Descoberta: January 13, 2009
Atualizado: February 25, 2009 7:12:07 PM
Tipo: Removal Information

Esta ferramenta foi desenvolvida para remover as seguintes infecções:



Importante:
  • Se estiver em uma rede ou tiver uma conexão permanente com a Internet, como conexões a cabo e DSL, desconecte o computador da rede e Internet. Desative ou proteja com senha o compartilhamento de arquivos ou defina-os como somente-leitura antes de reconectar os computadores à rede ou Internet. Pelo fato de este worm propagar-se usando pastas compartilhadas nos computadores em rede, para garantir que o worm não irá reinfectar o computador após ter sido removido, a Symantec recomenda o compartilhamento como acesso somente-leitura ou usando uma senha.

    Para mais informações sobre como fazer isso, consulte a sua documentação do Windows, ou o documento: Configurando o compartilhamento de pastas no Windows para máxima proteção da rede.

    Para obter mais informações sobre a vulnerabilidade e os patchs para resolvê-lo, consulte por favor o seguinte documento:
    Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)


  • Se estiver removendo a infecção a partir de uma rede, primeiro certifique-se de que todos os compartilhamentos estejam desativados ou definidos como somente-leitura.

  • Esta ferramenta não foi desenvolvida para uso em servidores Novell NetWare. Para remover esta ameaça de um servidor NetWare, primeiro atualize as definições de vírus e, depois, execute uma verificação completa utilizando o produto Symantec antivírus.

Fazendo o download e executando a ferramenta

Importante: É necessário ter direitos de administrador para executar esta ferramenta no Windows NT4, 2000 ou XP.

Observação para os administradores de rede: Se estiver executando o MS Exchange 2000 Server, recomendamos excluir a unidade M da verificação e executar a ferramenta utilizando uma linha de comando com o parâmetro Exclude. Para mais informações, consulte o seguinte artigo da Base de conhecimento da Microsoft: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Não faça backup ou verificação da unidade M do Exchange 2000) (Artigo 298924).

Siga estas etapas para fazer o download e executar a ferramenta:
  1. Fazendo download do arquivo de FixDownadup.exe de: http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe.
  2. Salve o arquivo em um local adequado, como a área de trabalho.
  3. Opcional: Para verificar a autenticidade da assinatura digital, consulte a seção "Assinatura digital" neste documento.

    Nota:Se tiver certeza de que está fazendo o download da ferramenta a partir do website do Security Response, ignore esta etapa. Se não tiver certeza ou se for um administrador de rede e precisar autenticar os arquivos antes da implementação, siga as etapas na seção Assinatura digital antes de continuar.

  4. Feche todos os programas abertos.
  5. Se o computador estiver em rede ou dispuser de conexão permanente com a Internet, desconecte-o.
  6. Se estiver executando o Windows Me ou XP, desative a Restauração do sistema. Para instruções adicionais sobre como desativar essa opção, consulte a documentação do Windows ou um dos seguintes artigos:

    Desativando ou ativando a Restauração do sistema do Windows Me

    Desativando ou ativando a Restauração do sistema do Windows XP

  7. Localize o arquivo descarregado.
  8. Clique duas vezes no arquivo FixDownadup.exe para iniciar a ferramenta de remoção.
  9. Clique em Iniciar para iniciar o processo e aguarde a execução da ferramenta terminar.

    NOTA: Se tiver qualquer problema ao executar a ferramenta, ou se a ameaça não for removida, reinicie o computador em Modo de Segurança e execute a ferramenta novamente.

  10. Reinicie o computador.
  11. Execute a ferramenta de remoção novamente para garantir que o sistema está limpo.
  12. Se estiver utilizando o Windows Me/XP, reative a Restauração do sistema.
  13. Se o computador estiver em rede ou dispuser de conexão permanente com a Internet, restabeleça a conexão.
  14. Execute o LiveUpdate para certificar-se de que as definições de vírus mais recentes estão no computador.

Quando a ferramenta terminar a execução, será exibida uma mensagem descrevendo se a ameaça estava infectando o computador. A ferramenta exibe informações semelhantes às seguintes:
  • Número total de arquivos verificados
  • Número de arquivos excluídos
  • Número de arquivos reparados
  • Número de processos virais encerrados Número de entradas de registro corrigidas

O que a ferramenta faz
A ferramenta de remoção executa o seguinte:
  • Finaliza os processos associados
  • Exclui os arquivos associados
  • Exclui os valores de Registro adicionados pela ameaça
Parâmetros
Os seguintes parâmetros foram desenvolvidos para serem usados por administradores de rede:
/HELP, /H, /?
Exibe a mensagem de ajuda.
/NOFIXREG
Desativa o reparo do registro (não recomendamos o uso dessa opção).
/SILENT, /S
Ativa o modo silencioso.
/LOG=[PATH NAME]
Cria um arquivo de registro no qual [PATH NAME] é o local onde armazenar a saída dos registros da ferramenta. Por padrão, esse alternador cria o arquivo de registro FixDownadup.log na mesma pasta de onde a ferramenta de remoção foi executada.
/MAPPED
Verifica os discos de rede mapeados. (não recomendamos o uso dessa opção. veja Notas abaixo).
/START
Força a ferramenta a iniciar a verificação imediatamente.
/EXCLUDE=
Exclui da verificação o [CAMINHO] especificado (não recomendamos o uso desta opção. veja Notas abaixo).
/NOCANCEL
Desativa o recurso Cancelar da ferramenta de remoção.
/NOFILESCAN
Desativa a verificação dos arquivos do sistema.
/NOVULNCHECK
Desativa a busca por arquivos não corrigidos.

