Descoberta: March 21, 2004
Atualizado: February 13, 2007 12:21:39 PM
Também conhecido como: W32.Netsky.Q@mm, W32/Netsky.p@MM [McAfee], Win32.Netsky.P [Computer Assoc, NetSky.P [F-Secure], W32/Netsky.P.worm [Panda], W32/Netsky-P [Sophos], WORM_NETSKY.P [Trend]
Tipo: Worm
Extensão da infecção: 29,568 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154



A versão mais recente deste documento pode ser encontrada em:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.netsky.p@mm.html



O W32.Netsky.P@mm (também conhecido como W32.Netsky.Q@mm) é um worm de distribuição em massa que utiliza seu próprio mecanismo SMTP para enviar cópias de si mesmo aos endereços de e-mail encontrados durante a verificação de discos rígidos e unidades mapeadas. O worm também tenta propagar-se através de programas de compartilhamento de arquivos, criando cópias de si mesmo em várias pastas compartilhadas.

A linha De do e-mail é inventada, e o Assunto e corpo da mensagem variam. O nome do anexo varia e possui extensão .exe, .pif, .scr ou .zip.

Este worm explora a vulnerabilidade denominada Incorrect MIME Header Can Cause IE to Execute E-mail Attachment (em inglês) para que os sistemas que não possuem a correção executem o worm automaticamente ao ler ou visualizar uma mensagem infectada.

Esta ameaça é comprimida com FSG.

Notas:
  • Os produtos domésticos da Symantec que possuem o recurso Bloqueio de worms automaticamente detectam e impedem que esta ameaça se propague.
  • O executável do worm possui valor hash MD5 estático de 0x0A9FFA57D65083C92E0D3D69B00F2F0D.
  • As definições de Resposta Imediata com data de 21 de março de 2004 poderão detectar esta ameaça como W32.Netsky.Q@mm.





Spoofing de e-mail
Os worms utilizam uma técnica conhecida como "spoofing de e-mail". Essa técnica consiste em selecionar aleatoriamente um endereço de e-mail encontrado no computador infectado e utilizá-lo como remetente ou destinatário da mensagem criada pela rotina de propagação através de e-mail. Essa técnica pode fazer com que usuários de computadores não-infectados recebam notificações de que enviaram uma cópia do worm para alguma outra pessoa.

Por exemplo: Laura está usando um computador infectado por um worm. Laura não está usando um programa antivírus ou não possui as definições de vírus mais recentes. Quando esse worm executa sua rotina de propagação através de e-mail, ele encontra o endereço de e-mail de Haroldo, colega de Laura. O worm então insere o endereço de Haroldo no campo "De:" da mensagem infectada e a envia para Janete, outra colega de Laura. Janete então entra em contato com Haroldo para informar que recebeu dele uma mensagem infectada. Porém, quando Haroldo efetua uma verificação de vírus em seu computador nada é encontrado, porque não é o computador de Haroldo que possui o vírus.

Datas da proteção antivírus

  • Versão inicial do Rapid Release March 21, 2004
  • Última versão do Rapid Release July 27, 2018 revisão 005
  • Versão inicial diária certificada March 21, 2004
  • Última versão diária certificada July 27, 2018 revisão 008
  • Data da versão inicial semanal certificada March 22, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Yuhui Huang

Descoberta: March 21, 2004
Atualizado: February 13, 2007 12:21:39 PM
Também conhecido como: W32.Netsky.Q@mm, W32/Netsky.p@MM [McAfee], Win32.Netsky.P [Computer Assoc, NetSky.P [F-Secure], W32/Netsky.P.worm [Panda], W32/Netsky-P [Sophos], WORM_NETSKY.P [Trend]
Tipo: Worm
Extensão da infecção: 29,568 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154


Quando o W32.Netsky.P@mm é executado, ele faz o seguinte:

  1. Cria um mutex "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" para permitir que somente uma instância do worm seja executada.

  2. Cria uma cópia de si mesmo como %Windir%\FVProtect.exe.


    Nota: %Windir% é uma variável. O worm localiza a pasta de instalação do Windows (por padrão, C:\Windows ou C:\Winnt) e faz uma cópia de si mesmo nesse local.

