1. Symantec/
  2. Security Response/
  3. W32.Imsolk.B@mm Removal Tool
  4. W32.Imsolk.B@mm Removal Tool
  • Compartilhar

W32.Imsolk.B@mm Removal Tool

Descoberto:
13 de Setembro de 2010
Atualizado:
15 de Setembro de 2010 10:17:57 PM
Tipo:
Removal Information
Esta ferramenta foi criada para remover infecções do W32.Imsolk.B@mm.

Importante:
  • Se estiver em uma rede ou tiver uma conexão permanente com a Internet, como conexões a cabo e DSL, desconecte o computador da rede e Internet. Desative ou proteja com senha o compartilhamento de arquivos ou defina-os como somente-leitura antes de reconectar os computadores à rede ou Internet. Pelo fato de este worm propagar-se usando pastas compartilhadas nos computadores em rede, para garantir que o worm não irá reinfectar o computador após ter sido removido, a Symantec recomenda o compartilhamento como acesso somente-leitura ou usando uma senha.

    Para mais informações sobre como fazer isso, consulte a sua documentação do Windows, ou o documento: Configurando o compartilhamento de pastas no Windows para máxima proteção da rede.

  • Se estiver removendo a infecção a partir de uma rede, primeiro certifique-se de que todos os compartilhamentos estejam desativados ou definidos como somente-leitura.
  • Esta ferramenta não foi desenvolvida para uso em servidores Novell NetWare. Para remover esta ameaça de um servidor NetWare, primeiro atualize as definições de vírus e, depois, execute uma verificação completa utilizando o produto Symantec antivírus.

Fazendo o download e executando a ferramenta

Importante: É necessário ter direitos de administrador para executar essa ferramenta.

Observação para os administradores de rede:Se estiver executando o MS Exchange 2000 Server, recomendamos excluir a unidade M da verificação e executar a ferramenta utilizando uma linha de comando com o parâmetro Exclude. Para mais informações, consulte o seguinte artigo da Base de conhecimento da Microsoft: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Não faça backup ou verificação da unidade M do Exchange 2000) (Artigo 298924).

Siga estas etapas para fazer o download e executar a ferramenta:
  1. Faça o download do arquivo FixImsolkB.exe em: Ferramenta de remoção do W32.Imsolk.B@mm.
  2. Salve o arquivo em um local adequado, como a área de trabalho.
  3. Opcional: Para verificar a autenticidade da assinatura digital, consulte a seção "Assinatura digital" neste documento.

    Nota:Se tiver certeza de que está fazendo o download da ferramenta a partir do website do Security Response, ignore esta etapa. Se não tiver certeza ou se for um administrador de rede e precisar autenticar os arquivos antes da implementação, siga as etapas na seção Assinatura digital antes de continuar.

  4. Feche todos os programas abertos.
  5. Se o seu computador estiver conectado em rede ou dispuser de conexão permanente à Internet, desconecte-o.
  6. Se estiver executando o Windows Me ou XP, desative a Restauração do sistema. Para mais informações sobre como desativar a Restauração do sistema, consulte a documentação do Windows ou um dos seguintes documentos:

    Desativando ou ativando a Restauração do sistema do Windows Me

    Desativando ou ativando a Restauração do sistema do Windows XP

  7. Localize o arquivo descarregado.
  8. Clique duas vezes no arquivo FixImsolkB.exe para iniciar a ferramenta de remoção.
  9. Clique em Iniciar para iniciar o processo, e permitir que a ferramenta seja executada.

    NOTA: Se tiver qualquer problema ao executar a ferramenta, ou se a ameaça não for removida, reinicie o computador em Modo de Segurança e execute a ferramenta novamente.

  10. Reinicie o computador.
  11. Execute a ferramenta mais uma vez para garantir a limpeza do sistema.
  12. Se estiver utilizando o Windows Me/XP, reative a Restauração do sistema.
  13. Se o computador estiver em rede ou dispuser de conexão permanente com a Internet, restabeleça a conexão.
  14. Execute o LiveUpdate para certificar-se de que as definições de vírus mais recentes estão no computador.

Quando a ferramenta terminar a execução, será exibida uma mensagem descrevendo se a ameaça estava infectando o computador. A ferramenta exibe resultados semelhantes aos seguintes:
  • O número total de arquivos verificados.
  • O número de arquivos excluídos.
  • O número de arquivos reparados.
  • O número de processos de vírus finalizados.
  • O número de entradas de registro corrigidas.
O que a ferramenta faz
A Ferramenta de remoção faz o seguinte:
  • Finaliza os processos associados
  • Exclui os arquivos associados
  • Exclui os valores de Registro adicionados pela ameaça
Parâmetros
Os seguintes parâmetros foram criados para uso dos administradores de rede:
/HELP, /H, /?
Exibe a mensagem de ajuda.
/NOFIXREG
Desativa o reparo do registro (não recomendamos o uso dessa opção).
/SILENT, /S
Executa a ferramenta em modo silencioso.
/LOG=[caminho]
Cria um arquivo de registro onde [caminho] é o local para armazenar as saídas da ferramenta. Por padrão, esse parâmetro cria o arquivo de registro FixImsolkB.log na mesma pasta de onde a ferramenta de remoção foi executada.
/MAPPED
Verifica os discos de rede mapeados. (não recomendamos o uso dessa opção. veja Notas abaixo).
/START
Força a ferramenta a iniciar a verificação imediatamente.
/EXCLUDE=[caminho]
Exclui especificamente a pasta localizada no [caminho] da verificação. (não recomendamos o uso dessa opção. veja Notas abaixo).
/NOCANCEL
Desativa o recurso Cancelar da ferramenta de remoção.
/NOFILESCAN
Desativa a verificação dos arquivos do sistema.
/NOVULNCHECK
Desativa a busca por arquivos não corrigidos.

