Vírus e cia.

Sircam

O worm W32.SirCam tem rápida disseminação por e-mail e em redes com compartilhamento de computadores, foi descoberto em 17 de julho de 2001 e atingiu milhares de computadores, inclusive no Brasil. É conhecido como W32/Sircam-A, W32.Sircam.Worm@mm, W32/SirCam@mm ou Backdoor.SirCam.

Entre outras ações, o Sircam envia um grande número de e-mails, anexando a eles um documento do computador infectado, podendo, portanto, expor arquivos particulares.

Como o computador é contaminado

O Sircam usa o Outlook Express e sua lista de endereços para se disseminar. O worm chega num e-mail, com um arquivo anexado e em cujos campos, lê-se:

Título - assunto: Não há um assunto padrão para o e-mail enviado, pois traz uma palavra escolhida aleatoriamente, podendo ser o mesmo nome do arquivo anexado.

Corpo da mensagem: traz uma breve mensagem, em inglês ou em espanhol, que também varia, mas que costuma ter um dos seguintes textos na primeira linha e na última linhas:

Primeira linha: Hola como estas ? ou Hi! How are you? (Oi, tudo bem?)

Última linha: Nos vemos pronto, gracias ou See you later. Thanks. (Vejo você mais tarde, obrigado.)

Entre as duas frases pode aparecer alguma das seguintes linhas:

Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste

I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for

Recebi o seguinte texto diversas vezes, como outro arquivo, com extensão txt, anexado.

Hi! How are you?
I send you this file in order to have your advice.
See you later. Thanks.

Quando o arquivo anexo é aberto, sem ser previamente escaneado por um antivírus atualizado, o Sircam contamina o computador.

IMPORTANTE: Se receber uma mensagem com essas características apague-a imdiatamente, sem reenviá-la para ninguém. O e-mail deve também ser excluído da pasta Itens excluídos do Outlook, se você o utilizar.

Indicações de infecção

Existência do(s) seguinte(s) arquivo(s):
SCAM32.EXE
SCD.DLL
RUN32.EXE
SIRCAM.SYS

A ação do SIRCAM

Se o arquivo anexado for executado, isto é, se sobre ele for dado um duplo clique (ou clicado o clips do Outlook).

