Descoberta: November 03, 2005
Atualizado: February 13, 2007 11:35:53 AM
Tipo: Removal Information


Esta ferramenta foi desenvolvida para remover as seguintes infecções:



Importante:
  • Se estiver em uma rede ou tiver uma conexão permanente com a Internet, como conexões a cabo e DSL, desconecte o computador da rede e da Internet. Desative ou proteja com senha o compartilhamento de arquivo ou defina-os como somente-leitura antes de reconectar os computadores à rede ou Internet. Pelo fato de este worm propagar-se usando pastas compartilhadas nos computadores em rede, para garantir que o worm não irá reinfectar o computador após ter sido removido, a Symantec recomenda o compartilhamento como acesso somente-leitura ou usando uma senha.

    Para mais informações, consulte a documentação do Windows ou o documento: Configurando as pastas compartilhadas do Windows para máxima proteção em rede.
  • Se estiver removendo a infecção a partir de uma rede, primeiro certifique-se de que todos os compartilhamentos estejam desativados ou definidos como somente-leitura.
  • Esta ferramenta não foi desenvolvida para uso em servidores Novell NetWare. Para remover esta ameaça de um servidor NetWare, atualize as definições de vírus e execute uma verificação completa utilizando o produto Symantec antivírus.


Fazendo o download e executando a ferramenta

Importante: no Windows NT4/2000/XP, você deve ter privilégios de administrador para executar essa ferramenta.

Nota para administradores de rede: Se estiver executando o MS Exchange 2000 Server, é recomendado que você exclua a unidade M da verificação usando o parâmetro Exclude. Para mais informações, consulte o artigo em inglês da Base de dados da Microsoft: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Article 298924).

Siga estas etapas para fazer o download e executar a ferramenta:
  1. Faça o download do arquivo FxLodear.exe em: http://securityresponse.symantec.com/avcenter/FxLodear.exe
  2. Salve o arquivo em um lugar conveniente, como a Área de Trabalho do Windows.
  3. Opcional: Para verificar a autenticidade da assinatura digital, consulte a seção Assinatura digital.

    Nota: Se tiver certeza de que está fazendo o download desta ferramenta a partir do website do Security Response, ignore essa etapa. Se não tiver certeza ou se for um administrador de rede e precisar autenticar os arquivos antes da implementação, siga as etapas na seção Assinatura digital antes de continuar.
  4. Feche todos os programas abertos.
  5. Se o seu computador estiver conectado em rede ou dispuser de conexão permanente à Internet, desconecte-o.
  6. Se estiver executando o Windows Me ou XP, desative a Restauração do Sistema. Para mais informações sobre como desativar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes documentos:
  7. Localize o arquivo descarregado.
  8. Clique duas vezes no arquivo FxLodear.exe para ativar a ferramenta de remoção.
  9. Clique em Start (Iniciar)para iniciar o processo, e aguarde a execução da ferramenta terminar.
  10. Reinicie o computador.
  11. Execute a ferramenta novamente para garantir que o sistema não permaneceu infectado.
  12. Se estiver utilizando o Windows Me/XP, reative a Restauração do Sistema.
  13. Se o seu computador estiver conectado em rede ou dispuser de conexão permanente à Internet, restabeleça a conexão.
  14. Execute o LiveUpdate para certificar-se de que você possui as definições de vírus mais recentes.

Quando a ferramenta terminar a execução, você verá uma mensagem informando a ameaça pela qual seu computador estava infectado. A ferramenta exibe resultados semelhantes aos seguintes:
  • O número total de arquivos verificados.
  • O número de arquivos excluídos.
  • O número de arquivos reparados.
  • O número de processos de vírus finalizados.
  • O número de entradas de registro corrigidas.

O que a ferramenta faz

A ferramenta de remoção faz o seguinte:
  1. Finaliza os processos associados
  2. Exclui os arquivos associados
  3. Exclui os valores de Registro adicionados pela ameaça


Parâmetros

Os seguintes parâmetros foram desenvolvidos para serem usados por administradores de rede:

Opção

Descrição

/NOCANCEL

Desativa o recurso Cancelar da ferramenta de remoção.

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S

Ativa o modo silencioso.

