1. /

W32.Klez Removal Tool

Actualizado:
13 de Febrero de 2007 11:33:57 AM
Tipo:
Removal Information

Un tutorial demostrando cómo descargar y ejecutar la herramienta está disponible aquí.

Symantec ha desarrollado una herramienta que permite eliminar las infecciones causadas por W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587 y W32.ElKern.4926.

Nota sobre detecciones de W32.Klez.gen@mm:
W32.Klez.gen@mm es un sistema de detección genérico para variantes de W32.Klez. Es muy probable que los equipos infectados por W32.Klez.gen@mm hayan estado expuestos también a W32.Klez.E@mm o W32.Klez.H@mm. Si su equipo se detecta como infectado por W32.Klez.gen@mm, descargue y ejecute la herramienta. En la mayoría de casos, la herramienta poderá remover la infección.

Utilidad de la herramienta
La herramienta de eliminación de W32.Klez realiza las siguientes tareas:
  • Termina todos los procesos asociados con W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587 y W32.ElKern.4926.
  • Elimina los servicios W32.Klez.E@mm y W32.Klez.H@mm.
  • Elimina las entradas del registro creadas por W32.Klez.E@mm y W32.Klez.H@mm.
  • Detecta todos los tipos de infección causados por W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587 y W32.ElKern.4926 y repara los archivos que se puedan reparar.
    NOTA: Los archivos infectados por W32.Klez.E@mm o W32.Klez.H@mm incluyen un vínculo al archivo host encriptado. En caso de que el archivo encriptado al que se accede mediante el vínculo no exista, la herramienta borrará el archivo infectado, pues no se podrá reparar, y el archivo encriptado no se restaurará.
    La reparación de W32.ElKern.3587 y W32.ElKern.4926 implica la eliminación de código de virus del archivo. No obstante, esto no garantiza el funcionamiento correcto de un archivo que ya no esté infectado con W32.ElKern, pues este virus, a menudo, daña los archivos.
Parámetros de línea de comandos disponibles para esta herramienta

/HELP, /H, /?
    Muestra el mensaje de ayuda.
/NOFIXREG
    Desactiva la reparación del registro (el uso de este parámetro no es recomendable).
/SILENT, /S
    Activa el modo silencioso.
/LOG=<nombre de ruta>
    Crea un archivo de registro; <nombre de ruta> es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro FixKlez.log en la misma carpeta desde la que se ejecute la herramienta de eliminación.
/MAPPED
    Analiza las unidades de red asignadas (el uso de este parámetro no es recomendable; consulte las notas).
/START
    Obliga a la herramienta a iniciar el análisis inmediatamente.
/EXCLUDE=<ruta>
    Excluye del análisis la <ruta> especificada (el uso de este parámetro no es recomendable).

NOTA: El uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos:
  • El análisis de unidades asignadas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, por lo que se producirían omisiones en la detección.
  • Si se hallara un archivo infectado en la unidad asignada, no se podría llevar a cabo la eliminación de dicho archivo si otro programa lo estuviese usando.
  • La reparación de un archivo infectado por W32.Klez.E@mm o W32.Klez.H@mm podría no realizarse correctamente si dicho archivo se ubicara en la unidad asignada. Esto se debe a que la ruta del archivo huésped original encriptado tiene carácter local.

Por estos motivos, se debe ejecutar la herramienta de forma local en todos los equipos.

Para obtener y ejecutar la herramienta:

NOTA: Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.
  1. Descargue el archivo FixKlez.com de http://securityresponse.symantec.com/avcenter/FixKlez.com.
  2. Guarde el archivo en una ubicación adecuada, por ejemplo, una carpeta de archivos descargados ubicada en el Escritorio de Windows (o bien en un medio de almacenamiento extraíble que, a ser posible, esté libre de infecciones).
  3. Para comprobar la autenticidad de la firma digital, consulte la sección La firma digital.
  4. Cierre todos los programas antes de ejecutar la herramienta.
  5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red, así como la conexión a Internet.
  6. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Consulte la sección Opción Restaurar sistema de Windows Me/XP si desea obtener más detalles al respecto.