Importante:O uso do parâmetro /MAPPED não garante a remoção completa do vírus no computador remoto, porque:
  • A verificação dos discos mapeados é executada apenas nas pastas que foram mapeadas. Isto pode não incluir todas as pastas do computador remoto, levando a falhas na detecção.
  • Se for detectado um arquivo infectado na unidade mapeado, a remoção falhará se um programa no computador remoto estiver utilizando esse arquivo.
Por isso, é necessário executar a ferramenta em todos os computadores.

O parâmetro /EXCLUDE funciona somente com um caminho, não vários. Uma alternativa é o parâmetro /NOFILESCAN seguido de uma verificação manual com o produto antivírus da Symantec. Isto permitirá que a ferramenta faça as devidas correções no registro. Depois, faça uma verificação no computador com o produto antivírus da Symantec e as definições de vírus mais recentes. Estas etapas deverão remover esta ameaça do sistema.

O seguinte exemplo é uma linha de comando que pode ser utilizada para excluir apenas uma unidade:

"C:\Documents and Settings\user1\Desktop\FixImsolkB.exe" /EXCLUDE=M:\ /LOG=c:\FixImsolkB.txt

De forma alternativa, a linha de comando abaixo ignorará a verificação do sistema de arquivos, mas reparará as modificações do registro. Depois, execute uma verificação regular do sistema com as exclusões adequadas:

"C:\Documents and Settings\user1\Desktop\FixImsolkB.exe" /NOFILESCAN /LOG=c:\FixImsolkB.txt

Nota: O nome do arquivo de registro pode ser escolhido a seu critério e salvo em qualquer local.

Assinatura DigitalPor motivos de segurança, a ferramenta de remoção é assinada digitalmente.
A Symantec recomenda que você somente utilize cópias da ferramenta que tenham sido obtidas diretamente do site de download do Symantec Security Response.

Se não tiver certeza ou se for um administrador de rede e precisar autenticar os arquivos antes da implementação, verifique a autenticidade da assinatura digital.

Siga estas etapas:
  1. Acesse http://www.wmsoftware.com/free.htm.
  2. Faça o download e salve o arquivo Chktrust.exe na mesma pasta em que salvou a ferramenta de remoção.

    Nota: A maior parte das etapas a seguir é realizada em um prompt de comando. Se fez o download da ferramenta na Área de trabalho, será mais fácil se, primeiro, mover a ferramenta para a raiz da unidade C. Depois salve o arquivo Chktrust.exe no mesmo lugar.

    (A etapa 3 considera que tanto a ferramenta quanto o arquivo Chktrust.exe estejam na raiz da unidade C.)

  3. Clique em Iniciar > Executar.
  4. Digite uma das seguintes opções:

    Windows 95/98/Me:
    command

    Windows NT/2000/XP/2003/Vista/7:
    cmd

  5. Clique em OK.
  6. Na janela de comando, digite o seguinte e pressione Enter após digitar cada linha:

    cd\
    cd downloads
    chktrust -i FixImsolkB.exe

  7. Uma das seguintes mensagens será exibida, dependendo do seu sistema operacional:

    Windows XP SP2:
    A janela do Trust Validation Utility (Utilitário de validação de confiança) será exibida.

    Em Publisher (Distribuidor), clique no link da Symantec Corporation. Serão exibidos os Detalhes da Assinatura Digital.
    Confira o conteúdo dos seguintes campos para garantir a autenticidade da ferramenta:

    Nome: Symantec Corporation
    Período da assinatura: Sábado, 11 de setembro de 2010 às 9:07:37 AM

    Outros sistemas operacionais:
    Deve ser exibida a seguinte mensagem:

    Deseja instalar e executar o "FixImsolkB.exe" assinado no sábado, 11 de setembro de 2010 às 9:07:37 AM e distribuido pela Symantec Corporation?

    Notas:
    A data e a hora da assinatura digital acima são baseadas no horário do Pacífico e serão ajustadas para o seu fuso horário e configurações regionais.

    Se estiver no horário de verão, a hora exibida será exatamente uma hora mais cedo.

    Há duas razões possíveis para essa caixa de diálogo não ser exibida:

    A ferramenta não é da Symantec. A menos que esteja certo de que a ferramenta seja legítima e tenha sido descarregada de um website da Symantec legítimo, não a execute.

    A ferramenta é da Symantec e legítima: Entretanto, o sistema operacional foi configurado anteriormente a sempre confiar no conteúdo da Symantec. Para mais informações sobre isso e como exibir a caixa de diálogo novamente, consulte o documento: Restaurando a caixa de diálogo de confirmação de Autenticidade de editor.

  8. Clique em Sim ou Executar para fechar a caixa de diálogo.
  9. Digite exit e pressione Enter (Isso fechará a sessão do MS-DOS.)
Resumo
Internet Security Threat Report