1. Symantec/
  2. Security Response/
  3. W32.Esbot Removal Tool
  4. W32.Esbot Removal Tool
  • Compartilhar

W32.Esbot Removal Tool

Descoberto:
17 de Agosto de 2005
Atualizado:
13 de Fevereiro de 2007 11:35:50 AM
Tipo:
Removal Information

O que a ferramenta faz
A ferramenta de remoção do W32.Esbot faz o seguinte:
  1. Finaliza os processos virais do W32.Esbot.
  2. Exclui os arquivos do W32.Esbot.
  3. Exclui os arquivos gravados na máquina.
  4. Exclui as alterações feitas ao Registro.



Nota: Acesse a seção Informações Adicionais ao final deste documento para consultar a lista de parâmetros de linha de comando disponíveis para esta ferramenta e também informações de como verificar a autenticidade da assinatura digital.

IMPORTANTE: Certificando-se de que não existem conexões de rede ativas, incluindo conexões a cabo e ADSL
Se você estiver em uma rede, ou tiver conexão permanente com a Internet, tal como ADSL ou cabo, certifique-se de que o computador está desconectado da rede e da Internet. Desative ou proteja com senha os compartilhamentos de arquivos, ou defina-os como somente-leitura, antes de reconectar os computadores na rede ou na Internet.

Pelo fato deste worm espalhar-se usando pastas compatilhadas nos computadores em rede, para garantir que o worm não irá reinfectar o computador após ter sido removido, a Symantec sugere o compartilhamento com acesso somente-leitura ou usando uma senha. Para instruções sobre como fazer isso, consulte a documentação do seu Windows, ou o documento Como configurar as pastas compatilhadas do Windows para máxima proteção em rede.

Se estiver removendo a infecção de uma rede, certifique-se de que todos os compartilhamentos estão definidos como Somente Leitura.

Esta ferramenta não foi desenvolvida para uso em servidores Novell NetWare. Para remover esta ameaça de um servidor NetWare, atualize as definições de vírus e execute uma verificação completa utilizando o produto Symantec antivírus.


Fazendo o download e executando a ferramenta

Nota: No Windows NT4/2000/XP, você deve ter privilégios de administrador para executar essa ferramenta.

Para administradores de rede: Se estiver executando o MS Exchange 2000 Server, é recomendado que você exclua a unidade M da verificação usando o parâmetro Exclude. Independentemente de fazer isto, antes de executar a ferramenta faça uma cópia de segurança de todos os dados da unidade M. Para informações sobre o motivo deste procedimento consulte o artigo 299046 (em inglês) da Base de Conhecimento da Microsoft XADM: Calendar Items Disappear from User's Folders.

  1. Faça o download do arquivo FixEsbot.exe em http://securityresponse.symantec.com/avcenter/FixEsbot.exe.
  2. Salve o arquivo em um lugar conveniente, como a pasta de download, a Área de Trabalho do Windows ou em uma mídia removível que não esteja infectada.
  3. Feche todos os programas antes de executar a ferramenta.
  4. Se você estiver em rede ou tiver uma conexão permanente com a Internet, desconecte seu computador.
  5. Se você estiver usando Windows ME ou XP, desative a Restauração do Sistema. Para mais detalhes, consulte a seção Opção de Restauração do Sistema no Windows ME ou XP.


    ATENÇÃO: se estiver usando o Windows ME/XP recomendamos que você não ignore esta etapa. O processo de remoção poderá falhar se a Restauração do Sistema do Windows Me/XP não estiver desativada, porque o Windows não permite que outros programas alterem os arquivos desse recurso.

  6. Reinicie o computador em Modo de Segurança ou em modo VGA.
    • Windows 95, 98, Me, 2000 ou XP: reinicie o computador em Modo de Segurança. Para instruções sobre como fazer isso, consulte o documento Iniciando o computador em Modo de Segurança.


      AVISO: se estiver usando Windows 2000 ou XP, faça o login como Administrador ao reiniciar o computador em Modo de Segurança. Se isto não for observado, a ferramenta pode não conseguir remover completamente esta ameaça.