  3. Deposita o seguinte arquivo:

    %Windir%\userconfig9x.dll

    Este arquivo é então carregado e executado pelo worm. Ele possui um valor hash MD5 estático de 0x3018E99857F31A59E0777396AE634A8F

  4. Cria os seguintes arquivos:
    • %Windir%\base64.tmp (40,520 bytes): versão MIME codificada do executável
    • %Windir%\zip1.tmp (40,882 bytes): versão do worm condificada em MIME em um arquivo .zip
    • %Windir%\zip2.tmp (40,894 bytes): versão do worm codificada em MIME em um arquivo .zip
    • %Windir%\zip3.tmp (40,886 bytes): versão do worm codificada em MIME em um arquivo .zip
    • %Windir%\zipped.tmp (29,834 bytes): Worm in a .zip archive

  5. Adiciona o valor:

    "Norton Antivirus AV"="%Windir%\FVProtect.exe"

    a chave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de forma que o worm seja executado na inicialização do Windows.

  6. Exclui os valores:
    • Explorer
    • system.
    • msgsvr32
    • winupd.exe
    • direct.exe
    • jijbl
    • service
    • Sentry

      da chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


      Nota: Alguns destes valores normalmente estão associados ao W32.Mydoom e suas variantes.

  7. Exclui os valores:
    • system.
    • Video

      da chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
      RunServices

  8. Exclui os valores:
    • Explorer
    • au.exe
    • direct.exe
    • d3dupdate.exe
    • OLE
    • gouday.exe
    • rate.exe
    • Taskmon
    • Windows Services Host
    • sysmon.exe
    • srate.exe
    • ssate.exe
    • winupd.exe

      da chave de registro:

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


      Nota: Alguns destes valores normalmente estão associados ao W32.Mydoom e suas variantes.

  9. Exclui as seguintes sub-chaves:
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
    • HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

  10. Pesquisa o disco rígido por pastas que contenham as seguintes sequências:
    • bear
    • donkey
    • download
    • ftp
    • htdocs
    • http
    • icq
    • kazaa
    • lime
    • morpheus
    • mule
    • my shared folder
    • shar
    • shared files
    • upload

      e copia o worm para a pasta usando um dos seguintes nomes de arquivo:
    • "1001 Sex and more.rtf.exe"
    • "3D Studio Max 6 3dsmax.exe"
    • "ACDSee 10.exe"
    • "Adobe Photoshop 10 crack.exe"
    • "Adobe Photoshop 10 full.exe"
    • "Adobe Premiere 10.exe"
    • "Ahead Nero 8.exe"
    • "Altkins Diet.doc.exe"
    • "American Idol.doc.exe"
    • "Arnold Schwarzenegger.jpg.exe"
    • "Best Matrix Screensaver new.scr"
    • "Britney sex xxx.jpg.exe"
    • "Britney Spears and Eminem porn.jpg.exe"
    • "Britney Spears blowjob.jpg.exe"
    • "Britney Spears cumshot.jpg.exe"
    • "Britney Spears fuck.jpg.exe"
    • "Britney Spears full album.mp3.exe"
    • "Britney Spears porn.jpg.exe"
    • "Britney Spears Sexy archive.doc.exe"
    • "Britney Spears Song text archive.doc.ex"...
    • "Britney Spears.jpg.exe"
    • "Britney Spears.mp3.exe"
    • "Clone DVD 6.exe"
    • "Cloning.doc.exe"
    • "Cracks & Warez Archiv.exe"
    • "Dark Angels new.pif"
    • "Dictionary English 2004 - France.doc.ex"...
    • "DivX 8.0 final.exe"
    • "Doom 3 release 2.exe"
    • "E-Book Archive2.rtf.exe"
    • "Eminem blowjob.jpg.exe"
    • "Eminem full album.mp3.exe"
    • "Eminem Poster.jpg.exe"
    • "Eminem sex xxx.jpg.exe"
    • "Eminem Sexy archive.doc.exe"
    • "Eminem Song text archive.doc.exe"
    • "Eminem Spears porn.jpg.exe"
    • "Eminem.mp3.exe"
    • "Full album all.mp3.pif"
    • "Gimp 1.8 Full with Key.exe"
    • "Harry Potter 1-6 book.txt.exe"
    • "Harry Potter 5.mpg.exe"
    • "Harry Potter all e.book.doc.exe"
    • "Harry Potter e book.doc.exe"
    • "Harry Potter game.exe"
    • "Harry Potter.doc.exe"
    • "How to hack new.doc.exe"
    • "Internet Explorer 9 setup.exe"
    • "Kazaa Lite 4.0 new.exe"
    • "Kazaa new.exe"
    • "Keygen 4 all new.exe"
    • "Learn Programming 2004.doc.exe"
    • "Lightwave 9 Update.exe"
    • "Magix Video Deluxe 5 beta.exe"
    • "Matrix.mpg.exe"
    • "Microsoft Office 2003 Crack best.exe"
    • "Microsoft WinXP Crack full.exe"
    • "MS Service Pack 6.exe"
    • "netsky source code.scr"
    • "Norton Antivirus 2005 beta.exe"
    • "Opera 11.exe"
    • "Partitionsmagic 10 beta.exe"
    • "Porno Screensaver britney.scr"
    • "RFC compilation.doc.exe"
    • "Ringtones.doc.exe"
    • "Ringtones.mp3.exe"
    • "Saddam Hussein.jpg.exe"
    • "Screensaver2.scr"
    • "Serials edition.txt.exe"
    • "Smashing the stack full.rtf.exe"
    • "Star Office 9.exe"
    • "Teen Porn 15.jpg.pif"
    • "The Sims 4 beta.exe"
    • "Ulead Keygen 2004.exe"
    • "Visual Studio Net Crack all.exe"
    • "Win Longhorn re.exe"
    • "WinAmp 13 full.exe"
    • "Windows 2000 Sourcecode.doc.exe"
    • "Windows 2003 crack.exe"
    • "Windows XP crack.exe"
    • "WinXP eBook newest.doc.exe"
    • "XXX hardcore pics.jpg.exe"