1	O Sircam faz uma cópia de si mesmo na pasta de sistema, C:\WINDOWS\SYSTEM, como SCam32.exe e outra cópia de si mesmo na lixeira, como C:\RECYCLED\SirC32.exe. (Existe relato sobre a criação de C:\RECYCLED\SCam32.exe).
2	No Registro do Windows a. Cria, no registro do Windows, a seguinte chave para ser executado automaticamente, quando o Windows é iniciado: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe b. Também cria HKCR\exefile\shell\open\command\Default=""%1"%" (computador normal) é alterada possibilitar que o worm* se auto-execute sempre que um executável (arquivo com extensão EXE) seja executado. HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1"%* (computador infectado) c. E também cria HKLM\Software\SirCam que contém os seguintes valores: valor armazena FB1B o nome do arquivo do Sircam como está na pasta Recycled. FB1BA o endereço IP do SMTP. FB1BB o endereço de e-mail do remetente. FC0 o número de vezes que o Sircam foi executado. FC1 o que parece ser o número da versão do worm. FD1 o nome de arquivo do Sircam que tem sido executado, sem o sufixo.
3	Em redes abertas, detecta computadores compartilhados e os infecta: a. Faz uma cópia de si mesmo c:\recycled\sirc32.exe em <machine>\recycled\sirc32.exe b. Inclui uma linha no arquivo autoexec.bat: @win \recycled\sirc32.exe. c. No computdor remoto faz uma cópia do arquivo <machine>\Windows\rundll32.exe, renomendo-o para <machine>\Windows\run32.exe d. Faz uma cópia de si mesmo c:\recycled\sirc32.exe, substituindo, na máquina remota o arquivo <machine>\Windows\rundll32.exe
4	Usa dois métodos para obter endereços de e-mail: a. Procura arquivos .WAB (Windows Address Book ), ou seja, os endereços de e-mails existentes na lista de contatos. b. Captura endereços de e-mail na área de cache do navegador Internet Explorer. Assim, qualquer email que esteja em qualquer página visitada será usado na disseminação. O Sircam independe de Outlook para existir. c. Se o computador estiver em rede, não é só o catálogo de endereços da máquina infectada que é utilizado. Os endereços de email dos outros computadores da rede local do windows também serão lidos.
5	Os endereços de e-mail são gravados no arquivo SCD1.DLL (o segundo e o terceiro dígito parecem ser aleatórios) também na pasta C:\WINDOWS\SYSTEM. O arquivo SCD.DLL é copiado e anexado às mensagens de e-mail, usando uma das seguintes extensões: BAT, .COM, .EXE, .LNK, .PIF. (Notar que esses arquivos são executáveis do sistema operacional, que descarregam o Sircam no computador do receptor de e-mail).
6	Faz uma lista de arquivos existentes na pasta Meus Documentos, com as extensões .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, e .ZIP. A lista é gravada no arquivo SCD.DLL (o segundo dígito parece ser aleatório) na pasta C:\WINDOWS\SYSTEM.
7	Em seguida, remete automaticamente, anexado a um e-mail, um desses arquivos, expondo documentos particulares. Portanto, o arquivo anexado à mensagem é a soma de dois arquivos: o executável do Sircam e o documento roubado. O arquivo final tem duas extensões, a do documento (exemplo: DOC, XLS, MPG ou ZIP) seguida de BAT, COM, EXE, LNK ou PIF. Note-se que isso gera dois riscos: a. ameaça a privacidade das pessoas, já que qualquer arquivo pessoal (como documentos confidenciais ou impróprios) pode circular na Internet. Paralelamente, o worm desarma a vigilância dos destinatários do e-mail, pois envia um documento verdadeiro do suposto remetente, o qual é, em geral, um conhecido da vítima. b. Pode congestionar a rede. Evidentemente, se o arquivo anexado for grande haverá um enorme aumento de tráfego e usuários com caixas de correio entupidas por muito tempo. (Já apareceram relatos com arquivos de mais de 100 megabytes anexados em mensagens).
8	Em alguns casos, pode ser feita outra cópia, com o nome scmx32.exe, na pasta Windows (C:\recycled\sirc32.exe para %Windows%\scmx32.exe) Nesse caso, o arquivo C:\Recycled\sircam.sys será criado e a ele serão adicionadas linhs de texto, em cada inicialização. Note-se que o arquivo poderá ser preenchido com texto até que não exista mais espaço no disco rígido. O texto pode conter uma das seguintes linhas ("strings"): [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX] ou [SirCam Version 1.0 Copyright ª 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
9	Também em alguns casos, pode ser feita outra cópia, com o nome Microsoft Internet Office.exe, para a pasta referenciada na chave de registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup.
10	A Symantec admite haver uma probabilidade de cerca de 5%, de o vírus apagar todos os arquivos e pastas do drive C, na data 16 de outubro de qualquer ano. Entretanto, isso só funciona em computadores cujas datas estejam configuradas no Windows para o padrão d/m/a. Se quiser verificar o padrão de data existente em seu computador: Clicar em Botão Iniciar - Configurações - Painel de controle Clicar duplo no ícone "Configurações regionais" Clicar em "data", última aba, à direita No campo "Exemplos de Data Abreviada", escolher o estilo desejado. Clicar em "Aplicar" e em "OK".
11	O Sircam ainda está sendo analisado, ou seja, novas características podem ser descobertas.

Como verificar se há contaminação:

IMPORTANTE: Só executar esses procedimentos se realmente souber fazê-lo (edição de registro do Windows e uso de comandos do DOS), caso contrário recorra a alguém que tenha um bom conhecimento técnico para desinfectar o seu computador. Erros neste processo podem provocar danos sérios.

