Descoberta: September 19, 2003
Atualizado: February 13, 2007 11:34:56 AM
Tipo: Removal Information


O Symantec Security Response desenvolveu uma ferramenta de remoção para limpar infecções do W32.Swen.A@mm.

O que a ferramenta faz

A ferramenta de remoção do W32.Swen.A@mm faz o seguinte:

  1. Finaliza os processos virais do W32.Swen.A@mm.
  2. Exclui os arquivos do W32.Swen.A@mm.
  3. Exclui os arquivos gravados na máquina pelo worm.
  4. Exclui os valores de Registro adicionados pelo vírus.


Parâmetros de linha de comando disponíveis para essa ferramenta


Parâmetro

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S

Habilita o modo silencioso.

/LOG=<caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FixSwen.log na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).

  • O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
    • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
    • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.
    Por essas razões, você deve executar a ferramenta em cada um dos computadores.
  • O parâmetro /EXCLUDE funcionará somente para um caminho, não vários. Uma alternativa é adicionar o parâmentro /NOFILESCAN seguido de uma verificação manual com seu produto antivírus da Symantec. Isto permite que a ferramenta altere o registro. Então, verifique o computador usando as definições de vírus mais recentes.
    • O comando abaixo é um exemplo de como o parâmetro /EXCLUDE pode ser usado para uma única unidade:

      "C:\Documentos e Configurações\usuario1\Desktop\FixSwen.exe" /EXCLUDE=M:\ /LOG=c:\FixSwen.txt
    • Como alternativa, o comando abaixo irá ignorar os arquivos do sistema, mas irá corrigir as alterações feitas ao registro. Você deve então executar uma verificação usual no sistema usando as exclusões adequadas:

      "C:\Documentos e Configurações\usuario1\Desktop\FixSwen.exe" /NOSCANFILE /LOG=c:\FixSwen.txt

      (O nome do arquivo pode ser definido por você)



Para obter e executar a ferramenta



Antes de começar:

Devido às numerosas alterações feitas ao registro do Windows, o processo de remoção pode ser difícil se o worm já foi executado e seu produto antivírus da Symantec enviou para a quarentena ou excluiu o worm. Se isto ocorreu, pode não ser possível fazer o download e executar a ferramenta.

As ações a serem tomadas no caso o worm tenha sido executado e seus arquivos enviados para a quarentena ou excluídos dependem do seu ssitema operacional:
    • Windows NT/2000/XP: Faça o download da ferramenta como descrito nos passos abaixo. Entretanto, altere a extensão para .cmd como descrito na Nota na etapa 5.
    • Windows 95/98/Me: Alterar a extensão da ferramenta não funcionará nesses sistemas, Sendo assim, siga a as instruções da seção "O W32.Swen.A@mm foi enviado para a quarentena ou excluído" do documento do W32.Swen.A@mm.


Nota: Você deve ter direitos administrativos para executar este ferramenta no Windows NT 4.0, Windows 2000 ou no Windows XP.


AVISO: Aos administradores de redes: Se estiver usando o MS Exchange 2000 Server, recomendamos que você exclua a unidade M da verificação adicionando o parâmetro EXCLUDE na execução da ferramenta. Independentemente de fazer isto ou não, antes de executar a ferramenta crie uma cópia de seguranca da unidade M. Para obter informações sobre como fazer isso, consulte o seguinte artigo, em inglês, na Base de Conhecimento da: "XADM: Calendar Items Disappear from User's Folders " (Article 299046).

  1. Faça o download do arquivo FixSwen.exe clicando no link abaixo:

    http://www.symantec.com/avcenter/FixSwen.exe
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a área de trabalho do Windows ou numa mídia removível que não esteja infectada, se possível.
  3. Para verificar a autenticidade da assinatura digital, veja a seção Assinatura digital.
  4. Se você estiver usando Windows ME ou XP, desabilite a Restauração do Sistema. Para mais detalhes, veja a seção Opção de Restauração do Sistema no Windows ME ou XP.


