1. Symantec/
  2. Security Response/
  3. W32.Beagle@mm Removal Tool
  4. W32.Beagle@mm Removal Tool
  • Compartilhar

W32.Beagle@mm Removal Tool

Descoberto:
19 de Janeiro de 2004
Atualizado:
13 de Fevereiro de 2007 11:35:04 AM
Tipo:
Removal Information

O Symantec Security Response desenvolveu uma ferramenta de remoção para eliminar infecções das seguintes variantes do Beagle:


O que a ferramenta faz

A ferramenta de remoção W32.Beagle@mm executa as seguintes ações:
  1. Finaliza os processos virais W32.Beagle@mm e Trojan.Tooso
  2. Apaga os arquivos W32.Beagle@mm e Trojan.Tooso
  3. Apaga os valores de registro adicionados pelo W32.Beagle@mm e pelo Trojan.Tooso

    Nota: essa ferramenta de remoção restaura as configurações-padrão dos seguintes processos:
    • Automatic Updates
    • Alerter
    • Windows Firewall/Internet Connection Sharing (ICS)
Opções de linha de comando disponíveis para esta ferramenta


Opção

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S

Ativa o modo silencioso.

/LOG=<nome do caminho>

Cria um arquivo de registro no qual o <nome do caminho> é o local onde os registros de saída da ferramenta são armazenados. Por padrão, esse alternador cria o arquivo de registro FxBeagle.log na mesma pasta de onde a ferramenta de remoção foi executada.

/MAPPED

Verifica os discos de rede mapeados (não recomendamos o uso dessa opção. Veja a Nota abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui o <caminho> especificado da verificação (não recomendamos o uso dessa opção. Veja a Nota abaixo).

/NOFILESCAN

Desativa a verificação dos arquivos do sistema.


Nota: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
    • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
    • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.


O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o seu produto antivírus da Symantec Isto permitirá que a ferramenta faça as devidas correções no registro. Após isto, verifique seu computador com o seu produto antivírus da Symantec e as definições de vírus mais recentes. Estas etapas devem remover esta ameaça do sistema.

Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:

>"C:\Documents and Settings\user1\Desktop\FxBeagle.exe" /EXCLUDE=M:\ /LOG=c:\FxBeagle.txt

Além disso, a linha de comando abaixo desativará a verificação dos arquivos do sistema, mas irá corrigir as alterações feitas no registro. Você deverá fazer uma verificação de vírus com as devidas exclusões:

>"C:\Documents and Settings\user1\Desktop\FxBeagle.exe" /NOFILESCAN /LOG=c:\FxBeagle.txt


Notas:
  • O símbolo de maior (>) não faz parte do caminho.
  • O nome do arquivo de registro pode ser qualquer um. O nome listado é meramente um exemplo.


Obtendo e executando a ferramenta

Nota: no Windows NT4/2000/XP, você deve ter privilégios de administrador para executar essa ferramenta.

AVISO: para administradores de rede. Se estiver executando o MS Exchange 2000 Server, é recomendado que você exclua a unidade M da verificação utilizando o parâmetro Exclude. Para mais informações, consulte o artigo em inglês da Base de dados da Microsoft XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Artigo 298924).
  1. Faça o download do arquivo FxBeagle utilizando o link: http://securityresponse.symantec.com/avcenter/FxBeagle.exe.
  2. Salve-o em local apropriado, como sua pasta de downloads ou a Área de Trabalho do Windows ou em mídia removível que não esteja infectada.
  3. Para verificar a autenticidade da assinatura digital, consulte a seção Assinatura digital.
  4. Feche todos os programas em execução antes de iniciar a ferramenta.
  5. Se o seu computador estiver conectado em rede ou dispuser de conexão permanente à Internet, desconecte-o.
  6. Se estiver executando o Windows Me ou XP, desative a Restauração do Sistema. Consulte a seção Opção de Restauração do Sistema no Windows Me/XP, mais adiante neste documento, para informações adicionais.

    Cuidado
    : se estiver executando o Windows Me/XP, recomendamos que você não ignore esta etapa.

  7. Clique duas vezes no arquivo FxBeagle.exe para ativar a ferramenta de remoção.
  8. Clique em Start para iniciar o processo, e aguarde até o término da execução da ferramenta.
  9. Reinicie o computador.
  10. Execute a ferramenta novamente para garantir que o sistema não permaneceu infectado.
  11. Se estiver executando o Windows Me/XP, reative a Restauração do Sistema.
  12. Execute o LiveUpdate para certificar-se de que você possui as definições de vírus mais recentes.

