1. Symantec/
  2. Security Response/
  3. W32.Sasser.B.Worm
  4. W32.Sasser.B.Worm
  • Compartilhar

W32.Sasser.B.Worm - Remoção

Nível do risco2: Baixo

Descoberto:
1 de Maio de 2004
Atualizado:
13 de Fevereiro de 2007 12:23:18 PM
Também conhecido como:
WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo:
Worm
Extensão da infecção:
15872 bytes
Sistemas afetados:
Windows
Referências CVE:
CAN-2003-0533

Remoção usando a Ferramenta de Remoção do W32.Sasser
O Symantec Security Response criou uma ferramenta para remover o W32.Sasser. Esta é a maneira mais fácil de se remover esta ameaça.

Remoção manual
Como alternativa ao uso da ferramenta, você pode remover esta ameaça manualmente.

Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.
  1. Finalize o processo malicioso.
  2. Desative a Restauração do sistema (Windows Me/XP).
  3. Atualize as definições de vírus.
  4. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Sasser.B.Worm.
  5. Reverta as alterações feitas pelo worm no registro.
Para maiores detalhes sobre como fazer isto, consulte as seguintes instruções.

1. Para localizar e interromper um processo
  1. Pressione as teclas Ctrl+Alt+Delete uma vez.
  2. Clique em Gerenciador de Tarefas.
  3. Clique na guia Processos.
  4. Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos por ordem alfabética.
  5. Role a lista e procure pelos serviços:
      • avserve2.exe
      • qualquer processo cujo nome possui 4 ou 5 dígitos seguido de _up.exe (por exemplo: 74354_up.exe).
  6. Se você encontrar o arquivo, clique uma vez sobre ele para selecioná-lo e clique no botão Finalizar Processo.
  7. Saia do Gerenciador de Tarefas.

2. Desativando a Restauração do sistema (Windows Me/XP)
Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso de Restauração do sistema. Este recurso, ativado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos do sistema em seu computador, caso estes tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de tróia é possível que arquivos infectados sejam recuperados pela Restauração do sistema.

Por padrão, o Windows previne que a Restauração do sistema seja alterada por programas externos, inclusive programas antivírus. Assim, é possível que você, acidentalmente, recupere um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desativar a Restauração do sistema, consulte a documentação do Windows ou um dos seguintes artigos:

Nota: Após ter removido completamente a ameaça, você deve ativar novamente a Restauração do sistema seguindo as instruções dos documentos mencionados acima.


Para informações adicionais e como alternativa a desativar a Restauração do sistema, consulte o artigo Q263455, em inglês, da base de dados da Microsoft (Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder).

3. Atualizando as definições de vírus

O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:

  • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa propagação de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste documento.
  • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.


4. Executando uma verificação completa no sistema
  1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
  2. Execute uma verificação completa do sistema.
  3. Se houver arquivos detectados como infectados com W32.Sasser.B.Worm, clique em Excluir.

5. Para remover o valor do registro

AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
  1. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
  2. Digite regedit

    e clique em OK. (O Editor do Registro será aberto).

  3. Navegue até a chave:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  4. No painel direito, exclua o valor:

    "avserve2.exe"="%Windir%\avserve2.exe"


  5. Saia do Editor do Registro.


Escrito por:Heather Shannon
Internet Security Threat Report