/LOG=<nome do caminho>

Cria um arquivo de registro no qual o <nome do caminho> é o local onde os registros de saída da ferramenta são armazenados. Por padrão, esse alternador cria o arquivo de registro FxLodear.log na mesma pasta de onde a ferramenta de remoção foi executada.

/MAPPED

Verifica os discos de rede mapeados. (não recomendamos o uso dessa opção. Veja a Nota abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui o <caminho> especificado da verificação. (não recomendamos o uso dessa opção. Veja a Nota abaixo).

/NOFILESCAN

Desativa a verificação dos arquivos do sistema.


Importante: o uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
    • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
    • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o seu produto antivírus da Symantec Isto permitirá que a ferramenta faça as devidas correções no registro. Após isto, verifique seu computador com o seu produto antivírus da Symantec e as definições de vírus mais recentes. Estas etapas deverão remover esta ameaça do sistema.

Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:

"C:\Documents and Settings\user1\Desktop\ FxLodear.exe " /EXCLUDE=M:\ /LOG=c:\ FxLodear .txt

Também, a linha de comando abaixo irá desativar a verificação dos arquivos do sistema, mas irá corrigir o registro Você deverá fazer uma verificação de vírus com as devidas exclusões:

"C:\Documents and Settings\user1\Desktop\ FxLodear.exe " /NOFILESCAN /LOG=c:\ FxLodear .txt

Nota: O nome do arquivo de registro pode ser escolhido a seu critério. O nome indicado é somente um exemplo.



Assinatura digital

Por motivos de segurança, a ferramenta de remoção é assinada digitalmente. A Symantec recomenda que você somente utilize cópias da ferramenta que tenham sido obtidas diretamente do site de download do Symantec Security Response.

Se não tiver certeza ou se for um administrador de rede e precisar autenticar os arquivos antes da implementação, verifique a autenticidade da assinatura digital.

Siga estas etapas:
  1. Vá para http://www.wmsoftware.com/free.htm.
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou a ferramenta.

    Nota: a maior parte das etapas a seguir são realizadas em um prompt de comando. Se fez o download da ferramenta da Área de Trabalho do Windows, será mais fácil se você, primeiro, mover a ferramenta para a raiz da unidade C. Depois salve o arquivo Chktrust.exe no mesmo lugar.

    (A etapa 3 considera que tanto a ferramenta quanto o arquivo Chktrust.exe estejam na raiz da unidade C.)

  3. Clique em Iniciar > Executar.
  4. Digite um dos seguintes comandos:
    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. Clique em OK.
  6. Na janela Comando, digite o seguinte e pressione Enter após cada linha:

    cd\
    cd downloads
    chktrust -i FxLodear.exe

  7. Deverá ser exibida uma das seguintes mensagens, dependendo do seu sistema operacional:
    • Windows XP SP2:
      A janela do Trust Validation Utility será exibida.

      Sob Publisher, clique no link da Symantec Corporation. Serão exibidos os Detalhes da Assinatura Digital.
      Verifique o conteúdo dos seguintes campos para certificar-se de que a ferramenta é autêntica:

      Nome: Symantec Corporation
      Hora da assinatura: 11/25/2005 07:18:23 AM

    • Todos os outros sistemas operacionais:
      Deverá ser exibida a seguinte mensagem:

      Deseja instalar e executar a Ferramenta de Remoção do Trojan.Lodear  assinada em    25/11/2005  às 07h11  PM  e distribuída pela Symantec Corporation?  

      Notas:
    • A data e a hora que aparecem na caixa de diálogo são baseadas na hora do Pacífico, e serão ajustadas para o seu fuso horário e configurações regionais.
    • Se estiver no horário de verão, a hora exibida será exatamente uma hora mais cedo.
    • Caso essa caixa de diálogo não seja exibida, há duas razões possíveis:
      • A ferramenta não é da Symantec: a menos que esteja certo de que a ferramenta seja legítima e tenha sido descarregada de um website da Symantec legítimo, não a execute.
      • A ferramenta é da Symantece e é legítima: Entretanto, seu sistema operacional foi instruído previamente a sempre confiar no conteúdo da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, consulte o documento: Restaurando a caixa de diálogo de confirmação de Autenticidade de Editor.

  8. Clique em Yes (Sim) ou Run (Executar) para fechar a caixa de diálogo.
  9. Digite exit e pressione Enter. (Isso fechará a sessão do MS-DOS.)