  11. Obtém endereços de e-mail de arquivos das unidades de C até Z se os arquivos tiverem uma das seguintes extensões:
    • .adb
    • .asp
    • .cgi
    • .dbx
    • .dhtm
    • .doc
    • .eml
    • .htm
    • .html
    • .jsp
    • .msg
    • .oft
    • .php
    • .pl
    • .rtf
    • .sht
    • .shtm
    • .tbb
    • .txt
    • .uin
    • .vbs
    • .wab
    • .wsh
    • .xml

  12. Utiliza seu próprio mecanismo SMTP para enviar cópias de si mesmo aos endereços de e-mail encontrados.

    O assunto, corpo da mensagem e arquivo anexo são contruídos a partir de muitas combinações. Em uma tentativa de fazer com que o destinatário da mensagem execute o arquivo anexo, o assunto da mensagem poderá:
  • Sugerir que o arquivo anexo fornece um detalhamento da mensagem, de uma foto, de um documento, de um relatório, de uma conta, assim por diante.
  • Avisar que o computador do destinatário está infectado e que o arquivo anexo é uma ferramenta de verificação distribuída por uma empresa de segurança, incluindo a Symantec.
  • Alertar o destinatário que ele utilizou um website ou software ilegais, ou enviou um spam.
  • Sugerir que o arquivo anexo é um arquivo .zip protegido por senha (o Security Response não recebeu submissões que se incluam neste caso).

    De: <inventado> e o endereço pode ter sido obtido do computador infectado ou de uma lista contida no corpo do worm.


    Nota: Consulte a seção Informações Adicionais para obter mais detalhes sobre a técnica de spoofing de e-mail utilizada por esta ameaça.