Nota: o procedimento de remoção pode não ser bem-sucedido se a opção de Restauração do sistema do Windows Me/XP não tiver sido desativada como indicado anteriormente, pois o Windows impede que a Restauração do Sistema seja modificada por outros programas.

Quando a execução da ferramenta for concluída, será exibida uma mensagem indicando se o computador foi infectado pelo W32.Beagle@mm. Se o worm foi removido, a ferramenta exibe os seguintes resultados:
  • O número total de arquivos verificados.
  • O número de arquivos excluídos.
  • O número de arquivos reparados.
  • O número de processos de vírus finalizados.
  • O número de entradas de registro corrigidas.

Assinatura digital

FxBeagle.exe é assinado digitalmente. A Symantec recomenda que você somente utilize cópias da ferramenta FxBeagle.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga essas etapas:
  1. Vá para http://www.wmsoftware.com/free.htm.
  2. Faça o download e salve o arquivo chktrust.exe na mesma pasta onde o FxBeagle.exe foi salvo (por exemplo, C:\Downloads).
  3. Dependendo do seu sistema operacional, faça o seguinte:
    • Clique em Iniciar > Programas > Prompt do MS-DOS.
    • Clique em Iniciar > Programas > Acessórios > Prompt de Comando.
  4. Vá para a pasta onde o FxBeagle.exe e Chktrust.exe estão armazenados e digite: chktrust -i FxBeagle.exe.

    Por exemplo, se o arquivo foi salvo na pasta C:\Downloads, você deve digitar os seguintes comandos:

    cd\
    cd downloads
    chktrust -i FxBeagle.exe


    Pressione Enter após digitar cada comando. Se a assinatura digital for válida, você verá o seguinte:

    Deseja instalar e executar a Ferramenta de Remoção do W32.Beagle assinada em   09/10/2005 04:18:12 am  e distribuído pela Symantec Corporation?

    Nota
    s:
    • A data e a hora exibidas na caixa de diálogo serão ajustadas conforme o seu fuso horário local, caso não utilize o horário do Pacífico em seu computador.
    • Se estiver no horário de verão, a hora exibida será exatamente uma hora mais cedo.
    • Caso essa caixa de diálogo não seja exibida, há duas razões possíveis:
      • A ferramenta não é da Symantec: a menos que esteja certo de que a ferramenta seja legítima e tenha sido descarregada de um website da Symantec legítimo, não a execute.
      • A ferramenta é da Symantece e é legítima: Entretanto, seu sistema operacional foi instruído previamente a sempre confiar no conteúdo da Symantec. Para mais informações sobre como exibir a mensagem de confirmação novamente, consulte o documento Restaurando a caixa de diálogo de confirmação de Autenticidade de Editor.
  5. Clique em Sim para fechar a caixa de diálogo.
  6. Digite exit e pressione Enter. (Isso fechará a sessão do MS-DOS.)

Opção Restauração do Sistema no Windows Me/XP
Os usuários do Windows Me e do Windows XP devem desativar temporariamente a Restauração do Sistema. Esse recurso, ativado por padrão, é utilizado pelo Windows Me/XP para restaurar os arquivos no computador caso esses tornem-se danificados. Se um vírus, worm ou cavalo de Tróia infectar o computador, a Restauração do Sistema pode armazenar uma cópia dessas ameaças.

O Windows impede que a Restauração do Sistema seja alterada por programas externos, inclusive programas antivírus. Portanto, esses programas podem não conseguir remover ameaças que se encontrem na pasta da Restauração do Sistema. Como resultado, a Restauração do Sistema tem o potencial de restaurar um arquivo infectado no computador, mesmo se os arquivos infectados foram removidos de outros locais.

Também é possível que uma verificação de vírus detecte uma ameaça na pasta da Restauração do Sistema, mesmo se a ameaça foi removida do computador.

Para mais informações sobre como desativar a Restauração do Sistema, consulte a documentação do Windows ou um dos seguintes documentos:
Para mais informações e para uma solução que não envolve desativar a restauração do sistema, consulte o seguinte artigo da Base de Conhecimento da Microsoft Antivirus Tools Cannot Clean Infected Files in the Restore Folder , ID do artigo: Q263455.

Resumo
Internet Security Threat Report