No Windows explorer, localizar os arquivos
SCAM32.EXE
SCD.DLL
RUN32.EXE
SIRCAM.SYS

Esses arquivos podem estar com o atributo oculto ativado.
Se não os encontrar, no Windows Explorer, clicar no menu "Exibir" -
"Opções de pasta...", na aba "Modo de exibição" e deixar selecionada
a opção "Mostrar todos os arquivos".

Ou localizar no DOS:

Clicar no botão "Iniciar" e em "Desligar..." e selecionar a opção
"Reiniciar o computador em modo MS-DOS".
Depois, no prompt do DOS, na pasta C:\
Digitar: DIR \SCAM32.EXE /S/B e teclar enter
Digitar: DIR \SCD.DLL /S/B e teclar enter
Digitar: DIR \RUN32.EXE /S/B e teclar enter
Digitar: DIR \SIRCAM.SYS /S/B e teclar enter

Se esses arquivos forem encontrados a máquina está contaminada.

Clicar no botão "Iniciar" -"Executar"
Digitar "REGEDIT" (sem as apas)
Clicar em "OK"
Clicar em Editar - Localizar ("Edit" - "Find")
Digitar SIRCAM
LOCALIZAR PRÓXIMA

Se a palavra SIRCAM for encontrada, a máquina deve estar contaminada.

Repetir os passos acima e digitar
HKEY_CLASSES_ROOT\exefile\shell\open\command
Localizar essa pasta.

Se estiver assim:
HKCR\exefile\shell\open\command\Default=""%1"%*" - o computador não está infectado.

Mas, se estiver assim:
HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1"%* - o computador está infectado.

Windows ME: um cuidado especial

O Windows ME usa um procedimento de back-up que faz cópias automaticamente na pasta C:\_Restore.

Ou seja, um arquivo infectado pode ser armazenado como um arquivo de back up e um antivírus como o VirusScan não poderá deletá-lo.

Portanto, antes de fazer o procedimento manual ou de utilizar programas para retirar o Datom, quem tem Windows ME deve desabilitar essa ferramenta. Para ver como proceder clique aqui.

Para reabilitar a ferramenta "Restore"

Seguir os passos 1-4 acima. No passo 5 retirar a marca de "Disable System Restore". Seguir os passos 6-9.

Procedimentos para retirar o Sircam de um computador

A - Utilizando programas antivírus

Muitas empresas disponibilizaram programas que devem ser copiados e executados.

- Symantec:

http://www.symantec.com/avcenter/FixSirc.com (arquivo com 74 KB). (Já testei esse programinha e funcionou).

1. Dar um duplo clique no link acima e copiar o arquivo Fixsirc.com para uma pasta em seu computador. (Se não tiver acesso ao Windows Explorer, copiar o arquivo para um disquete, num computador não contaminado).
2. Reiniciar o computador contaminado em modo de segurança. Ou seja:

- Windows 95
a. Reiniciar o computador.
b. Observar com atenção o reinício. Quando aparecer a mensagem "Starting Windows 95," imediatamente pressionar a tecla F5.

- Windows 98 ou Me
a. Reiniciar o computador.
b. Durante o reinício, manter pressionada tecla CTRL.
c. Escolher Modo de segurança no menu que aparece e pressionar a tecla Enter
(Nota: Se precisar de mais informações sobre Modo de segurança, clique aqui )

3. Localizar e dar um duplo clique no arquivo fixsirc.com
4. Abrir-se-á uma janela, clicar em "Start" e todo o pc será escaneado.
5. Se a remoção do SIRCAM bem sucedida, o programa exibe os seguintes resultados:
Número total de arquivos verificados (The total number of the scanned files).
Número de arquivos apagados (The number of deleted files).
Número de arquivos reparados (The number of repaired files).
Número das chaves de registro reparadas (The number of registry keys fixed).
6. Depois, atualizar o anti-vírus para que não haja nova infecção.

- McAfee criou um Dat 4148 (arquivo de atualização), disponível em seu site http://www.mcafeeb2b.com/naicommon/download/dats/find.asp. Quem tem o registro do VirusScan também pode solicitá-lo por e-mail, no endereço de e-mail virus_research_br@nai.com .

