1. Symantec/
  2. Security Response/
  3. W32.Frethem Removal Tool
  4. W32.Frethem Removal Tool
  • Compartilhar

W32.Frethem Removal Tool

Descoberto:
16 de Julho de 2002
Atualizado:
13 de Fevereiro de 2007 11:34:01 AM
Tipo:
Removal Information


O Symantec Security Response criou uma ferramenta de correção para reparar infecções causadas por todas as variações conhecidas do W32.Frethem. Isso inclui o W32.Frethem.A@mm e o W32.Frethem.O@mm.

O que a ferramenta faz

A ferramenta de remoção do W32.Frethem.Gen@mm faz o seguinte:
  1. Encerra todos os processos de infecção do W32.Frethem.
  2. Exclui todos os arquivos W32.Frethem conhecidos.
  3. Exclui a entrada de registro adicionada pelo worm.

Switches de linha de comando disponíveis nesta ferramenta


Switch

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (o uso desse switch não é recomendado).

/SILENT, /S

Ativa o modo silencioso.

/LOG=<path name>

Cria um arquivo de registro onde o <nome do caminho> é o local onde os registros de saída da ferramenta são armazenados.
Por padrão, esse switch cria um arquivo de registro FixFreth.log no mesmo arquivo de onde
a ferramenta de remoção foi executada.

/MAPPED

Verifica unidades de rede mapeadas (o uso desse switch não é recomendado --consulte as notas)

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<path>

Exclui o <caminho> especificado da verificação (o uso desse switch não é recomendado).

NOTA: O uso do switch /MAPPED não garante a remoção completa do vírus no computador remoto porque:
  • A verificação de unidades aplica-se apenas às pastas mapeadas. Isso pode não incluir todas as pastas do computador remoto, podendo causar falha na detecção.
  • Se um arquivo de vírus for detectado na unidade mapeada, a remoção falhará se um programa no computador remoto estiver usando esse arquivo.

Portanto, é melhor executar a ferramenta em cada um dos computadores.

Para obter e executar a ferramenta

NOTA: É preciso ter direitos de administrador para executar esta ferramenta no Windows NT 4.0, 2000 e Windows XP.
  1. Faça o download do arquivo FixFreth.exe file a partir de:

    http://securityresponse.symantec.com/avcenter/FixFreth.exe
  2. Salve o arquivo em um local conveniente, tal como a sua pasta de downloads ou a área de trabalho do Windows (ou, se possível, em uma mídia removível que você saiba que não está infectada).
  3. Para verificar a autenticidade da assinatura digital, consulte a seção A assinatura digital.
  4. Feche todos os programas em execução antes de executar a ferramenta.
  5. Se você estiver em uma rede ou tiver uma conexão constante com a Internet, desconecte o computador da rede e da Internet.
  6. Se estiver executando o Windows Me ou XP, desative a Restauração do sistema. Consulte a seção Opção de restauração do sistema no Windows Me/XP para obter detalhes adicionais.

    CUIDADO: Se estiver executando o Windows Me/XP, recomendamos não ignorar essa etapa.
  7. Clique duas vezes no arquivo FixFreth.exe para iniciar a ferramenta de remoção.
  8. Clique em Iniciar para começar o processo e permitir que a ferramenta seja executada.
  9. Reinicie o computador.
  10. Execute a ferramenta novamente para garantir a limpeza do sistema.
  11. Se estiver executando o Windows Me/XP, reative a Restauração do sistema.
  12. Execute o LiveUpdate para garantir que está usando as definições de vírus mais recentes.

NOTA: O procedimento de remoção pode não ser bem-sucedido se a Restauração do sistema do Windows Me/XP não estiver desativada como sugerido anteriormente, porque o Windows impede que a Restauração do sistema seja modificada por programas externos. Por isso, a ferramenta de remoção pode falhar.

