1. /

W32.Opaserv.Worm Removal Tool

Detectado:
30 de Septiembre de 2002
Actualizado:
13 de Febrero de 2007 11:34:07 AM
Tipo:
Removal Information


IMPORTANTE - LEA PRIMERO:
  • El gusano se vale de una vulnerabilidad de seguridad de Microsoft Windows 95/98/Me. Envía señales de un único carácter a los archivos compartidos en red para acceder a los archivos compartidos de Windows 95/98/Me sin conocer la contraseña completa configurada para esos archivos. Los sistemas afectados incluyen, Microsoft Windows 95, 98 y Me.

    Se puede encontrar una corrección (patch) para equipos que poseen estos sistemas operativos en la dirección http://www.microsoft.com/technet/security/bulletin/MS00-072.asp. Si todavía no lo hizo, usted debe obtener e instalar esta corrección para evitar futuras infecciones.
  • Si usted está en red o posee una conexión de Internet de tiempo integral, como DSL o Cable módem, debe desconectar su equipo de la red y de Internet. Desactive o proteja con una contraseña los archivos compartidos en red o configure dichos archivos como Solamente Lectura, antes de reconectar los equipos a la red o a Internet. Como este gusano se disemina usando carpetas compartidas de los equipos en red, para asegurarse de que el gusano no reinfectará el equipo luego de haber sido removido, Symantec sugiere compartir dichos archivos con acceso de Sólo Lectura o usando la protección coon una contraseña. Para obtener instrucciones sobre cómo realizar este proceso, consulte su documentación de Windows o el documento Configuración de las carpetas compartidas de Windows para obtener la máxima protección en la red.
  • Si usted está intentando remover una infección en red, debe estar seguro de que todos los archivos compartidos en red estén desactivados o configurados con el atributo de Sólo Lectura antes de seguir con el proceso.


Qué hace la herramienta

La Herramienta de Eliminación de W32.Opaserv.Worm hace lo siguiente:
  1. Acaba con todos los procesos causados por el virus W32.Opaserv.Worm
  2. Borra los archivos ejecutables de W32.Opaserv.Worm
  3. Borra los valores que el virus agregó al registro.
  4. Restaura el archivo Win.ini

Opciones en el renglón de comando disponibles para esa herramienta


Opción
Descripción
/HELP, /H, /?Muestra el mensaje de ayuda.
/NOFIXREGDesactiva el reparo de registro (no recomendamos usar esta opción).
/SILENT, /S Activa el modo silencioso.
/LOG=<camino>Crea un archivo de registro donde <camino> es el lugar para almacenar las salidas de la herramienta. Por patrón, se creará un archivo de registro FixOpsrv.log en la misma carpeta en la que la herramienta sea ejecutada.
/MAPPEDVerifica los discos de red relacionados entre sí (no se recomienda el uso de esa opción - vea nota).
/STARTLe ordena a la herramienta iniciar la verificación inmediatamente.
/EXCLUDE=<carpeta>Elimina, específicamente, la <carpeta> de la verificación (no recomendamos el uso de esta opción).


NOTA: El uso de la opción /MAPPED no garantiza la total eliminación del virus en el equipo remoto porque:
  • La verificación de los discos relacionados entre sí ( mapped ) se ejecuta sólo en las carpetas que también fueron relacionados ( mapped ). Esto puede no incluir todas las carpetas del equipo remoto causando fallas en la detección.
  • Si se detecta un archivo infectado en un disco relacionado con otros ( mapped ), la remoción fallará si el equipo remoto está usando ese mismo archivo.

Por estas razones, usted debe ejecutar la herramienta en cada una de los equipos.

Para obtener y ejecutar la herramienta

NOTA: Usted debe tener privilegios de administrador para ejecutar esta herramienta en Windows NT4/2000/XP.
  1. Realice la descarga del archivo FixOpsrv.exe de:

    http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
  2. Guarde el archivo en un lugar conveniente, como la carpeta de download, el área de trabajo de Windows o en un disquete que no esté infectado, si es posible.
  3. Para verificar la autenticidad de la firma digital, vea la sección La firma digital.
  4. Cierre todos los programas antes de ejecutar la herramienta.
  5. Si usted está en red o tiene una conexión permanente a Internet, desconecte su computadora.
  6. Si está usando Windows ME o XP, desactive la Restauración del Sistema. Para obtener más detalles, vea la sección Opción Restauración del Sistema en Windows ME o XP.

    NOTA: Si está usando Windows ME/XP recomendamos, enfáticamente, no saltear ese paso.
  7. Haga clic dos veces en el archivo FixOpsrv.exe para darle inicio a la herramienta de remoción.
  8. Haga clic en Start (Inicio) para comenzar el proceso y deje que la herramienta se autoejecute.
  9. Reinicie la computadora.
  10. Ejecute la herramienta de remoción una vez más para asegurarse de que el sistema esté limpio.
  11. Si está usando Windows ME o XP, reactive la Restauración del Sistema.
  12. Ejecute el LiveUpdate para asegurarse de tener las definiciones de virus más actualizadas.

