1. Symantec/
  2. Security Response/
  3. W32.Spybot.ACYR Removal Tool
  4. W32.Spybot.ACYR Removal Tool
  • Compartilhar

W32.Spybot.ACYR Removal Tool

Descoberto:
29 de Novembro de 2006
Atualizado:
6 de Dezembro de 2007 9:50:23 AM
Tipo:
Removal Information

Esta ferramenta foi desenvolvida para remover as infecções de W32.Spybot.ACYR.

Importante
  • Se estiver em uma rede ou tiver uma conexão permanente com a Internet, como conexões a cabo e DSL, desconecte o computador da rede e Internet. Desative ou proteja com senha o compartilhamento de arquivos ou defina-os como somente-leitura antes de reconectar os computadores à rede ou Internet. Pelo fato de este worm propagar-se usando pastas compartilhadas nos computadores em rede, para garantir que o worm não irá reinfectar o computador após ter sido removido, a Symantec recomenda o compartilhamento como acesso somente-leitura ou usando uma senha.

    Para mais informações sobre como fazer isso, consulte a sua documentação do Windows, ou o documento: Configurando o compartilhamento de pastas no Windows para máxima proteção da rede.
  • Se estiver removendo a infecção a partir de uma rede, primeiro certifique-se de que todos os compartilhamentos estejam desativados ou definidos como Somente-leitura.
  • Esta ferramenta não foi desenvolvida para uso em servidores Novell NetWare. Para remover esta ameaça de um servidor NetWare, primeiro atualize as definições de vírus e, depois, execute uma verificação completa utilizando o produto Symantec antivírus.


Fazendo o download e executando a ferramenta

Importante É necessário ter direitos de administrador para executar esta ferramenta no Windows NT4, 2000 ou XP.

Observação para os administradores de rede: Se estiver executando o MS Exchange 2000 Server, recomendamos excluir a unidade M da verificação e executar a ferramenta utilizando uma linha de comando com o parâmetro Exclude. Para mais informações, consulte o seguinte artigo da Base de conhecimento da Microsoft: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Não faça backup ou verificação da unidade M do Exchange 2000) (Artigo 298924).

Siga estas etapas para fazer o download e executar a ferramenta:
  1. Faça o download da ferramenta FixSpybot.exe em: http://securityresponse.symantec.com/avcenter/FixSpybot.exe.
  2. Salve o arquivo em um lugar apropriado, como a Área de trabalho.
  3. Opcional: Para verificar a autenticidade da assinatura digital, consulte a seção "Assinatura digital" neste documento.

    Nota:Se tiver certeza de que está fazendo o download da ferramenta a partir do website do Security Response, ignore esta etapa. Se não tiver certeza ou se for um administrador de rede e precisar autenticar os arquivos antes da implementação, siga as etapas na seção Assinatura digital antes de continuar.
  4. Feche todos os programas em execução.
  5. Se estiver em uma rede ou tiver uma conexão constante com a Internet, desconecte o computador da rede e Internet.
  6. Se estiver executando o Me ou XP, desative a Restauração do sistema. Para mais informações sobre como desativar a Restauração do sistema, consulte a documentação do Windows ou um dos seguintes documentos:
  7. Localize o arquivo que descarregou.
  8. Clique duas vezes no arquivo FixSpybot.exe para iniciar a ferramenta de remoção.
  9. Clique em Iniciar para iniciar o processo e aguarde a execução da ferramenta terminar.

    NOTA: Se tiver qualquer problema ao executar a ferramenta, ou se a ameaça não for removida, reinicie o computador em Modo de Segurança e execute a ferramenta novamente.
  10. Reinicie o computador.
  11. Execute a ferramenta de remoção novamente para garantir que o sistema está limpo.
  12. Se estiver executando o Windows Me/XP, reative a Restauração do sistema.
  13. Se estiver em uma rede ou tiver uma conexão permanente com a Internet, restabeleça a conexão do computador com a rede e/ou Internet.
  14. Execute o LiveUpdate para certificar-se de que as definições de vírus mais recentes estão no computador.

Quando a ferramenta terminar a execução, será exibida uma mensagem descrevendo se a ameaça estava infectando o computador. A ferramenta exibe informações semelhantes às seguintes:
  • Número total de arquivos verificados
  • Número de arquivos excluídos
  • Número de arquivos reparados
  • Número de processos virais encerrados
  • Número de entradas de registro corrigidas

O que a ferramenta faz

A Ferramenta de remoção faz o seguinte:
  1. Encerra todos os processos associados
  2. Exclui os arquivos associados
  3. Exclui ao valores de registro adicionados pela ameaça


Parâmetros

Os seguintes parâmetros foram desenvolvidos para serem usados por administradores de rede:

Alternar

Descrição

/HELP, /H, /?

Exibe a mensagem de ajuda.

/NOFIXREG

Desativa o reparo do registro (não recomendamos o uso dessa opção).

/SILENT, /S

Ativa o modo silencioso.

/LOG=[PATH NAME]

Cria um arquivo de registro no qual [PATH NAME] é o local onde armazenar a saída dos registros da ferramenta. Por padrão, este parâmetro cria o arquivo de registro FxBeagle.log na mesma pasta de onde a ferramenta de remoção foi executada.