Quando a execução da ferramenta for concluída, será exibida uma mensagem indicando se o computador foi infectado pelo W32.Frethem.Gen@mm. No caso da remoção do worm, o programa exibe os seguintes resultados:
  • O número total de arquivos verificados.
  • O número de arquivos excluídos.
  • O número de processos de infecção finalizados.
  • O número de entradas de registro corrigidas.
A assinatura digital
O FixFreth.exe é assinado digitalmente. A Symantec recomenda que você use somente cópias do FixFreth.exe que tenham sido descarregadas diretamente do site do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga estas etapas:
  1. Vá para http://www.wmsoftware.com/free.htm (inglês)
  2. Faça o download e salve o arquivo chktrust.exe na mesma pasta onde salvou o FixFreth.com (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça o seguinte:
    • Clique em Iniciar, aponte para Programas e clique no Prompt do MS-DOS.
    • Clique em Iniciar, selecione Programas, clique em Acessórios e em Prompt de comando.
  4. Vá para a pasta onde o FixFreth.exe e Chktrust.exe estão armazenados e digite:

    chktrust -i FixFreth.exe

    Por exemplo, se houver salvado o arquivo na pasta C:\Downloads, você deve inserir os seguintes comandos:

    cd\
    cd downloads
    chktrust -i FixFreth.exe

    Pressione a tecla Enter depois de digitar cada comando. Se a assinatura digital for válida, você verá uma mensagem semelhante a:

    Deseja instalar e executar o "W32.Frethem.Gen@mm Fix Tool" assinado em 23.07.02 9:17 hs e distribuído pela Symantec Corporation?

    NOTAS:
    • A data e a hora que são exibidas nessa caixa de diálogo serão ajustadas ao seu fuso horário se o computador não estiver definido para o fuso horário do Pacífico.
    • Se estiver no horário de verão, será exibida exatamente uma hora mais cedo.
    • Caso essa caixa de diálogo não seja exibida, há duas razões possíveis:
      • A ferramenta não é da Symantec. A menos que esteja certo de que a ferramenta seja legítima e tenha sido descarregada de um website da Symantec legítimo, não a execute.
      • A ferramenta é da Symantec e é legítima. Porém, seu sistema operacional foi instruído previamente a sempre confiar em conteúdo proveniente da Symantec. Para obter mais informações sobre isso e sobre como exibir a caixa de diálogo de confirmação, consulte o documento How to restore the Publisher Authenticity confirmation dialog box. (inglês)
  5. Clique em Sim para fechar a caixa de diálogo.
  6. Digite exit e pressione Enter. Isso fechará a sessão do MS-DOS.
A opção Restauração do sistema no Windows Me/XP
Os usuários do Windows Me e do Windows XP devem desativar temporariamente a Restauração do sistema. Esse recurso, que por padrão está ativado, é utilizado pelo Windows Me/XP para restaurar arquivos no computador, caso se tornem danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia, é possível que o vírus, worm ou Cavalo de Tróia tenha sido armazenado pela Restauração do sistema. Por padrão, o Windows impede que a Restauração do sistema seja modificada por programas externos. Como resultado, existe a possibilidade de que você restaure acidentalmente um arquivo infectado, ou que as verificações on-line detectem uma ameaça nesse local. Para obter instruções sobre como desativar a Restauração do sistema, leia a documentação do Windows ou um dos seguintes artigos:
Para obter informações adicionais e uma alternativa para a desativação da Restauração do sistema do Windows Me, consulte o artigo do Knowledge Base da Microsoft Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455), (inglês) ID do artigo:

Como executar a ferramenta a partir de um disquete
  1. Insira o disquete que contém o arquivo FixFreth.exe na unidade de disquete.
  2. Clique em Iniciar e em Executar.
  3. Digite o seguinte e clique em OK:

    a:\fixfreth.exe

    NOTAS:
    • Não existem espaços no comando a:\fixfreth.exe.
    • Se você estiver usando o Windows Me e a opção Restauração do sistema permanecer ativada, será exibida uma mensagem de alerta. Você tem a opção de executar a ferramenta de remoção com a Restauração do sistema ativada, ou sair da ferramenta de remoção.
  4. Clique em Iniciar para começar o processo e permitir que a ferramenta seja executada.
  5. Se estiver usando o Windows Me, reative a Restauração do sistema.
Resumo
Internet Security Threat Report