- ANTS:
http://www.trojaner-info.de/news/sircamcleaner.shtml (download page)

- Panda Software:
http://www.pandasoftware.es/enciclopedia/pqremove.com

B - Procedimento Manual

IMPORTANTE: Só executar esses procedimentos se realmente souber fazê-lo caso contrário recorra a alguém que tenha um bom conhecimento técnico para descontaminar seu computador.

Erros neste processo podem causar danos sérios, comprometendo o funcionamento do sistema, podendo provocar mais estragos do que os ocasionados pelo próprio vírus.

Algumas informações sobre a edição de registro do Windows e uso de comandos do DOS podem ser encontradas clicando aqui.

1 O computador não deve ser reiniciado até que se termine esse procedimento.

2 Se o computador estiver conectado à Internet deve ser desconectado

3 O computador tem algum tipo de compartilhamento?
Se tiver, desabilitar qualquer compartilhamento existente no computador:
a. Abrir o Explorer clicar com o botão direito sobre a unidade C
b. Selecionar Compartilhamento
c. Clicar no campo Não compartilhado
d. Clicar em Ok

4 Renomear o arquivo regedit.exe para regedit.com:
a. Clicar no menu iniciar
b. Selecionar executar
c. Na janela aberta, digitar command
d. Digitar cd\windows
e. Digitar ren regedit.exe regedit.com
f. Digitar exit

5 Como mudanças incorretas no registro podem resultar na perda permanente de dados ou em dados corrompidos, fazer uma cópia do arquivo regedit.com em um disquete, para o caso de cometer algum erro.
Para editar o registro e remover chaves e alterações feitas pelo worm, ter certeza de fazer apenas as seguintes modificações:

6 Remover as entradas do SirCam no registro do windows:
- Clicar no botão "Iniciar" -"Executar"
- Digitar "REGEDIT" (sem as aspas)
- Clicar em "OK"
- No painel do lado esquerdo, clicar em (+) e seguir o caminho:
HKEY_CLASSES_ROOT
Procurar as pastas "exefile", "shell", "open" e "command", nessa ordem
HKEY_CLASSES_ROOT
exefile
shell
open
command
A chave HKEY_CLASSES_ROOT contém muitas subchaves que referem-se
a outras extensões. Uma destas extensões de arquivo é .exe. Mudar esta
extensão pode fazer com que quaisquer arquivos com uma extensão .exe
não sejam mais executados. Tenha certeza de navegar por todo este
caminho até chegar na subchave \command.
- No painel da direita, selecionar o valor Padrão (Default).
- Clicar com o botão direito sobre ele e escolher "Modificar".
- Apagar o texto
"C:\recycled\SirC32.exe" "%1"%*
E digitar: "%1" %* (aspas-porcento-um-aspas-espaço-porcento-asterisco.)
Deve ficar assim:
HKCR\exefile\shell\open\command\Default=""%1"%*"
O Editor de Registro automaticamente irá colocar o valor dentro de aspas.
Quando clicar em OK, o valor (Padrão) deve estar assim: ""%1" %*"
(Ter certeza de apagar completamente todos os dados do valor na chave
command antes de digitar o dado correto. Se um espaço for deixado
acidentalmente no início do registro, qualquer tentativa de executar
arquivos de programa irá resultar em uma mensagem de erro:
" Windows não pode achar .exe." ou
"É impossível localizar C:\ <caminho e nome de arquivo>."

7 Ainda na pasta "Software", procurar as pastas "Microsoft",
"Windows", "CurrentVersion" e "RunServices"
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
No lado direito do painel, procurar por uma entrada de registro
chamada Driver32
Selecionar esta entrada, clicando sobre ela e excluí-la, pressionando DEL

8 No painel esquerdo, clicar em (+) e seguir o caminho:
HKEY_LOCAL_MACHINE\Software\SirCam
HKEY_LOCAL_MACHINE
Software
SirCam
No painel esquerdo, clicar, com o botão direito do mouse,
em SirCam e selecionar Excluir (ou pressionar a tecla DEL).
Isto apagará a subchave e todo o seu conteúdo.

