1. Symantec/
  2. Security Response/
  3. W32.Erkez@mm Removal Tool
  4. W32.Erkez@mm Removal Tool
  • Compartilhar

W32.Erkez@mm Removal Tool

Descoberto:
19 de Abril de 2004
Atualizado:
13 de Fevereiro de 2007 11:35:15 AM
Tipo:
Removal Information

O Symantec Security Response desenvolveu uma ferramenta de remoção para limpar infecções do W32.Erkez@mm.

O que a ferramenta faz
A ferramenta de remoção do W32.Erkez@mm faz o seguinte:
  1. Finaliza os processos virais do W32.Erkez@mm.
  2. Exclui os arquivos do W32.Erkez@mm.
  3. Exclui os arquivos gravados na máquina.
  4. Exclui as alterações feitas ao Registro.



Nota: Acesse a seção Informações Adicionais ao final deste documento para consultar a lista de parâmetros de linha de comando disponíveis para esta ferramenta e também informações de como verificar a autenticidade da assinatura digital.


Fazendo o download e executando a ferramenta

Nota: Você deve ter privilégios de administrador para executar essa ferramenta no Windows NT4/2000/XP.

  1. Faça o download do arquivo FxErkez.exe.
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a Área de trabalho do Windows ou numa mídia removível que não esteja infectada.
  3. Feche todos os programas antes de executar a ferramenta.
  4. Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
  5. Se você estiver usando Windows ME ou XP, desabilite a Restauração do Sistema. Para mais detalhes, veja a seção Opção de Restauração do Sistema no Windows ME ou XP.


    CUIDADO: Se você estiver usando o Windows ME/XP recomendamos enfaticamente que você não ignore esse passo. O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desabilitada, porque o Windows não permite que outros programas modifiquem a Restauração do Sistema.
  6. Reinicie o computador em Modo de segurança ou em modo VGA.
    • Windows 95, 98, Me, 2000, ou XP: Reinicie o computador em Modo de segurança. Para instruções sobre como fazer isso, consulte o documento Como iniciar o computador em modo de segurança.


      AVISO: Se estiver usando Windows 2000 ou XP, faça o login como Administrador após ter reiniciado em Modo de Segurança. Se isto não for observado, a ferramenta pode não conseguir remover completamente esta ameaça.

    • Windows NT 4: Reinicie o computador no Modo VGA.

  7. Clique duas vezes no arquivo FxErkez.exe para iniciar a ferramenta de remoção.
  8. Clique em Start [Iniciar] para iniciar o processo e deixe a ferramenta ser executada.
  9. Reinicie o computador.
  10. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema está limpo.
  11. Se estiver usando o Windows ME ou XP, ative novamente a opção de Restauração do Sistema.
  12. Execute o LiveUpdate para assegurar-se de estar com as definições de vírus mais atualizadas.

Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Erkez@mm. No caso de remoção da ameaça, o programa exibe os seguintes resultados:
  • O número total de arquivos verificados
  • O número de arquivos excluídos
  • O número de processos virais terminados
  • O número de entradas do registro excluídas.


Opção Restauração do Sistema no Windows Me ou XP
Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso de Restauração do sistema. Este recurso, ativado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos do sistema em seu computador, caso estes tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de tróia é possível que arquivos infectados sejam recuperados pela Restauração do sistema.

Por padrão, o Windows previne que os arquivos criados e mantidos pela Restauração do sistema sejam alterados por programas externos, inclusive programas antivírus. Dessa forma, arquivos criados por este recurso que tenha sido infectados não poderão ser corrigidos. Assim, ao usar este recurso mais tarde, é possível que você restaure em seu sistema um arquivo infectado ou que verificadores online detectem uma ameaça naquele lugar.

Para instruções sobre como desativar a Restauração do sistema, consulte a seção referente ao seu sistema operacional:

Desativando o recurso de restauração do Windows Me
  1. Clique em Iniciar > Configurações > Painel de controle.
  2. Clique duas vezes em Sistema. A caixa de diálogo de Propriedades de Sistema é exibida.



    Nota: Se o ícone de Sistema não for visível, clique em Exibir todas as opções do Painel de Controle.

  3. Clique na guia Desempenho > Sistema de arquivos.
  4. Clique e na guia Solução de problemas e marque Desativar restauração do sistema.
  5. Clique em OK e em Fechar.
  6. Clique em Sim quando for solicitado a reinicializar o Windows.


