Descoberta: January 13, 2004
Atualizado: February 13, 2007 11:35:00 AM
Tipo: Removal Information


O Symantec Security Response desenvolveu uma ferramenta de remoção para remover infecções das variantes do W32.HLLW.Gaobot:



Nota: O W32.HLLW.Gaobot.gen é uma detecção genérica que detecta variantes do W32.HLLW.Gaobot. Se seu computador estiver infectado pelo W32.HLLW.Gaobot.gen, faça o download e execute a ferramenta de remoção. Em muitos casos a ferramenta poderá remover a infecção.


O que a ferramenta faz
A ferramenta de remoção do W32.HLLW.Gaobot faz o seguinte:
  1. Finaliza os processos virais do W32.HLLW.Gaobot.
  2. Exclui os arquivos do nome do vírus.
  3. Exclui os arquivos gravados na máquina pelo worm.
  4. Exclui os valores de Registro adicionados pelo vírus.


Nota: Acesse a seção Informações Adicionais ao final deste documento para consultar a lista de parâmetros de linha de comando disponíveis para esta ferramenta e também informações de como verificar a autenticidade da assinatura digital.


Para obter e executar a ferramenta

Nota: Você deve ter privilégios de administrador para executar essa ferramenta no Windows NT4/2000/XP.

  1. Faça o download do arquivo FxGaobot.exe.


    Nota: Se não puder fazer o download através do link acima, clique aqui para tentar novamente.

  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a Área de trabalho do Windows ou numa mídia removível que não esteja infectada, se possível.
  3. Para verificar a autenticidade da assinatura digital, veja a seção Assinatura digital.
  4. Feche todos os programas antes de executar a ferramenta.
  5. Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
  6. Se você estiver usando Windows ME ou XP, desabilite a Restauração do Sistema. Para mais detalhes, veja a seção Opção de Restauração do Sistema no Windows ME ou XP.


    CUIDADO: Se você estiver usando o Windows ME/XP recomendamos enfaticamente que você não ignore esse passo. O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desabilitada, porque o Windows não permite que outros programas modifiquem a Restauração do Sistema.

  7. Reinicie o computador em Modo de segurança ou em modo VGA.
    • Para Windows 95, 98, Me, 2000, ou XP, reinicie o computador em Modo de segurança. Para instruções sobre como fazer isso, consulte o documento Como iniciar o computador em modo de segurança.
    • Para Windows NT 4, reinicie o computador no Modo VGA.

  8. Clique duas vezes no arquivo FxGaobot.exe para iniciar a ferramenta de remoção.
  9. Clique em Start [Iniciar] para iniciar o processo e deixe a ferramenta ser executada.
  10. Reinicie o computador.
  11. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema esteja limpo.
  12. Se estiver usando o Windows ME ou XP, habilite novamente a opção de Restauração do Sistema.
  13. Execute o LiveUpdate para assegurar-se de estar com as definições de vírus mais atualizadas.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.HLLW.Gaobot. No caso de remoção do worm, o programa mostra os seguintes resultados:
  • O número total de arquivos verificados
  • O número de arquivos apagados
  • O número de processos virais terminados
  • O número de entradas do registro apagadas



Opção Restauração do Sistema no Windows Me ou XP

Usuários do Windows Me e do Windows XP devem desabilitar temporariamente a Restauração do Sistema. Este recurso, habilitado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que essas ameaças sejam restauradas pela Restauração do Sistema.

O Windows previne que a Restauração do Sistema seja alterada por programas externos. Assim, programas antivírus ou ferramentas de remoção não conseguem remover limpar arquivos da pasta de Restauração do Sistema. Como resultado, o recurso possui potencial para infectar o computador novamente, caso uma restauração seja executada.

Para instruções sobre como desligar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes artigos:

Para informações adicionais, ou uma alternativa a desabilitação do recurso, consulte o documento da Base de Dados da Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455) (este recurso encontra-se em Inglês).


Como executar a ferramenta a partir um disquete
  1. Insira o disquete que contém arquivo FxGaobot.exe na unidade de disco flexível.
  2. Clique no botão Iniciar e então, em Executar.
  3. Digite o comando abaixo e clique no botão OK:

    a:\FxGaobot.exe

    and then click OK.

    NOTAS:
    • Não há espaços no comando a:\FxGaobot.exe
    • Se você estiver usando o Windows ME e a Restauração do Sistema estiver habilitada, surgirá uma mensagem de alerta. Escolha entre executar a ferramenta de remoção com a opção Restauração do Sistema habilitada ou sair da ferramenta de remoção.

  4. Clique Start (Iniciar) para começar o processo e deixe a ferramenta ser executada.
  5. Se estiver usando o Windows Me reabilite a Restauração do Sistema.


Informações Adicionais

Parâmetros de linha de comando disponíveis para essa ferramenta


Parâmetro

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S

Habilita o modo silencioso.

/LOG=<caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FxGaobot.log na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).

/NOFILESCAN

Desativa a verificação dos arquivos do sistema


Nota: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
    • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
    • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.




Assinatura Digital
O arquivo FxGaobot.exe é assinado digitalmente. A Symantec recomenda que você use somente cópias do FxGaobot.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:
  1. Vá para http://www.wmsoftware.com/free.htm.
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FxGaobot.exe (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça o seguinte:
    • Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
    • Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.

  4. Mude para o diretório no qual o FxGaobot.exe e Chktrust.exe foram salvos e digite:


    chktrust -i FxGaobot.exe

    Por exemplo, se você salvou os arquivos na pasta C:\Downloads, deve digitar os seguintes comandos (pressione Enter após digitar cada comando):

    cd\
    cd downloads
    chktrust -i FxGaobot.exe

    Pressione Enter após ter digitado cada comando. Se a assinatura digital for válida, você verá o seguinte:

    Do you want to install and run "W32.Gaobot Removal Tool" signed on 5/27/2004 12:49 PM and distributed by Symantec Corporation?


    NOTAS:
    • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
    • Se estiver em Horário de Verão a hora exibida será exatamente uma hora mais cedo.
    • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
      • Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
      • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, consulte o documento How to restore the Publisher Authenticity confirmation dialog box (Este recurso encontra-se em inglês).
5. Clique Yes (Sim) para fechar a caixa de diálogo.

6. Digite Exit e pressione Enter. Isso fechará a sessão MS-DOS.