    • Windows NT 4: reinicie o computador no Modo VGA.

  7. Clique duas vezes no arquivo FixEsbot.exe para ativar a ferramenta de remoção.
  8. Clique em Start (Iniciar) para iniciar o processo e deixe a ferramenta ser executada.
  9. Reinicie o computador.
  10. Execute a ferramenta de remoção mais uma vez para assegurar-se de que o sistema está limpo.
  11. Se estiver usando o Windows ME ou XP, ative novamente a opção de Restauração do Sistema.
  12. Execute o LiveUpdate para fazer o download das definições de vírus mais atualizadas.


Quando a ferramenta terminar a execução, você verá uma mensagem informando se o computador estava infectado pelo nome do vírus. No caso de remoção da ameaça, o programa exibe os seguintes resultados:
  • O número total de arquivos verificados
  • O número de arquivos excluídos
  • O número de processos virais terminados
  • O número de entradas do registro excluídas.

Opção Restauração do Sistema no Windows Me ou XP
Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso de Restauração do Sistema. Este recurso, ativado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos do sistema em seu computador, caso estes tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que arquivos infectados sejam recuperados pela Restauração do Sistema.

Por padrão, o Windows previne que os arquivos criados e mantidos pela Restauração do Sistema sejam alterados por programas externos, inclusive programas antivírus. Dessa forma, arquivos criados por este recurso que tenha sido infectados não poderão ser corrigidos. Assim, ao usar este recurso mais tarde, é possível que você restaure em seu sistema um arquivo infectado ou que verificadores online detectem uma ameaça naquele lugar.

Para instruções sobre como desativar a Restauração do Sistema, consulte a seção referente ao seu sistema operacional:
    Desativando o recurso de restauração do Windows Me
    1. Clique em Iniciar > Configurações > Painel de Controle.
    2. Clique duas vezes em Sistema.

      Nota: se o ícone Sistema não for visível, clique em Exibir todas as opções do Painel de Controle.
    3. Clique na guia Desempenho > Sistema de arquivos.
    4. Clique na guia Solução de problemas e selecione Desativar Restauração do Sistema.
    5. Clique em OK > Fechar.
    6. Clique em Sim quando for solicitado a reinicializar o Windows.


    Desativando o recurso de Restauração do Sistema no Windows XP

    Notas:
    • Você deve fazer o login como Administrador para fazer isso. Se não fizer o login como Administrador, a guia do recurso de restauração do sistema não será exibida. Se não souber como fazer o logincomo Administrador, entre em contato com o Administrador de Sistemas (se estiver em rede) ou consulte a documentação do seu sistema operacional.
    • A desativação do recurso de restauração eliminará todos os pontos prévios de restauração.


    1. Clique em Iniciar > Programas > Acessórios > Windows Explorer.
    2. Clique com o botão direito em Meu Computador > Propriedades.
    3. Clique na guia Restauração do Sistema.
    4. Selecione Desativar Restauração do Sistema ou Desativar Restauração do Sistema em todas as unidades.
    5. Clique em Aplicar > OK.
    6. Clique em Sim para confirmar a eliminação dos pontos prévios de restauração.
    7. Clique em OK.


Para obter instruções detalhadas sobre como configurar a Restauração do Sistema, consulte um dos documentos abaixo:

Para informações adicionais e como alternativa a desativar a Restauração do Sistema, consulte o artigo Q263455, em inglês, da Base de Conhecimento da Microsoft (Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder).


Executando a ferramenta a partir um disquete
  1. Insira o disquete que contém arquivo FixEsbot.exe na unidade de disco flexível.
  2. Clique no botão Iniciar > Executar.
  3. Digite:

    a:\FixEsbot.exe

  4. Clique em OK.


    Notas:
    • Não existem espaços no comando a:\FixEsbot.exe
    • Se estiver usando o Windows ME e a Restauração do Sistema estiver ativada, uma mensagem de alerta será exibida. Escolha entre executar a ferramenta de remoção com a opção Restauração do Sistema ativada ou sair da ferramenta de remoção.