    Assunto: (Algumas possíveis linhas de assunto estão listadas abaixo)
    • Re: Encrypted Mail
    • Re: Extended Mail
    • Re: Status
    • Re: Notify
    • Re: SMTP Server
    • Re: Mail Server
    • Re: Delivery Server
    • Re: Bad Request
    • Re: Failure
    • Re: Thank you for delivery
    • Re: Test
    • Re: Administration
    • Re: Message Error
    • Re: Error
    • Re: Extended Mail System
    • Re: Secure SMTP Message
    • Re: Protected Mail Request
    • Re: Protected Mail System
    • Re: Protected Mail Delivery
    • Re: Secure delivery
    • Re: Delivery Protection
    • Re: Mail Authentification

      Corpo da mensagem: Aleatoriamente composto e consiste em uma ou mas das sentenças abaixo:
    • Please see the attached file for details
    • Please read the attached file!
    • Your document is attached.
    • Please read the document.
    • Your file is attached.
    • Your document is attached.
    • Please confirm the document.
    • Please read the important document.
    • See the file.
    • Requested file.
    • Authentication required.
    • Your document is attached to this mail.
    • I have attached your document.
    • I have received your document. The corrected document is attached.
    • Your document.
    • Your details.


      O worm também pode incluir uma das linhas abaixo ao final da mensagem:

    • +++ Attachment: No Virus found
      +++ MessageLabs AntiVirus - www.messagelabs.com

    • +++ Attachment: No Virus found
      +++ Bitdefender AntiVirus - www.bitdefender.com

    • +++ Attachment: No Virus found
      +++ MC-Afee AntiVirus - www.mcafee.com

    • +++ Attachment: No Virus found
      +++ Kaspersky AntiVirus - www.kaspersky.com

    • +++ Attachment: No Virus found
      +++ Panda AntiVirus - www.pandasoftware.com

    • ++++ Attachment: No Virus found
      ++++ Norman AntiVirus - www.norman.com

    • ++++ Attachment: No Virus found
      ++++ F-Secure AntiVirus - www.f-secure.com

    • ++++ Attachment: No Virus found
      ++++ Norton AntiVirus - www.symantec.de



      Anexos:
      (alguns possíveis nomes de anexo estão listados abaixo)
    • document05
    • websites03
    • game_xxo
    • your_document

      Seguindo de um dos seguintes:
    • .txt <longa sequência de espaços em branco>
    • .doc <longa sequência de espaços em branco>

      Seguida de uma das seguintes extensões:
    • .exe
    • .pif
    • .scr
    • .zip

      Se a extensão do anexo for .exe, .scr ou .pif, o anexo será uma cópia do worm. Se a extensão for .zip, o anexo será um arquivo .zip contendo uma cópia do executável do worm. O nome do arquivo contido no .zip será um dos seguintes:
    • document.txt .exe
    • data.rtf .scr
    • details.txt .pif


  1. O W32.Netsky.P@mm também possui um conjunto de mensagens de e-mail que ele pode selecionar. As mensagens possuem as seguintes características:
    De:support@symantec.com
    Assunto:
    • Re:Virus Sample
    • Re:Submit a Virus Sample
    Corpo da mensagem:
    • The sample file you sent contains a new virus version of buppa.k.
      Please update your virus scanner with the attached dat file.
      Best Regards,
      Keria Reynolds
    • The sample file you sent contains a new virus version of mydoom.j.
      Please clean your system with the attached signature.
      Sincerly,
      Robert Ferrew

    De: noreply@paypal.com
    Assunto:
    • Congratulations!
    • Thank you!
    Corpo da mensagem:
    • You were registered to the pay system.
      For more details see the attachment.
    • Your bill is attached to this mail.

    De: abuse@gov.account
    Assunto:
    • Internet Provider Abuse
    • Illegal Website
    Corpo da mensagem:
    • I noticed that you have visited illegal websites.
      See the name in the list!
    • You have visited illegal websites.
      I have a big list of the websites you surfed.

    De: noreply@<domínio inventado>
    Assunto:
    • Administrator
    • Mail Account
    Corpo da mensagem:
    Your mail account is expired.
    See the details to reactivate it.
    Your mail account has been closed.
    For further details see the document.

    O worm evita o envio de mensagens de e-mail para endereços que contenham quaisquer das sequências abaixo:
    • @antivi
    • @avp
    • @bitdefender
    • @fbi
    • @f-pro
    • @freeav
    • @f-secur
    • @kaspersky
    • @mcafee
    • @messagel
    • @microsof
    • @norman
    • @norton
    • @pandasof
    • @skynet
    • @sophos
    • @spam
    • @symantec
    • @viruslis
    • abuse@
    • noreply@
    • ntivir
    • reports@
    • spam@


Symantec Clientless VPN Gateway
Esta ameaça não afeta o Symantec Clientless VPN Gateway v5.0. Para reduzir o risco de futura propagação, inclua uma regra que permita somente que usuários remotos autenticados acessem seu seu servidor interno de e-mail.