9 Depois que terminar de editar o registro e tiver fechado o Editor de Registro, fechar a janela DOS.

10 Remover a entrada do SirCam, editando o arquivo C:\autoexec.bat
a. No Windows
- Abrir o programa Bloco de notas
(Dar um duplo clique em Notepad.exe que, normalmente, está na pasta C:\Windows)
- Abrir o arquivo C:\autoexec.bat
- Procurar por uma linha contendo algo parecido com
@win c:\recycled\sirc32.exe ou
@win c:\windows\system\sircam.exe
- Se existir, excluir esta linha.
- Clicar em "File" - "Save"
- Depois que o arquivo fechar, clicar em X e fechar o Notepad
b. No DOS:

- Clicar no botão "Iniciar" -"Executar"
- Digitar: "command" (sem as aspas)
- Ir para a pasta onde está o arquivo. Por exemplo:
Digitar: CD\
- Digitar edit autoexec.bat
- Procurar por uma linha contendo algo parecido com
@win c:\recycled\sirc32.exe ou
@win c:\windows\system\sircam.exe
- Se existir, excluir esta linha.
- Clicar em "File" - "Save" (ou pressionar S, X )
- Depois que o arquivo fechar, clicar em X
- Fechar a janela do DOS

11 Excluir o arquivo Sirc32.exe da lixeira
- Clicar no menu iniciar
- Selecionar executar
- Na janela aberta, digitar command (ou cmd)
- Digitar cd\recycled
- Digitar deltree Sirc32.exe e confirmar a exclusão com S

12 No Windows explorer, localizar os arquivos
SCAM32.EXE SCD.DLL RUN32.EXE SIRCAM.SYS
Esses arquivos podem estar com o atributo oculto ativado.
Se não os encontrar, no Windows Explorer, clicar no menu "Exibir" -
"Opções de pasta...", na aba "Modo de exibição" e deixar selecionada
a opção "Mostrar todos os arquivos".

Se não conseguir entrar no windows, localizar e mudar o atributo no DOS.
a. Arquivo SCAM32.EXE
Clicar no botão "Iniciar" e em "Desligar..." e selecionar a opção
"Reiniciar o computador em modo MS-DOS".
Depois, no prompt do DOS, digitar:
CD C:\WINDOWS\SYSTEM (e pressionar Enter)
Digitar: DIR \SCAM32.EXE /S/B e teclar enter
Se o arquivo for encontrado, deletá-lo

Se não for encontrado, para mudar o atributo do arquivo, digitar:
C:\WINDOWS\SYSTEM\ATTRIB -H SCAM32.EXE (e pressionar Enter)
Deletar o arquivo digitando:
C:\WINDOWS\SYSTEM\DEL SCAM32.EXE (e pressionar Enter)

Certificar-se que o arquivo C:\WINDOWS\SYSTEM\SCAM32.EXE foi
apagado, digitando o comando C:\WINDOWS\SYSTEM\dir SCAM32.EXE
(e pressionar Enter). O arquivo não deve ser encontrado.

b. Repetir esse passo para os arquivos SCD.DLL, RUN32.EXE e SIRCAM.SYS

13 Não compartilhar novamente qualquer unidade/pasta com o direito de gravação enquanto o vírus não for totalmente erradicado da rede.

14 Para confirmar que o vírus foi completamente removido
- Reiniciar o computador
- Clicar no botão Iniciar
- Selecionar executar
- Na janela aberta, digitar command (ou cmd )
- Digitar cd\recycled
- Digitar dir Sirc*.* /ah
Caso não apareça nenhum arquivo isto significa que o computador está livre do vírus Sircam

Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui.