/MAPPED

Verifica os discos de rede mapeados. (não recomendamos o uso dessa opção. veja Notas abaixo).

/START

Força a ferramenta a iniciar a verificação imediatamente.

/EXCLUDE=

Exclui da verificação o [CAMINHO] especificado (não recomendamos o uso desta opção. veja Notas abaixo).

/NOCANCEL

Desativa o recurso Cancelar da ferramenta de remoção.

/NOFILESCAN

Desativa a verificação dos arquivos do sistema.

/NOVULNCHECK

Desativa a busca por arquivos não corrigidos.


Importante O uso do parâmetro /MAPPED não garante a remoção completa do vírus no computador remoto, porque:
    • A verificação de unidades mapeadas apenas verifica as pastas indicadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
    • Se for detectado um arquivo infectado na unidade mapeada, a remoção falhará se um programa no computador remoto estiver usando esse arquivo.

Por essas razões, você deve executar a ferramenta em cada um dos computadores.

O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o produto antivírus da Symantec. Isto permitirá que a ferramenta faça as devidas correções no registro. Depois, faça uma verificação no computador com o produto antivírus da Symantec e as definições de vírus mais recentes. Estas etapas deverão remover esta ameaça do sistema.

Abaixo encontra-se uma linha de comando que pode ser usada em uma unidade:

"C:\Documents and Settings\usuário1\Desktop\FixSpybot.exe" /EXCLUDE=M:\ /LOG=c:\FixSpybot.txt

Alternativamente, a linha de comando abaixo irá desativar a verificação dos arquivos do sistema, mas irá corrigir as modificações do registro. Você deverá fazer uma verificação de vírus com as devidas exclusões:

"C:\Documents and Settings\usuário1\Desktop\FixSpybot.exe" /NOFILESCAN /LOG=c:\FixSpybot.txt

Nota: O nome do arquivo de registro pode ser escolhido a seu critério e salvo em qualquer local.



Assinatura digital

Por motivos de segurança, a ferramenta de remoção é assinada digitalmente. A Symantec recomenda que você somente utilize cópias da ferramenta que tenham sido obtidas diretamente do site de download do Symantec Security Response.

Se não tiver certeza ou se for um administrador de rede e precisar autenticar os arquivos antes da implementação, verifique a autenticidade da assinatura digital.

Siga estas etapas:
  1. Acesse http://www.wmsoftware.com/free.htm.
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que salvou a ferramenta de remoção.

    Nota: A maior parte das etapas a seguir é realizada em um prompt de comando. Se fez o download da ferramenta na Área de trabalho, será mais fácil se, primeiro, mover a ferramenta para a raiz da unidade C. Depois salve o arquivo Chktrust.exe no mesmo lugar.

    (A etapa 3 considera que tanto a ferramenta quanto o arquivo Chktrust.exe estejam na raiz da unidade C.)

  3. Clique em Iniciar > Executar.
  4. Digite uma das seguintes opções:
    • No Windows 95/98/Me:

      command

    • No Windows NT/2000/XP:

      cmd

  5. Clique em OK.
  6. Na janela de comando, digite o seguinte e pressione Enter após cada linha:

    cd\
    cd downloads
    chktrust -i FixSpybot.exe


  7. Deverá ser exibida uma das seguintes mensagens, dependendo do seu sistema operacional:
    • Windows XP SP2:
      A janela do Trust Validation Utility será exibida.

      Em Publisher (Distribuidor), clique no link da Symantec Corporation. Serão exibidos os Detalhes da Assinatura Digital.
      Verifique o conteúdo dos seguintes campos para certificar-se de que a ferramenta é autêntica:

      Nome: Symantec Corporation
      Horário de assinatura: 28/11/2006 16:39:21
    • Todos os outros sistemas operacionais:
      Deverá ser exibida a seguinte mensagem:

      Deseja instalar e executar a "Ferramenta de remoção W32.FixSpybot" assinada naTerça-feira, 28 de novembro de 2006 às 16:39 e distribuída pela Symantec Corporation?

      Notas:
    • A data e a hora da assinatura digital acima são baseadas no horário do Pacífico e serão ajustadas para o seu fuso horário e configurações regionais.
    • Se estiver no horário de verão, o horário exibido será exatamente uma hora mais cedo.
    • Há duas razões possíveis para essa caixa de diálogo não ser exibida:
      • A ferramenta não é da Symantec. A menos que esteja certo de que a ferramenta seja legítima e tenha sido descarregada de um website da Symantec legítimo, não a execute.
      • A ferramenta é da Symantec e legítima. Entretanto, o seu sistema operacional foi configurado anteriormente a sempre confiar no conteúdo da Symantec. Para mais informações sobre isso e como exibir a caixa de diálogo novamente, consulte o documento: Restaurando a caixa de diálogo de confirmação de Autenticidade de editor.

  8. Clique em Simou Executar para fechar a caixa de diálogo.
  9. Digite exit e pressione Enter. (Isso fechará a sessão do MS-DOS.)


Resumo
Internet Security Threat Report