Symantec Firewall/VPN 100/200 Appliances
Para reduzir o risco de uma futura propagação, certifique-se de que você possui uma regra que permita apenas entrada/saída de e-mails de/para seu servidor de e-mail.

Symantec Gateway Security 5400 Series e Symantec Gateway Security v1.0
  • Componente antivírus: está disponível uma atualização para o mecanismo Symantec Gateway Security AntiVirus para proteger contra esta ameaça. Recomendamos que os usuários do Symantec Gateway Security executem o LiveUpdate.
  • Conponente IDS/IPS: Não está prevista uma atualização para o mecanismo do Symantec Gateway Security IDS/IPS.
  • Componente de aplicativo de firewall de inspeção completa: por padrão, a tecnologia de aplicativo de firewall de inspeção completa protege contra a propagação desta ameaça, impedindo que os computadores infectados enviem mensagens de e-mail diretamente para a Internet.

Symantec Enterprise Firewall 7.0.x e Symantec VelociRaptor 1.5
Por padrão, a tecnologia de aplicativo de firewall de inspeção completa protege contra a propagação desta ameaça, impedindo os computadores infectados de enviarem mensagens de e-mail diretamente para a Internet.

Recomendações

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Escrito por: Yuhui Huang

Descoberta: March 21, 2004
Atualizado: February 13, 2007 12:21:39 PM
Também conhecido como: W32.Netsky.Q@mm, W32/Netsky.p@MM [McAfee], Win32.Netsky.P [Computer Assoc, NetSky.P [F-Secure], W32/Netsky.P.worm [Panda], W32/Netsky-P [Sophos], WORM_NETSKY.P [Trend]
Tipo: Worm
Extensão da infecção: 29,568 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154


Remoção usando a Ferramenta de Remoção do W32.Netsky.P@mm
O Symantec Security Response criou uma ferramenta para remover o W32.Netsky.P@mm. Esta é a maneira mais fácil de se remover esta ameaça.

Remoção Manual
Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.

  1. Desative a Restauração do sistema (Windows Me/XP).
  2. Atualize as definições de vírus.
  3. Reinicie o computador em Modo de segurança ou em modo VGA.
  4. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Netsky.P@mm.
  5. Exclua o valor adicionado ao registro pelo worm.
Para maiores detalhes sobre como fazer isto, consulte as seguintes instruções.

1. Para desativar a Restauração do sistema (Windows Me/XP)
Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso de Restauração do sistema. Este recurso, ativado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos do sistema em seu computador, caso estes tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de tróia é possível que arquivos infectados sejam recuperados pela Restauração do sistema.

Por padrão, o Windows previne que a Restauração do sistema seja alterada por programas externos, inclusive programas antivírus. Assim, é possível que você, acidentalmente, recupere um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desativar a Restauração do sistema, consulte a documentação do Windows ou um dos seguintes artigos:

Nota: Após ter removido completamente a ameaça, você deve ativar novamente a Restauração do sistema seguindo as instruções dos documentos mencionados acima.


Para informações adicionais e como alternativa a desativar a Restauração do sistema, consulte o artigo Q263455, em inglês, da base de dados da Microsoft (Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder ).


2. Para atualizar as definições de vírus

O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:
  • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa propagação de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste documento.
  • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui .

Para reiniciar o computador em Modo de Segurança ou em Modo VGA 4. Para executar uma verificação completa no sistema
  1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
  2. Execute uma verificação completa do sistema.
  3. Se houver arquivos detectados como infectados com W32.Netsky.P@mm, clique em Excluir.

5. Para remover o valor do registro


AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
  1. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
  2. Digite regedit

    e clique em OK. (O Editor do Registro será aberto).

  3. Navegue até a chave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. No painel direito, exclua o valor:

    "Norton Antivirus AV"="%Windir%\FVProtect.exe"

e. Saia do Editor do Registro.


Escrito por: Yuhui Huang