Onde obter mais informações

http://br.geocities.com/segurancamaxima/virus/smsircam.html

http://service.pandasoftware.es/library/card.jsp?Virus=W32/Sircam

http://vil.nai.com/vil/virusSummary.asp?virus_k=99141

http://www.aladdin.com.br/Alerts/sircam.shtml

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A

http://www.mpsoft.com.br/removersircam.htm

http://www.nwfusion.com/news/2001/0719sircam.html

http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html

http://www.securityfocus.com/templates/headline.html?id=12033

http://www.securityfocus.com/templates/headline.html?id=12039

http://www.sophos.com/downloads/ide/

http://www.sophos.com/virusinfo/analyses/w32sircama.html

http://www2.uol.com.br/info/aberto/infonews/072001/18072001-25.shl

http://www2.uol.com.br/info/aberto/infonews/072001/19072001-18.sh

Este "site", destinado prioritariamente aos alunos de Fátima Conti,
pretende auxiliar quem esteja começando a se interessar por internet,
segue as regras da FDL (Free Documentation Licence),
computadores e programas, estando em permanente construção.
Sugestões e comentários são bem vindos.
Se desejar colaborar, clique aqui.
Agradeço antecipadamente.

Deseja enviar essa página?

Se você usa um programa de correio eletrônico devidamente configurado e tem
um e-mail pop3, clique em "Enviar página" (abaixo) para abrir o programa.
Preencha o endereço do destinatário da mensagem.
E pode acrescentar o que quiser.
(Se não der certo, clique aqui para saber mais).

Enviar página

Se você usa webmail copie o endereço abaixo

http://www.cultura.ufpa.br/dicas/vir/vir-sirc.htm

Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.

