1. /

W32.Sircam.Worm@mm Removal Tool

Detectado:
20 de Julio de 2001
Actualizado:
13 de Febrero de 2007 11:33:23 AM
Tipo:
Removal Information

La herramienta de reparación de W32.Sircam.Worm@mm elimina tanto los archivos infectados con el gusano W32.Sircam.Worm@mm como los cambios que éste haya podido realizar en el sistema.
    Para obtener y ejecutar la herramienta:
    1. Vaya a http://www.sarc.com/avcenter/FixSirc.com.
    2. Descargue el archivo Fixsirc.com en una ubicación adecuada como, por ejemplo, en la carpeta que destine a las descargas o en el escritorio de Windows. Si está en red, debe aplicar la herramienta de reparación a todos los equipos, incluido el servidor.
    3. Para comprobar la autenticidad de la firma digital, consulte la sección La firma digital.
    4. Cierre todos los programas antes de ejecutar la herramienta, incluidos los analizadores antivirus, como Auto-Protect de Norton Antivirus (NAV).

    ADVERTENCIA: no omita este paso y preste atención a la nota que aparece tras esta advertencia. Debe desactivar Auto-Protect antes de ejecutar la herramienta. Si desea obtener más instrucciones acerca de este asunto, consulte el documento How to enable and disable Norton AntiVirus Auto-Protect. (Este recurso se encuentra en inglés.)

    NOTA: existe un caso excepcional en el que no se puede desactivar Auto-Protect. Se trata de aquellos casos en los que NAV detecta un virus y lo pone en cuarentena. NAV no podrá ejecutarse más debido al cambio que el gusano realiza en el registro, por lo que, al no poder ejecutarlo, tampoco será posible desactivar Auto-Protect. No obstante, debe asegurarse de que esto es así intentando desactivarlo en primer lugar, tal y como se ha descrito anteriormente.

    5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red, así como la conexión a Internet. Deshabilite el carácter compartido de los archivos o protéjalos mediante una contraseña antes de volver a conectar los equipos a la red o a Internet. Puesto que este gusano se propaga usando carpetas compartidas en equipos en red, para asegurarse de que el gusano no vuelva a infectar otro equipo después de eliminarlo, Symantec sugiere compartir con acceso de sólo lectura o utilizando una contraseña como protección. Si desea más instrucciones sobre cómo hacerlo, consulte la documentación de Windows o el documento How to configure shared Windows folders for maximum network protection. (Este recurso se encuentra en inglés.)

    ADVERTENCIA: No omita este paso. Debe desconectar el equipo de la red antes de ejecutar la herramienta.

    6. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Consulte la sección Opción Restaurar sistema de Windows Me/XP si desea obtener más detalles al respecto.

    NOTA: recomendamos insistentemente que no omita este paso, si ejecuta Windows Me/XP.

    7. Haga doble clic en el archivo Fixsirc.com para iniciar la herramienta de eliminación.

    NOTA: si ha descargado la herramienta en un disquete y desea ejecutarla desde esta unidad, consulte la sección Cómo ejecutar la herramienta desde un disquete, que aparece al final de este documento, para obtener instrucciones más precisas.

    NOTA: si utiliza Windows Me y la función Restaurar sistema permanece activada, aparecerá un mensaje de advertencia. Puede escoger entre ejecutar la herramienta de eliminación con la función Restaurar sistema activada (no recomendado) o cerrar la herramienta.

    8. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
    9. Si está utilizando Windows Me/XP, active otra vez Restaurar sistema.
    10. Vuelva a activar Auto-Protect.

