1. Symantec/
  2. Security Response/
  3. W32.HLLW.Fizzer Removal Tool
  4. W32.HLLW.Fizzer Removal Tool
  • Compartilhar

W32.HLLW.Fizzer Removal Tool

Descoberto:
12 de Maio de 2003
Atualizado:
13 de Fevereiro de 2007 11:34:34 AM
Tipo:
Removal Information

O Symantec Security Response desenvolveu uma ferramenta de remoção para limpar infecções do W32.HLLW.Fizzer@mm. Esta ferramenta remove infecçòes baseadas nas detecções do W32.HLLW.Fizzer@mm conhecidas em 12 de Maio de 2003.

O que a ferramenta faz

A ferramenta de remoção do W32.HLLW.Fizzer@mm faz o seguinte:
  1. Finaliza os processos virais do W32.HLLW.Fizzer@mm.
  2. Exclui os arquivos do W32.HLLW.Fizzer@mm.
  3. Exclui os arquivos gravados na máquina pelo worm.
  4. Exclui os valores de Registro adicionados pelo vírus.

Parâmetros de linha de comando disponíveis para essa ferramenta


Parâmetro

Descrição

/HELP, /H, /?

Exibe a tela de ajuda.

/NOFIXREG

Desabilita o reparo do registro (não recomendamos usar essa opção).

/SILENT, /S

Habilita o modo silencioso.

/LOG=<caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FixFiz.log na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).

NOTA: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
  • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
  • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

Para obter e executar a ferramenta

NOTAS: Você deve ter privilégios de administrador para executar essa ferramenta no Windows NT4/2000/XP.
  1. Faça o download do arquivo FixFiz.exe clicando no link abaixo:

    http://securityresponse.symantec.com/avcenter/FixFiz.exe
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a área de trabalho do Windows ou numa mídia removível que não esteja infectada, se possível.
  3. Para verificar a autenticidade da assinatura digital, veja a seção Assinatura digital.
  4. Feche todos os programas antes de executar a ferramenta.
  5. Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
  6. Se você estiver usando Windows ME ou XP, desabilite a Restauração do Sistema. Para mais detalhes, veja a seção Opção de Restauração do Sistema no Windows ME ou XP.

    CUIDADO:
    Se você estiver usando o Windows ME/XP recomendamos enfaticamente que você não ignore esse passo. O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desabilitada, porque o Windows não permite que outros programas modifiquem a Restauração do Sistema.
  7. Clique duas vezes no arquivo FixFiz.exe para iniciar a ferramenta de remoção.
  8. Clique em Start [Iniciar] para iniciar o processo e deixe a ferramenta ser executada.
  9. Reinicie o computador.
  10. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema esteja limpo.
  11. Se estiver usando o Windows ME ou XP, habilite novamente a opção de Restauração do Sistema.
  12. Execute o LiveUpdate para assegurar-se de estar com as definições de vírus mais atualizadas.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.HLLW.Fizzer@mm. No caso de remoção do worm, o programa mostra os seguintes resultados:
  • O número total de arquivos verificados
  • O número de arquivos apagados
  • O número de processos virais terminados
  • O número de entradas do registro apagadas

Assinatura Digital

O FixFiz.exe é assinado digitalmente. A Symantec recomenda que você use somente cópias do FixFiz.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga esses passos:
1. Vá até http://www.wmsoftware.com/free.htm
2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FixFiz.exe (por exemplo, C:\Downloads).
3. Dependendo do seu sistema operacional, faça o seguinte:
Clique em Iniciar, selecione Programas e clique em Prompt do MS-DOS.
Clique em Iniciar, selecione Programas, clique em Acessórios e então, clique em Prompt do MS-DOS.
4. Mude para o diretório no qual o FixFiz.exe e Chktrust.exe foram salvos e digite:

chktrust -i FixFiz.exe

Por exemplo, se você salvou o arquivo na pasta C:\Downloads, deve digitar os seguintes comandos (pressione Enter após digitar cada comando):

cd\
cd downloads
chktrust -i FixFiz.exe

Se a assinatura digital for válida, você verá o seguinte:

Do you want to install and run "W32.HLLW.Fizzer@mm Removal Tool" signed on 5/12/2003 4:12 PM and distributed by Symantec Corporation?
(Você deseja instalar e executar a "Ferramenta de Remoção do W32.HLLW.Fizzer@mm" assinada em 05/12/2003 às 4:12 e distribuída pela Symantec Corporation?)

NOTAS:
  • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico,
  • Se estiver em Horário de Verão a hora exibida será exatamente uma hora mais cedo.
  • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
    • Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que, realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
    • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, leia o documento How to restore the Publisher Authenticity confirmation dialog box (Este recurso encontra-se em inglês.)
5. Clique Yes (Sim) para fechar a caixa de diálogo.
6. Digite exit e pressione Enter. Isso fechará a sessão MS-DOS.

Opção Restauração do Sistema no Windows Me ou XP
Usuários do Windows Me e do Windows XP devem desabilitar temporariamente a Restauração do Sistema. Este recurso, habilitado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que essas ameaças sejam restauradas pela Restauração do Sistema.

O Windows previne que a Restauração do Sistema seja alterada por programas externos. Assim, programas antivírus ou ferramentas de remoção não conseguem remover limpar arquivos da pasta de Restauração do Sistema. Como resultado, o recurso possui potencial para infectar o computador novamente, caso uma restauração seja executada.

Para instruções sobre como desligar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes artigos:
Para informações adicionais, ou uma alternativa a desabilitação do recurso, consulte o documento da Base de Dados da Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455) (este recurso encontra-se em Inglês).

Como executar a ferramenta a partir um disquete
  1. Insira o disquete que contém arquivo FixFiz.exe na unidade de disco flexível.
  2. Clique no botão Iniciar e então, em Executar.
  3. Digite o comando abaixo e clique no botão OK:

    a:\FixFiz.exe


    NOTAS:
    • Não há espaços no comando a:\FixFiz.exe.
    • Se você estiver usando o Windows ME e a Restauração do Sistema estiver habilitada, surgirá uma mensagem de alerta. Escolha entre executar a ferramenta de remoção com a opção Restauração do Sistema habilitada ou sair da ferramenta de remoção.
  4. Clique Start (Iniciar) para começar o processo e deixe a ferramenta executar-se.
  5. Se estiver usando o Windows Me reabilite a Restauração do Sistema.
Resumo
Internet Security Threat Report