  5. Clique Start (Iniciar) para iniciar o processo e deixe a ferramenta ser executada.
  6. Ao final, se estiver usando o Windows Me ative novamente a Restauração do Sistema.

Informações Adicionais

Parâmetros de linha de comando disponíveis para essa ferramenta

Parâmetro

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S

Executa a ferramenta em modo silencioso.

/LOG=<caminho>

Cria um arquivo de registro onde <caminho> é o local para armazenar as saídas da ferramenta. Por padrão, será criado um arquivo de registro FixEsbot.log na mesma pasta em que a ferramenta for executada.

/MAPPED

Verifica os discos de rede mapeados (o uso dessa opção não é recomendado -- veja Notas abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/NOFILESCAN

Desativa a verificação dos arquivos do sistema.

/EXCLUDE=<caminho>

Exclui especificamente a pasta localizada no <caminho> da verificação (não recomendamos o uso dessa opção).


Nota: O uso da opção /MAPPED não garante a total remoção do vírus no computador remoto, pois:
    • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
    • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o seu produto antivírus da Symantec. Isto permitirá que a ferramenta faça as devidas correções no registro. Após isto, verifique seu computador com o seu produto antivírus da Symantec e as definições de vírus mais recentes. Estes passos deverão remover esta ameaça do sistema.

Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:

"C:\Documents and Settings\user1\Desktop\FixEsbot.exe" /EXCLUDE=M:\ /LOG=c:\FixEsbot.txt

Também, a linha de comando abaixo irá desativar a verificação dos arquivos do sistema, mas irá corrigir o registro. Você deverá fazer uma verificação de vírus com as devidas exclusões:

"C:\Documents and Settings\user1\Desktop\FixEsbot.exe" /NOSCANFILE /LOG=c:\FixEsbot.txt


Nota: o nome do arquivo de registro pode ser escolhido a seu critério. O nome indicado é somente um exemplo.


Assinatura Digital
O FixEsbot.exe é assinado digitalmente. A Symantec recomenda que você somente utilize cópias do FixEsbot.exe que tenham sido obtidas diretamente do site de download do Symantec Security Response.

Verificando a a autenticidade da assinatura digital
  1. Vá até http://www.wmsoftware.com/free.htm
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que você salvou a ferramenta.
  3. Siga um dos procedimentos abaixo, dependendo do seu sistema operacional:
    • Clique em Iniciar > Programas > Prompt do MS-DOS.
    • Clique em Iniciar > Programas >Acessórios > Prompt do MS-DOS.

  4. Alterne para o diretório no qual a ferramenta e o Chktrust.exe foram salvos.
  5. Digite:

    chktrust -i FixEsbot.exe

    Por exemplo, se você salvou os arquivos na pasta C:\Downloads, deve digitar os seguintes comandos:

    cd\
    cd downloads
    chktrust -i
    FixEsbot.exe

    Pressione Enter após ter digitado cada comando. Se a assinatura digital for válida, você verá o seguinte:

    Do you want to install and run "W32.Esbot Removal Tool" signed on 8/16/2005 7:00 PM and distributed by Symantec Corporation?



    Notas:
    • A data e a hora que aparecem na caixa de diálogo serão ajustadas para o seu fuso horário, se o seu computador não estiver configurado para a hora do Pacífico.
    • Se estiver em Horário de Verão a hora exibida será exatamente uma hora mais cedo.
    • Se essa caixa de diálogo não aparecer, há duas possíveis razões:
    1. Essa ferramenta não é da Symantec. A menos que tenha certeza de que a ferramenta seja legítima e que realmente tenha sido obtida através do site da Symantec, você não deve executá-la.
    2. A ferramenta é da Symantec e é legitima. Entretanto, seu sistema operacional foi previamente configurado para sempre confiar nos produtos da Symantec. Para informações sobre isto e sobre como ver novamente a caixa de confirmação, consulte o documento Restaurando a caixa de diálogo de confirmação de Autenticidade de Editor.
  6. Clique em Yes (Sim) para fechar a caixa de diálogo.
  7. Digite  Exit e pressione Enter para fechar a sessão MS-DOS.


Resumo
Internet Security Threat Report