    NOTA:
    · Si aparece un mensaje en el que se le comunique que la herramienta debe ejecutarse en modo A prueba de fallos, reinicie el equipo en este modo y ejecute de nuevo la herramienta. Siga estas indicaciones para asegurarse de que el virus no vuelve a infectar el equipo. Para reiniciar en modo A prueba de fallos, consulte el documento Cómo iniciar su equipo en Modo seguro.
    · Es posible que el procedimiento de eliminación falle si está activada la opción Restaurar sistema de Windows Me, puesto que Windows no permite que programas externos modifiquen esta función. Debido a esta circunstancia, es posible que cualquier intento que realice la herramienta de eliminar un gusano fracase.
    · Cuando finalice el procedimiento, la herramienta detectará que está utilizando Windows Me y que Restaurar sistema sigue deshabilitada. En ese caso, aparecerá el mensaje recordatorio para que active de nuevo esta opción.
    · Si necesita ejecutar la herramienta con script de inicio de sesión o archivos por lotes sin que aparezcan mensajes, utilice la siguiente sintaxis de línea de comandos para el modo silencioso:
    · Fixsirc.com /s.

    Cuando termine de ejecutarse la herramienta, se mostrará un mensaje en el que se indicará si el equipo está infectado por el gusano W32.Sircam.Worm@mm. En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
    · El número total de archivos analizados.
    · El número de archivos eliminados.
    · El número de las claves de registro que se han reparado.

    Utilidad de la herramienta
    La herramienta de eliminación de W32.Sircam.Worm@mm realiza las siguientes tareas:
    1. Analiza y elimina los archivos que estén infectados con el gusano W32.Sircam.Worm@mm.

    2. Elimina la siguiente clave de registro:

    HKEY_LOCAL_MACHINE\Software\SirCam

    3. En la clave de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows\CurrentVersion\RunServices

    elimina este valor:

    Driver32

    4. En la clave de registro:

    HKEY_CLASSES_ROOTexefile\shell\open\command

    modifica el valor [Default] estableciendo el siguiente:

    "%1" %*

    5. Elimina la línea "@win \recycled\sirc32.exe" del archivo C:\Autoexec.bat.
    6. Restaura el archivo Rundll32.exe, al que el gusano ha cambiado de nombre.
    La firma digital
    FixSirc.com está firmado digitalmente. Symantec recomienda utilizar sólo las copias de FixSirc.com que se hayan descargado directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
    1. Vaya a http://www.wmsoftware.com/free.htm.
    2. Descargue y guarde el archivo chktrust.exe en la carpeta en la que guardó FixSirc.com (por ejemplo, C:\Descargas).
    3. Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    4. Cambie la ruta a la carpeta en la que almacenó los archivos FixSirc.com y Chktrust.exe y, entonces, escriba lo siguiente:

    chktrust -i FixSirc.com.

    De este modo, si guardó el archivo en la carpeta C:\Descargas escriba:

    cd\
    cd descargas
    chktrust -i FixSirc.com.

    Presione INTRO después de cada comando.

    5. Si la firma digital es válida, aparecerá lo siguiente:

    "Se pide su aprobación para instalar y ejecutar 'FixSirc Tool' firmada el 31/07/01 09:36 y distribuida por Symantec Corporation."
        NOTAS:
    o La fecha y la hora de este mensaje se ajustarán a las de su zona horaria, siempre que su equipo no esté configurado según la zona horaria del Pacífico.
    o Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    o Si no aparece este cuadro de diálogo, no utilice esta copia de fixsirc.com, puesto que este hecho indica que no pertenece a Symantec.
    6. Haga clic en Sí para cerrar el cuadro de diálogo.
    7. Escriba exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

    La función Restaurar sistema de Windows ME/XP
    Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
    · Cómo deshabilitar y habilitar Restaurar sistema en Windows Me.
    · Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.

    Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.

    Cómo ejecutar la herramienta desde un disquete
    1. Introduzca el disquete que contiene el archivo Fixsirc.com en la unidad de disquete correspondiente.
    2. Haga clic en Inicio y seleccione Ejecutar.
    3. Escriba la siguiente cadena y haga clic en Aceptar:

    a:\fixsirc.com

        NOTAS:
    o No inserte ningún espacio en el comando a:\fixsirc.com
    o si utiliza Windows Me y la función Restaurar sistema permanece activada, aparecerá un mensaje de advertencia. Puede escoger entre ejecutar la herramienta de eliminación con la función Restaurar sistema activada o cerrar la herramienta.
    4. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
    5. Si está utilizando Windows Me, active otra vez Restaurar sistema.
    Resumen