Desativando o recurso de restauração do sistema no Windows XP

Notas:
  • Você deve conectar-se como Administrador para fazer isso. Se não for conectado como administrador, a guia do recurso de restauração não será exibida. Se não souber como se conectar como administrador, entre em contato com o Administrador de Sistemas (se estiver em rede) ou consulte a documentação do seu sistema operacional.
  • A desativação do recurso de restauração eliminará todos os pontos prévios de restauração.


  1. Clique em Iniciar > Programas > Acessórios > Windows Explorer.
  2. Clique com o botão direito em Meu computador e, em seguida, clique em Propriedades.
  3. Clique na guia Restauração do sistema.
  4. Marque Desativar restauração do sistema ou Desativar restauração do sistema em todas as unidades.
  5. Clique em Aplicar e em OK.
  6. Clique em Sim na mensagem que informa que os pontos prévios de restauração serão eliminados.
  7. Clique em OK.


Se desejar obter instruções detalhadas sobre como configurar a Restauração do sistema, consulte um dos documentos abaixo:

Para informações adicionais e como alternativa a desativar a Restauração do sistema, consulte o artigo Q263455, em inglês, da base de dados da Microsoft (Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder).


Executando a ferramenta a partir um disquete
  1. Insira o disquete que contém arquivo FxErkez.exe na unidade de disco flexível.
  2. Clique no botão Iniciar e então, em Executar.
  3. Digite o seguinte:

    a:\FxErkez.exe
  4. Clique em OK.


    Notas:
    • Não há espaços no comando a:\FxErkez.exe
    • Se você estiver usando o Windows ME e a Restauração do Sistema estiver habilitada, surgirá uma mensagem de alerta. Escolha entre executar a ferramenta de remoção com a opção Restauração do Sistema habilitada ou sair da ferramenta de remoção.

  5. Clique Start (Iniciar) para começar o processo e deixe a ferramenta ser executada.
  6. Se estiver usando o Windows Me reabilite a Restauração do Sistema.

Informações Adicionais

Parâmetros de linha de comando disponíveis para essa ferramenta


Parâmetro

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S

Habilita o modo silencioso.

/LOG=<caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FxErkez.log na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).

/NOFILESCAN

Desativa a verificação de arquivos do sistema.


Nota: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
    • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
    • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o seu produto antivírus da Symantec. Isto permitirá que a ferramenta faça as devidas correçòes no registro. Após isto, verifique seu computador com o seu produto antivírus da Symantec e as definições de vírus mais recentes. Estes passos deverão remover esta ameaça do sistema.

Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:

>"C:\Documents and Settings\user1\Desktop\FxErkez.exe" /EXCLUDE=M:\ /LOG=c:\FxErkez.txt

Também, a linha de comando abaixo irá desativar a verificação dos arquivos do sistema, para irá corrigir o registro. Você deverá fazer uma verificação de vírus com as devidas exclusões:

>"C:\Documents and Settings\user1\Desktop\FxErkez.exe" /NOFILESCAN /LOG=c:\FxErkez.txt


Notas:
  • O sinal de maior que (>) não faz parte do caminho.
  • O nome do arquivo de registro pode ser escolhido a seu critério. O nome indicado é somente um exemplo.




Assinatura Digital
O FxErkez.exe é assinado digitalmente. A Symantec recomenda que você use somente cópias do FxErkez.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response.
Verificando a a autenticidade da assinatura digital
  1. Vá até http://www.wmsoftware.com/free.htm
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FxErkez.exe (por exemplo, C:\Downloads).
  3. Siga um dos procedimentos abaixo, dependendo do seu sistema operacional:
    • Clique em Iniciar > Programas > Prompt do MS-DOS.
    • Clique em Iniciar > Programas >Acessórios > Prompt do MS-DOS.

  4. Mude para o diretório no qual o FxErkez.exe e Chktrust.exe foram salvos e digite:

    chktrust -i FxErkez.exe

    Por exemplo, se você salvou os arquivos na pasta C:\Downloads, deve digitar os seguintes comandos (pressione Enter após digitar cada comando):

    cd\
    cd downloads
    chktrust -i FxErkez.exe


    Pressione Enter após ter digitado cada comando. Se a assinatura digital for válida, você verá o seguinte:

    "Do you want to install and run "W32.Erkez@mm Removal Tool" signed on 12/14/2004 4:26 PM and distributed by: Symantec Corporation"



    Notas:
    • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
    • Se estiver em Horário de Verão a hora exibida será exatamente uma hora mais cedo.
    • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
      • Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
      • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, consulte o documento em inglês How to restore the Publisher Authenticity confirmation dialog box.


    5. Clique Yes (Sim) para fechar a caixa de diálogo.

    6. Digite Exit e pressione Enter. Isso fechará a sessão MS-DOS


    Resumo
    Internet Security Threat Report