Descoberta: August 01, 2003
Atualizado: February 13, 2007 11:34:47 AM
Tipo: Removal Information



O Symantec Security Response desenvolveu uma ferramenta para limpar infecções das seguintes variantes do W32.Mimail:
W32.Mimail.A@mm
W32.Mimail.C@mm
W32.Mimail.D@mm
W32.Mimail.E@mm
W32.Mimail.F@mm
W32.Mimail.G@mm
W32.Mimail.I@mm
W32.Mimail.J@mm
W32.Mimail.L@mm
W32.Mimail.M@mm

O que a ferramenta faz

A ferramenta de remoção doW32.Mimail.A@mm faz o seguinte:

  1. Finaliza os processos virais do W32.Mimail
  2. Exclui os arquivos do W32.Mimail.
  3. Exclui os arquivos gravados na máquina pelo worm.
  4. Exclui os valores de Registro adicionados pelo worm..

Parâmetros de linha de comando disponíveis para essa ferramenta



Parâmetro

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/SILENT, /S

Habilita o modo silencioso.

/LOG=<caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FxMimail.log na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).


Nota: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
  • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
  • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.


Para obter e executar a ferramenta

Nota: Você deve ter privilégios de administrador para executar essa ferramenta no Windows NT4/2000/XP.

  1. Faça o download do arquivo FxMimail.exe a partir de http://www.symantec.com/avcenter/FxMimail.exe.
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a área de trabalho do Windows ou numa mídia removível que não esteja infectada, se possível.
  3. Para verificar a autenticidade da assinatura digital, veja a seção Assinatura digital.
  4. Se você estiver usando Windows ME ou XP, desabilite a Restauração do Sistema. Para mais detalhes, veja a seção Opção de Restauração do Sistema no Windows ME ou XP.

    Cuidado:
    Se você estiver usando o Windows ME/XP recomendamos enfaticamente que você não ignore esse passo.
  5. Clique duas vezes no arquivo FxMimail.exe para iniciar a ferramenta de remoção.
  6. Clique em Start [Iniciar] para iniciar o processo e deixe a ferramenta ser executada.
  7. Reinicie o computador.
  8. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema esteja limpo.
  9. Se estiver usando o Windows ME ou XP, habilite novamente a opção de Restauração do Sistema.
  10. Execute o LiveUpdate para assegurar-se de estar com as definições de vírus mais atualizadas.

Nota: O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desabilitada, porque o Windows não permite que outros programas modifiquem a Restauração do Sistema.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Mimail.A@mm. No caso de remoção do worm, o programa mostra os seguintes resultados:
  • O número total de arquivos verificados
  • O número de arquivos apagados
  • O número de processos virais terminados
  • O número de entradas do registro apagadas


Assinatura Digital
O FxMimail.exe é assinado digitalmente. A Symantec recomenda que você use somente cópias do FxMimail.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:
  1. Vá para http://www.wmsoftware.com/free.htm.
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FxMimail.exe (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça o seguinte:
    • Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
    • Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.

  4. Mude para o diretório no qual o FxMimail.exe e Chktrust.exe foram salvos e digite:

    cd\
    cd downloads
    chktrust -i FxMimail.exe

    Pressione Enter após ter digitado cada comando. Se a assinatura digital for válida, você verá o seguinte:

    Do you want to install and run "W32.Mimail Removal Tool" signed on 12/03/2003 12:09 AM and distributed by Symantec Corporation?
    (Você deseja instalar e executar a "Ferramenta de Remoção do W32.Mimail" assinada em 03/12/2003 às 00h09 e distribuída pela Symantec Corporation?)

    Notas:
    • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
  • Se estiver em Horário de Verão a hora exibida será exatamente uma hora mais cedo.
  • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
    • Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
    • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, leia o documento How to restore the Publisher Authenticity confirmation dialog box (Este recurso encontra-se em inglês).

5. Clique Yes (Sim) para fechar a caixa de diálogo.
6. Digite Exit e pressione Enter. Isso fechará a sessão MS-DOS.

Opção Restauração do Sistema no Windows Me ou XP
Usuários do Windows Me e do Windows XP devem desabilitar temporariamente a Restauração do Sistema. Este recurso, habilitado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que essas ameaças sejam restauradas pela Restauração do Sistema.

O Windows previne que a Restauração do Sistema seja alterada por programas externos. Assim, programas antivírus ou ferramentas de remoção não conseguem remover limpar arquivos da pasta de Restauração do Sistema. Como resultado, o recurso possui potencial para infectar o computador novamente, caso uma restauração seja executada.

Para instruções sobre como desligar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes artigos:

Para informações adicionais, ou uma alternativa a desabilitação do recurso, consulte o documento da Base de Dados da Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455) (este recurso encontra-se em Inglês).