    NOTA: Es muy importante que, si ejecuta Windows Me/XP, no omita este paso.
  7. Haga doble clic en el archivo FixKlez.com para iniciar la herramienta de eliminación.
  8. Haga clic en Start para que se inicie el proceso y, de este modo, se ejecute la herramienta.
  9. Reinicie el equipo.
  10. Ejecute la herramienta de eliminación para asegurarse de que el sistema quede limpio.
  11. Si está utilizando Windows Me/XP, tendrá que volver a activar Restaurar sistema.

    NOTA: El procedimiento de eliminación podría no funcionar si Restaurar sistema de Windows Me/XP no se desactiva como se ha especificado arriba, ya que Windows evita que otros programas modifiquen la opción Restaurar sistema. Por este motivo, la eliminación podría no llevarse a cabo correctamente.
  12. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

NOTA: Si se ha activado W32.Klez.gen@mm antes de ejecutar la herramienta de eliminación, en la mayoría de los casos no se podrá iniciar Norton AntiVirus (NAV). Podrá hallar instrucciones acerca del modo de ejecutar NAV desde la línea de comandos, así como sobre la reinstalación de este programa, en la sección de eliminación del documento relativo al virus W32.Klez.E@mm.

Cuando termine de ejecutarse la herramienta, aparecerá un mensaje en el que se indica si el equipo está infectado por W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587 o W32.ElKern.4926. Si se ha eliminado alguna infección, el programa mostrará los siguientes resultados:
  • El número total de archivos analizados
  • El número de archivos eliminados
  • El número de archivos reparados
  • El número de procesos víricos terminados
  • El número de servicios víricos eliminados
  • El número de entradas de registro reparadas

La firma digital
FixKlez.com está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FixKlez.com descargadas directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm. (Este recurso se encuentra en inglés.)
  2. Descargue y guarde el archivo Chktrust.exe en la misma carpeta en la que haya guardado FixKlez.com (por ejemplo, C:\Descargas).
  3. Dependiendo de la versión de Windows que utilice, elija una de las siguientes opciones:
    • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y, acto seguido, seleccione MS-DOS.
    • Acceda a la carpeta que contiene FixKlez.com y Chktrust.exe y escriba lo siguiente:

      chktrust -i FixKlez.com

      Por ejemplo, si el archivo se encuentra en la carpeta C:\Descargas, introduzca los siguientes comandos:

      cd\
      cd descargas
      chktrust -i FixKlez.com
  4. Presione INTRO después de introducir cada comando. Si la firma digital es válida, aparecerá lo siguiente:

    "Se pide su aprobación para instalar y ejecutar ‘W32.Klez Fix Tool’ firmado el 19/04/02 7:40 y distribuido por Symantec Corporation."

    NOTAS:
    • La fecha y la hora de este cuadro de diálogo se ajustarán a su zona horaria cuando su equipo no esté configurado según la zona horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, no utilice esa copia de FixKlez.com, puesto que no pertenece a Symantec.
  5. Haga clic en Sí para cerrar el cuadro de diálogo.
  6. Escriba exit y presione INTRO para cerrar la sesión en MS-DOS.
    Opción Restaurar sistema de Windows ME/XP
    Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen Restaurar sistema. Como resultado, existe la posibilidad de que se pudiera restaurar, de forma accidental, un archivo infectado, o bien que un escáner en línea detectase la amenaza en dicha ubicación. Si desea obtener instrucciones sobre el modo de desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

    Si desea obtener más información y un método alternativo para deshabilitar la función Restaurar sistema, consulte el archivo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder de la Base de información de Microsoft, cuyo ID es: Q263455. (Este recurso se encuentra en inglés.)

    Cómo ejecutar la herramienta desde un disquete
    1. Inserte el disquete que alberga el archivo FixKlez.com en la unidad correspondiente.
    2. Haga clic en Inicio y después, en Ejecutar.
    3. Escriba lo siguiente y, después, haga clic en Aceptar:

      a:\fixklez.com

      NOTAS:
        • No inserte ningún espacio en el comando a:\fixklez.com
        • Si utiliza Windows Me y la opción Restaurar sistema permanece habilitada, aparecerá un mensaje de advertencia. Puede elegir entre ejecutar la herramienta de eliminación con la opción Restaurar sistema habilitada o cerrar la herramienta.
    4. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
    5. Si está utilizando Windows Me, tendrá que volver a activar Restaurar sistema.

    Resumen