1. Symantec/
  2. Security Response/
  3. W32.Mytob@mm Removal Tool
  4. W32.Mytob@mm Removal Tool
  • Compartilhar

W32.Mytob@mm Removal Tool

Descoberto:
28 de Fevereiro de 2005
Atualizado:
13 de Fevereiro de 2007 11:35:38 AM
Tipo:
Removal Information

O Symantec Security Response criou uma ferramenta para remover infecções das seguintes variantes do W32.Mytob@mm:

    • W32.Mytob@mm
    • W32.Mytob.B@mm
    • W32.Mytob.L@mm
    • W32.Mytob.M@mm
    • W32.Mytob.R@mm
    • W32.Mytob.U@mm
    • W32.Mytob.V@mm
    • W32.Mytob.AG@mm
    • W32.Mytob.AH@mm
    • W32.Mytob.AS@mm
    • W32.Mytob.BE@mm
    • W32.Mytob.BV@mm
    • W32.Mytob.CF@mm
    • W32.Mytob.CH@mm
    • W32.Mytob.CU@mm
    • W32.Mytob.CY@mm
    • W32.Mytob.DA@mm
    • W32.Mytob.DB@mm
    • W32.Mytob.DF@mm
    • W32.Mytob.DJ@mm
    • W32.Mytob.DL@mm
    • W32.Mytob.DP@mm
    • W32.Mytob.DV@mm
    • W32.Mytob.EB@mm
    • W32.Mytob.EG@mm

Importante:
  • Se você estiver em uma rede, ou tiver conexão permanente com a Internet, tal como ADSL ou cabo, certifique-se de que o computador está desconectado da rede e da Internet. Desative ou proteja com senha os compartilhamentos de arquivos, ou defina-os como somente-leitura, antes de reconectar os computadores na rede ou na Internet.

    Para instruções sobre como fazer isso, consulte a documentação do seu Windows, ou o documento Como configurar as pastas compatilhadas do Windows para máxima proteção em rede.
  • Se estiver removendo esta ameaça de uma rede, certifique-se de que os compartilhamentos estão desativados ou definidos como Somente Leitura.
  • Se estiver utilizando Windows 95/98/Me ou XP (qualquer edição), execute o Windows Update para corrigir as vulnerabilidades do sistema operacional exploradas por esta ameaça. Caso o Windows Update não seja executado, uma nova infecção pode acontecer assim que o computador for conectado novamente à rede.
  • Esta ferramenta não foi desenvolvida para ser executada em servidores Novell NetWare. Para remover esta ameaça de servidores NetWare, certifique-se de que as definiçòes de vírus estão atualizadas e faça uma verificação completa com o produto antivírus Symantec.


O que a ferramenta faz
A ferramenta de remoção do W32.Mytob@mm faz o seguinte:
  1. Finaliza os processos virais do W32.Mytob@mm e variantes.
  2. Exclui os arquivos do W32.Mytob@mm.
  3. Exclui os arquivos gravados no computador.
  4. Exclui as alterações feitas ao registro.



Nota: Acesse o campo Informações Adicionais ao final deste documento para consultar a lista de parâmetros de linha de comando disponíveis para esta ferramenta e também informações de como verificar a autenticidade da assinatura digital.


Fazendo o download e executando a ferramenta

Notas:
  • No Windows NT4/2000/XP, você deve ter privilégios de administrador para executar essa ferramenta.
  • Para administradores de rede. Se estiver executando o MS Exchange 2000 Server, é recomendado que você exclua a unidade M da verificação usando o parâmetro Exclude. Independentemente de fazer isto, antes de executar a ferramenta faça uma cópia de segurança de todos os dados da unidade M. Para informações sobre o motivo deste procedimento consulte o artigo 299046 (em inglês) da Base de Cconhecimento da Microsoft XADM: Calendar Items Disappear from User's Folders.

  1. Faça o download do arquivo FixMytob.exe a partir de http://securityresponse.symantec.com/avcenter/FixMytob.exe
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a Área de Trabalho do Windows ou em uma mídia removível que não esteja infectada.
  3. Feche todos os programas antes de executar a ferramenta.
  4. Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
  5. Se você estiver usando Windows ME ou XP, desative a Restauração do Sistema. Para mais detalhes, consulte a seção Opção de Restauração do Sistema no Windows ME ou XP.


