema.

    Por padrão, o Windows previne que a Restauração do Sistema seja alterada por programas externos incluindo programas antivírus. Portanto, os programas ou ferramentas antivírus não podem remover ameaças da pasta Restauração do Sistema. Como resultado, a Restauração do Sistema tem o potencial para restaurar um arquivo infectado em seu computador mesmo depois que você eliminou os arquivos infectados de todos os outros locais.

    Também, em alguns casos, as verificações on-line podem detectar uma ameaça na pasta de Restauração do Sistema mesmo que você tenha verificado o seu computador com um programa antivírus e não tenha encontrado nenhum arquivo infectado.

    Para instruções sobre como desligar a Restauração do Sistema, leia a documentação do Windows ou um dos seguintes artigos:


    Para informações adicionais e como alternativa a desabilitar a Restauração do Sistema, veja na Microsoft Knowledge Base o artigo, "Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder," (Ferramentas de Antivírus não podem limpar arquivos infectados na pasta _Restore), ID do Artigo: Q263455. (Este recurso encontra-se em inglês).