    Nota: Desabilitar a restauração do sistema é uma precaução para evitar que o worm seja acidentalmente restaurado em uma data posterior. Entretantro, devido as alterações feitas pelo worm ao registro, pode não ser possível fazer isto nesse momento. Caso não seja possível desabilitar a opção, não faça isso agora. Recomendamos, entretando, que voc6e o faça assim que o acesso ao seu sistema estiver corrigido.

  5. Clique duas vezes no arquivo FixSwen.exe para iniciar a ferramenta de remoção.


    Nota: Se o worm já foi executado e seus arquivos foram excluídos ou movidos para a quarentena através do seu software antivírus da Symantec pode ocorrer falha na execução da ferramenta.

    -- Se isto acontecer no Windows 95/98/Me, pare aqui e siga as instruções da seção "O W32.Swen.A@mm foi enviado para a quarentena ou excluído" do documento do W32.Swen.A@mm.

    -- Se isto acontecer no Windows NT/200/XP, siga estes passos adicionais e continue na etapa 6.

    a. Inicie o Windows Explorer.
    b. Clique em Exibir> Opções (Windows NT) ou em Ferramentas> Opções de pasta (Windows 2000/XP).
    c. Clique na guia Modos de exibição.
    d. Desmarque a opção "Oculpar extensões para tipos de arquivos conhecidos". Clique em Sim caso apareça uma tela de confirmação.
    e. Clique em Aplicar e em OK.
    f. Clique com o botão direito no arquivo FixSwen.exe, clique em Renomear e altere o nome para Fixswen.cmd. Confirme a alteração do nome.
    g. Clique duas vezes no arquivo FixSwen.cmd e continue seguindo as instruções.

  6. Clique em Start [Iniciar] para iniciar o processo e deixe a ferramenta ser executada.
  7. Reinicie o computador.
  8. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema esteja limpo.
  9. Se estiver usando o Windows ME ou XP, habilite novamente a opção de Restauração do Sistema.
  10. Execute o LiveUpdate para assegurar-se de estar com as definições de vírus mais atualizadas.

Nota : O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desabilitada, porque o Windows não permite que outros programas modifiquem a Restauração do Sistema.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Swen.A@mm. No caso de remoção do worm, o programa mostra os seguintes resultados:
  • O número total de arquivos verificados
  • O número de arquivos apagados
  • O número de processos virais terminados
  • O número de entradas do registro apagadas


Assinatura Digital
O FixSwen.exe é assinado digitalmente. A Symantec recomenda que você use somente cópias do FixSwen.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:
  1. Vá até http://www.wmsoftware.com/free.htm
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FixSwen.exe (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça o seguinte:
    • Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
    • Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.

  4. Mude para o diretório no qual o FixSwen.exe e Chktrust.exe foram salvos e digite:

    chktrust -i FixSwen.exe

    Por exemplo, se você salvou os arquivos na pasta C:\Downloads, deve digitar os seguintes comandos (pressione Enter após digitar cada comando):

    cd\
    cd downloads
    chktrust -i FixSwen.exe

    Pressione Enter após ter digitado cada comando. Se a assinatura digital for válida, você verá o seguinte:

    Do you want to install and run "W32.Swen.A@mm Removal Tool" signed on 9/19/2003 11:58 and distributed by Symantec Corporation?
    (Você deseja instalar e executar a "Ferramenta de Remoção do W32.Swen.A@mm" assinada em 19/9/2003 às 11:58 e distribuída pela Symantec Corporation?)

Opção Restauração do Sistema no Windows Me ou XP
Usuários do Windows Me e do Windows XP devem desabilitar temporariamente a Restauração do Sistema. Este recurso, habilitado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que essas ameaças sejam restauradas pela Restauração do Sistema.

O Windows previne que a Restauração do Sistema seja alterada por programas externos. Assim, programas antivírus ou ferramentas de remoção não conseguem remover limpar arquivos da pasta de Restauração do Sistema. Como resultado, o recurso possui potencial para infectar o computador novamente, caso uma restauração seja executada.

Para instruções sobre como desligar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes artigos:

Para informações adicionais, ou uma alternativa a desabilitação do recurso, consulte o documento da Base de Dados da Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455) (este recurso encontra-se em Inglês).