    ATENÇÃO: Se estiver usando o Windows ME/XP recomendamos que você não ignore esta etapa. O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desativada, porque o Windows não permite que outros programas alterem os arquivos desse recurso.

  6. Reinicie o computador em Modo de Segurança ou em modo VGA.
    • Windows 95, 98, Me, 2000, ou XP: Reinicie o computador em Modo de Segurança. Para instruções sobre como fazer isso, consulte o documento Iniciando o computador em Modo de Segurança.


      AVISO: Se estiver usando Windows 2000 ou XP, faça o login como Administrador ao reiniciar o computador em Modo de Segurança. Se isto não for observado, a ferramenta pode não conseguir remover completamente esta ameaça.

    • Windows NT 4: Reinicie o computador no Modo VGA.

  7. Clique duas vezes no arquivo FixMytob.exe para ativar a ferramenta de remoção.
  8. Clique em Start (Iniciar) para iniciar o processo e deixe a ferramenta ser executada.
  9. Reinicie o computador.
  10. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema está limpo.
  11. Se estiver usando o Windows ME ou XP, ative novamente a opção de Restauração do Sistema.
  12. Execute o LiveUpdate para fazer o download das definições de vírus mais atualizadas.


Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo W32.Mytob@mm. No caso de remoção da ameaça, o programa exibe os seguintes resultados:
  • O número total de arquivos verificados
  • O número de arquivos excluídos
  • O número de arquivos reparados.
  • O número de processos virais terminados
  • O número de entradas do registro excluídas.




Informações Adicionais

Parâmetros de linha de comando disponíveis para essa ferramenta

Parâmetro

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S

Executa a ferramenta em modo silencioso.

/LOG=<caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FixMytob.log na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=<caminho>

Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).


Nota: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
    • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
    • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o seu produto antivírus da Symantec. Isto permitirá que a ferramenta faça as devidas correções no registro. Após isto, verifique seu computador com o seu produto antivírus da Symantec e as definições de vírus mais recentes. Estes passos deverão remover esta ameaça do sistema.

Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:

"C:\Documentos e Configurações\usuario1\Desktop\FixMytob.exe" /EXCLUDE=M:\ /LOG=c:\Mytob.txt

Também, a linha de comando abaixo irá desativar a verificação dos arquivos do sistema, mas irá corrigir o registro. Você deverá fazer uma verificação de vírus com as devidas exclusões:

"C:\Documentos e Configurações\usuario1\Desktop\FixMytob.exe" /NOSCANFILE /LOG=c:\Mytob.txt


Nota: O nome do arquivo de registro pode ser escolhido a seu critério. O nome indicado é somente um exemplo.



Assinatura Digital
O FixMytob.exe é assinado digitalmente. A Symantec recomenda que você somente utilize cópias do FixMytob.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response.

Verificando a a autenticidade da assinatura digital
  1. Vá até http://www.wmsoftware.com/free.htm
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou o FixMytob.exe.
  3. Siga um dos procedimentos abaixo, dependendo do seu sistema operacional:
    • Clique em Iniciar > Programas > Prompt do MS-DOS.
    • Clique em Iniciar > Programas >Acessórios > Prompt do MS-DOS.

  4. Alterne para o diretório no qual o FixMytob.exe e Chktrust.exe foram salvos.
  5. Digite:

    chktrust -i FixMytob.exe

    Por exemplo, se você salvou os arquivos na pasta C:\Downloads, deve digitar os seguintes comandos:

    cd\
    cd downloads
    chktrust -i
    FixMytob.exe

    Pressione Enter após ter digitado cada comando. Se a assinatura digital for válida, você verá o seguinte:

    Do you want to install and run "W32.MyTob Removal Tool" signed on 02/28/2005 9:28 AM and distributed by Symantec Corporation?



Notas:
  • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
  • Se estiver em Horário de Verão a hora exibida será exatamente uma hora mais cedo.
  • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
    • Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
    • A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, consulte o documento em inglês How to restore the Publisher Authenticity confirmation dialog box.


5. Clique em Yes (Sim) para fechar a caixa de diálogo.

6. Digite Exit e pressione Enter para fechar a sessão MS-DOS.



Resumo
Internet Security Threat Report