    NOTA: El procedimiento de remoción puede no funcionar si la Restauración del Sistema de Windows ME/XP no está desactivada como indicamos anteriormente porque Windows impide que se hagan alteraciones en la Restauración del Sistema desde programas externos. Por ese motivo, la herramienta de remoción puede fallar.
Cuando la herramienta finalice la ejecución, usted podrá ver un mensaje que le informará si la computadora estaba infectada por el W32.Opaserv.Worm. En el caso de remoción del gusano, el programa le mostrará los siguientes resultados:
    • El número total de archivos verificados
    • El número de archivos borrados
    • El número de procesos causados por virus eliminados
    • El número de entradas de registro borradas

La firma digital
El FixOpsrv.exe está firmado digitalmente. Symantec le recomienda usar sólo copias del FixOpsrv.exe que hayan sido obtenidas, directamente, del site de download de Symantec Security Response. Para comprobar la autenticidad de la firma digital siga los siguientes pasos:
  1. Vaya a http://www.wmsoftware.com/free.htm
  2. Realice el download y guarde el archivo Chktrust.exe en la misma carpeta en la que guardó el FixOpsrv.exe (por ejemplo, C:\Downloads).
  3. Dependiendo de su sistema operacional, haga lo siguiente:
    • Haga clic en Inicio, seleccione Programas y haga clic en Prompt de MS-DOS.
    • Haga clic en Inicio, seleccione Programas, haga clic en Accesorios y luego haga clic en Prompt de MS-DOS.
    • Vaya hacia el directorio en el cual guardó el FixOpsrv.exe y Chktrust.exe y digite:

      chktrust -i FixOpsrv.exe

      Por ejemplo, si usted guardó el archivo en la carpeta C:\Downloads, debe digitar los siguientes comandos (presione Enter después de cada comando):

      cd\
      cd downloads
      chktrust -i FixOpsrv.exe

      Si la firma digital fuera válida, usted verá el siguiente texto:

      Do you want to install and run "W32.Opaserv.Worm Removal Tool" signed on 10/03/2002 7:17 PM and distributed by Symantec Corporation?
      (¿Usted desea instalar y ejecutar la "Herramienta de Corrección W32.Opaserv.Worm" firmada el 03/10/2002 19:17 y distribuida por Symantec Corporation?)

      NOTAS:
      • Si su computadora no estuviera configurada para la hora del Pacífico, la fecha y la hora que aparecen en el cuadro de diálogo serán ajustadas a su huso horario.
      • Si estuviera en Horario de Verano marcará, exactamente, una hora menos.
      • Si ese cuadro de diálogo no aparece, existen dos posibles razones:
        • Esa herramienta no es de Symantec. A menos que esté completamente seguro de que la herramienta es legítima y que realmente ha sido obtenida a través del site de Symantec, no debe ejecutarla.
        • La herramienta es de Symantec y es legítima. Pero, su sistema operacional ha sido previamente configurado para confiar siempre en los productos de Symantec. Para obtener más informaciones sobre este tema y sobre cómo ver nuevamente el cuadro de confirmación, lea el documento How to restore the Publisher Authenticity confirmation dialog box.
  4. Haga clic en Yes (Si) para cerrar el cuadro de diálogo.
  5. Digite exit y presione Enter. Eso cerrará la sesión MS-DOS.

Opción Restauración del Sistema en Windows Me o XP
Los usuarios de Windows Me y de Windows XP deben desactivar, temporalmente, la Restauración del Sistema. Esta característica, activada por patrón, es utilizada por Windows ME/XP para restaurar los archivos de su computadora en el caso que hayan sido dañados. Cuando una computadora está infectada por un virus, gusano o Caballo de Troya es posible que esos archivos sean restaurados por la Restauración del Sistema. Por patrón, Windows impide que la Restauración del Sistema sea alterada por programas externos. De esta forma, es posible que usted, accidentalmente, restaure un archivo infectado o que verificadores on-line detecten una amenaza en ese lugar. Para obtener instrucciones sobre cómo desactivar la Restauración del Sistema, lea la documentación de Windows o uno de los siguientes artículos:
  • How to disable or enable Windows Me System Restore. (Cómo desactivar o activar la Restauración del Sistema de Windows ME)
  • How to disable or enable Windows XP System Restore. (Cómo desactivar o activar la Restauración del Sistema en Windows XP)

Para obtener informaciones adicionales y alternativas para desactivar la Restauración del Sistema, vea en Microsoft Knowledge Base el artículo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder (Herramientas de Antivirus no pueden limpiar archivos infectados en la carpeta _Restore), ID del Artículo: Q263455.

Cómo ejecutar la herramienta desde un disquete
  1. Inserte en el drive el disquete que contiene el archivo FixOpsrv.exe
  2. Haga clic en el botón Inicio y luego en Ejecutar.
  3. Digite lo que está escrito a continuación y haga clic en OK:

    a:\fixopsrv.exe

    NOTAS:
    • No hay espacios en el comando a:\fixopsrv.exe
    • Si usted está usando Windows ME y la Restauración del Sistema está activada, aparecerá un mensaje de alerta. Elija si prefiere ejecutar la herramienta de remoción con la opción Restauración del Sistema activada o salir de la herramienta de remoción.
  4. Haga clic en Start (Inicio) para comenzar el proceso y deje que la herramienta se autoejecute.
  5. Si está usando Windows Me, reactive la Restauración del Sistema.



Resumen