Importante: Utilizar o alternador /MAPPED não garante a remoção completa de vírus em um computador remoto devido a que
  • A verificação de unidades mapeadas apenas verifica as pastas mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
  • Se for detectado um arquivo infectado na unidade mapeado, a remoção falhará se um programa no computador remoto estiver utilizando esse arquivo.
Por isso, é necessário executar a ferramenta em todos os computadores.

O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o produto antivírus da Symantec. Isto permitirá que a ferramenta faça as devidas correções no registro. Depois, faça uma verificação no computador com o produto antivírus da Symantec e as definições de vírus mais recentes. Estas etapas deverão remover esta ameaça do sistema.

Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:

"C:\Documents and Settings\usuário1\Desktop\FixDownadup.exe" /EXCLUDE=M:\ /LOG=c:\FixDownadup.txt

Alternativamente, a linha de comando abaixo irá desativar a verificação dos arquivos do sistema, mas irá corrigir as modificações do registro. Você deverá fazer uma verificação de vírus com as devidas exclusões:

"C:\Documents and Settings\user1\Desktop\FixDownadup.exe" /NOFILESCAN /LOG=c:\FixDownadup.txt

Nota: O nome do arquivo de registro pode ser escolhido a seu critério e salvo em qualquer local.

Assinatura digital
Por motivos de segurança, a ferramenta de remoção é assinada digitalmente. A Symantec recomenda que você somente utilize cópias da ferramenta que tenham sido obtidas diretamente do site de download do Symantec Security Response.

Se não tiver certeza ou se for um administrador de rede e precisar autenticar os arquivos antes da implementação, verifique a autenticidade da assinatura digital.

Siga estas etapas:
  1. Acesse http://www.wmsoftware.com/free.htm.
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que salvou a ferramenta de remoção.

    Nota: A maior parte das etapas a seguir é realizada em um prompt de comando. Se fez o download da ferramenta na Área de trabalho, será mais fácil se, primeiro, mover a ferramenta para a raiz da unidade C. Depois salve o arquivo Chktrust.exe no mesmo lugar.

    (A etapa 3 considera que tanto a ferramenta quanto o arquivo Chktrust.exe estejam na raiz da unidade C.)

  3. Clique em Iniciar > Executar.
  4. Digite:

    Windows 95/98/Me:
    command

    No Windows NT/2000/XP:
    cmd

  5. Clique em OK.
  6. Na janela de comando, digite o seguinte e pressione Enter após cada linha:

    cd\
    cd downloads
    chktrust - i FixDownadup.exe

  7. Deverá ser exibida uma das seguintes mensagens, dependendo do sistema operacional:

    Windows XP SP2:
    A janela do Trust Validation Utility será exibida.

    Em Publisher (Distribuidor), clique no link da Symantec Corporation. Serão exibidos os Detalhes da Assinatura Digital.
    Verifique o conteúdo dos seguintes campos para certificar-se de que a ferramenta é autêntica:

    Nome: Symantec Corporation
    Signing Time: 01/30/2009 6:42:47 AM

    Todos os outros sistemas operacionais:
    Deverá ser exibida a seguinte mensagem:

    Deseja instalar e executar o "FixDownadup.exe'' assinado em 2009/30/01 09:47:00 e distribuído pela Symantec Corporation?

    Notas:
    A data e a hora da assinatura digital acima são baseadas no horário do Pacífico e serão ajustadas para o seu fuso horário e configurações regionais.

    Se estiver no horário de verão, a hora exibida será exatamente uma hora mais cedo.

    Caso essa caixa de diálogo não seja exibida, há duas razões possíveis:

    A ferramenta não é da Symantec: A menos que esteja certo de que a ferramenta seja legítima e tenha sido descarregada de um website da Symantec legítimo, não a execute.

    A ferramenta é da Symantec e legítima: Entretanto, o sistema operacional foi configurado anteriormente a sempre confiar no conteúdo da Symantec. Para mais informações sobre isso e como exibir a caixa de diálogo novamente, consulte o documento: Restaurando a caixa de diálogo de confirmação de Autenticidade de editor.

  8. Clique em Sim ou Executar para fechar a caixa de diálogo.
  9. Digite exit e pressione Enter (Isso fechará a sessão do MS-DOS.)