1. /

W32.Sobig.A@mm Removal Tool

Detectado:
14 de Enero de 2003
Actualizado:
13 de Febrero de 2007 11:34:18 AM
Tipo:
Removal Information

Utilidad de la herramienta

La herramienta de eliminación de W32.Sobig.A@mm realiza las siguientes tareas:
  1. Termina los procesos víricos de W32.Sobig.A@mm.
  2. Elimina los archivos de W32.Sobig.A@mm.
  3. Elimina los valores de Registro añadidos por el gusano.
    Parámetros de línea de comandos disponibles para esta herramienta

    Parámetro
    Descripción
    /HELP, /H, /?Muestra el mensaje de ayuda.
    /NOFIXREGDesactiva la reparación del registro (el uso de este parámetro no es recomendable).
    /SILENT, /SActiva el modo silencioso.
    /LOG=<ruta de acceso>Crea un archivo de registro en el que <ruta de acceso> es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro FixSobig.log en la misma carpeta desde la que se ejecute la herramienta de eliminación.
    /MAPPEDAnaliza las unidades de red asignadas. (El uso de este parámetro no es recomendable. Consulte la nota abajo.)
    /STARTObliga a la herramienta a iniciar inmediatamente el análisis.
    /EXCLUDE=<ruta>Excluye del análisis la <ruta> especificada (el uso de este parámetro no es recomendable).


    Nota: el uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos:
    • El análisis de unidades asignadas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, con lo que se producirían omisiones en la detección.
    • Si se encuentra un archivo infectado en la unidad asignada, el archivo no se puede eliminar si está siendo utilizado por otro programa.

    Por lo tanto, se debe ejecutar la herramienta de forma local en todos los equipos.

    Para obtener y ejecutar la herramienta

    Nota: es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.
    1. Descargue el archivo FixSobig.exe de:
      http://securityresponse.symantec.com/avcenter/FixSobig.exe.
    2. Guarde el archivo en una ubicación adecuada, por ejemplo, su carpeta de descargas o el escritorio de Windows (o en un medio extraíble que se sepa que no esté infectado).
    3. Para comprobar la autenticidad de la firma digital, consulte la sección "La firma digital" de este documento.
    4. Cierre todos los programas activos antes de ejecutar la herramienta.
    5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red, así como la conexión a Internet.
    6. Si está utilizando Windows ME o XP, desactive Restaurar sistema. Para más detalles, lea la sección "Opción Restaurar sistema de Windows ME/XP" de este documento.

      Advertencia: recomendamos insistentemente que no omita este paso, si ejecuta Windows ME/XP.
    7. Haga doble clic en el archivo FixSobig.exe para iniciar la herramienta de eliminación.
    8. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
    9. Reinicie el equipo.
    10. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
    11. Si está utilizando Windows ME/XP, tendrá que volver a activar Restaurar sistema.
    12. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

    Nota: el procedimiento de eliminación podría no funcionar si no se desactiva la opción Restaurar sistema de Windows ME/XP como se especificó más arriba, porque Windows impide que otros programas modifiquen la opción Restaurar sistema.

    Cuando la herramienta termina de ejecutarse, verá un mensaje indicándole si su equipo estaba infectado por W32.Sobig.A@mm. Si se elimina el gusano, el programa muestra los siguientes resultados:
    • El número total de archivos analizados.
    • El número de archivos eliminados.
    • El número de archivos reparados.
    • El número de procesos víricos terminados.
    • El número de entradas de registro reparadas.

    La firma digital
    FixSobig.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FixSobig.exe descargadas directamente del sitio Web de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
    1. Acceda a http://www.wmsoftware.com/free.htm. (Este recurso se encuentra en inglés.)
    2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó FixSobig.exe (por ejemplo, C:\Descargas).
    3. Según el sistema operativo que ejecute, realice una de las siguientes acciones:
      • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
      • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y seleccione MS-DOS.
    4. Cambie a la carpeta donde almacenó los archivos FixSobig.exe y Chktrust.exe y escriba: chktrust -i FixSobig.exe.

      Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los siguientes comandos:

      cd\
      cd descargas
      chktrust -i FixSobig.exe

      Presione INTRO después de cada comando. Si la firma digital es válida, aparecerá lo siguiente:

      "Se pide su aprobación para instalar y ejecutar "W32.Sobig.A@mm Fix Tool" firmado el 14/01/2003 9:45 AM y distribuido por Symantec Corporation."
      Nota
      • La fecha y la hora de este cuadro de diálogo se ajustarán a su zona horaria cuando su equipo no esté configurado a la zona horaria del Pacífico.
      • Si está en vigencia el horario de verano, la hora que aparecerá será exactamente una hora menos.
      • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
        • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la ha descargado desde el verdadero sitio Web de Symantec.
        • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre el tema y ver nuevamente el cuadro de diálogo de confirmación, consulte el documento "Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor".
    5. Haga clic en Sí para cerrar el cuadro de diálogo.
    6. Escriba exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

    La función Restaurar sistema de Windows ME/XP
    Los usuarios de Windows ME y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra activada de forma predeterminada, la emplean Windows ME/XP para restaurar los archivos de los equipos cuando estos sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema.

    De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema, incluyendo los programas antivirus. Por lo tanto, los programas o herramientas antivirus no pueden eliminar las amenazas que se encuentren en la carpeta Restaurar sistema. Como resultado, Restaurar sistema es potencialmente capaz de restaurar un archivo infectado en su equipo, incluso después de que se hayan limpiado los archivos infectados de todos los otros lugares.

    Además, en algunos casos, los escáneres en línea pueden detectar una amenaza en la carpeta Restaurar sistema, aún cuando se haya analizado el equipo con un programa antivirus y no se hayan encontrado archivos infectados.

    Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos: Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo "Las herramientas antivirus no pueden limpiar los archivos infectados de la carpeta _Restore" de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.
    Resumen