Última alteração: 8 jun 2008

1	O computador não deve ser reiniciado até que se termine esse procedimento.
2	Se o computador estiver conectado à Internet deve ser desconectado
3	O computador tem algum tipo de compartilhamento? Se tiver, desabilitar qualquer compartilhamento existente no computador: a. Abrir o Explorer clicar com o botão direito sobre a unidade C b. Selecionar Compartilhamento c. Clicar no campo Não compartilhado d. Clicar em Ok
4	Renomear o arquivo regedit.exe para regedit.com: a. Clicar no menu iniciar b. Selecionar executar c. Na janela aberta, digitar command d. Digitar cd\windows e. Digitar ren regedit.exe regedit.com f. Digitar exit
5	Como mudanças incorretas no registro podem resultar na perda permanente de dados ou em dados corrompidos, fazer uma cópia do arquivo regedit.com em um disquete, para o caso de cometer algum erro. Para editar o registro e remover chaves e alterações feitas pelo worm, ter certeza de fazer apenas as seguintes modificações:
6	Remover as entradas do SirCam no registro do windows: - Clicar no botão "Iniciar" -"Executar" - Digitar "REGEDIT" (sem as aspas) - Clicar em "OK" - No painel do lado esquerdo, clicar em (+) e seguir o caminho: HKEY_CLASSES_ROOT Procurar as pastas "exefile", "shell", "open" e "command", nessa ordem HKEY_CLASSES_ROOT exefile shell open command A chave HKEY_CLASSES_ROOT contém muitas subchaves que referem-se a outras extensões. Uma destas extensões de arquivo é .exe. Mudar esta extensão pode fazer com que quaisquer arquivos com uma extensão .exe não sejam mais executados. Tenha certeza de navegar por todo este caminho até chegar na subchave \command. - No painel da direita, selecionar o valor Padrão (Default). - Clicar com o botão direito sobre ele e escolher "Modificar". - Apagar o texto "C:\recycled\SirC32.exe" "%1"%* E digitar: "%1" %* (aspas-porcento-um-aspas-espaço-porcento-asterisco.) Deve ficar assim: HKCR\exefile\shell\open\command\Default=""%1"%" O Editor de Registro automaticamente irá colocar o valor dentro de aspas. Quando clicar em OK, o valor (Padrão) deve estar assim: ""%1" %" (Ter certeza de apagar completamente todos os dados do valor na chave command antes de digitar o dado correto. Se um espaço for deixado acidentalmente no início do registro, qualquer tentativa de executar arquivos de programa irá resultar em uma mensagem de erro: " Windows não pode achar .exe." ou "É impossível localizar C:\ <caminho e nome de arquivo>."
7	Ainda na pasta "Software", procurar as pastas "Microsoft", "Windows", "CurrentVersion" e "RunServices" HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServices No lado direito do painel, procurar por uma entrada de registro chamada Driver32 Selecionar esta entrada, clicando sobre ela e excluí-la, pressionando DEL
8	No painel esquerdo, clicar em (+) e seguir o caminho: HKEY_LOCAL_MACHINE\Software\SirCam HKEY_LOCAL_MACHINE Software SirCam No painel esquerdo, clicar, com o botão direito do mouse, em SirCam e selecionar Excluir (ou pressionar a tecla DEL). Isto apagará a subchave e todo o seu conteúdo.
9	Depois que terminar de editar o registro e tiver fechado o Editor de Registro, fechar a janela DOS.
10	Remover a entrada do SirCam, editando o arquivo C:\autoexec.bat a. No Windows - Abrir o programa Bloco de notas (Dar um duplo clique em Notepad.exe que, normalmente, está na pasta C:\Windows) - Abrir o arquivo C:\autoexec.bat - Procurar por uma linha contendo algo parecido com @win c:\recycled\sirc32.exe ou @win c:\windows\system\sircam.exe - Se existir, excluir esta linha. - Clicar em "File" - "Save" - Depois que o arquivo fechar, clicar em X e fechar o Notepad b. No DOS: - Clicar no botão "Iniciar" -"Executar" - Digitar: "command" (sem as aspas) - Ir para a pasta onde está o arquivo. Por exemplo: Digitar: CD\ - Digitar edit autoexec.bat - Procurar por uma linha contendo algo parecido com @win c:\recycled\sirc32.exe ou @win c:\windows\system\sircam.exe - Se existir, excluir esta linha. - Clicar em "File" - "Save" (ou pressionar S, X ) - Depois que o arquivo fechar, clicar em X - Fechar a janela do DOS
11	Excluir o arquivo Sirc32.exe da lixeira - Clicar no menu iniciar - Selecionar executar - Na janela aberta, digitar command (ou cmd) - Digitar cd\recycled - Digitar deltree Sirc32.exe e confirmar a exclusão com S
12	No Windows explorer, localizar os arquivos SCAM32.EXE SCD.DLL RUN32.EXE SIRCAM.SYS Esses arquivos podem estar com o atributo oculto ativado. Se não os encontrar, no Windows Explorer, clicar no menu "Exibir" - "Opções de pasta...", na aba "Modo de exibição" e deixar selecionada a opção "Mostrar todos os arquivos". Se não conseguir entrar no windows, localizar e mudar o atributo no DOS. a. Arquivo SCAM32.EXE Clicar no botão "Iniciar" e em "Desligar..." e selecionar a opção "Reiniciar o computador em modo MS-DOS". Depois, no prompt do DOS, digitar: CD C:\WINDOWS\SYSTEM (e pressionar Enter) Digitar: DIR \SCAM32.EXE /S/B e teclar enter Se o arquivo for encontrado, deletá-lo Se não for encontrado, para mudar o atributo do arquivo, digitar: C:\WINDOWS\SYSTEM\ATTRIB -H SCAM32.EXE (e pressionar Enter) Deletar o arquivo digitando: C:\WINDOWS\SYSTEM\DEL SCAM32.EXE (e pressionar Enter) Certificar-se que o arquivo C:\WINDOWS\SYSTEM\SCAM32.EXE foi apagado, digitando o comando C:\WINDOWS\SYSTEM\dir SCAM32.EXE (e pressionar Enter). O arquivo não deve ser encontrado. b. Repetir esse passo para os arquivos SCD.DLL, RUN32.EXE e SIRCAM.SYS
13	Não compartilhar novamente qualquer unidade/pasta com o direito de gravação enquanto o vírus não for totalmente erradicado da rede.
14	Para confirmar que o vírus foi completamente removido - Reiniciar o computador - Clicar no botão Iniciar - Selecionar executar - Na janela aberta, digitar command (ou cmd ) - Digitar cd\recycled - Digitar dir Sirc. /ah Caso não apareça nenhum arquivo isto significa que o computador está livre do vírus Sircam