1. /

W32.Swen.A@mm Removal Tool

Detectado:
19 de Septiembre de 2003
Actualizado:
13 de Febrero de 2007 11:35:01 AM
Tipo:
Removal Information

Symantec Security Response ha desarrollado una herramienta que permite eliminar infecciones causadas por W32.Swen.A@mm.

Utilidad de la herramienta

La Herramienta de eliminación de W32.Swen.A@mm realiza las siguientes tareas:
  1. Termina todos los procesos virales de W32.Swen.A@mm.
  2. Elimina los archivos de W32.Swen.A@mm.
  3. Elimina los archivos asociados
  4. Elimina los valores agregados en el registro por el gusano

Parámetros de línea de comandos disponibles para la herramienta




Parámetros

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva la reparación del registro (el uso de este parámetro no es recomendable).

/SILENT, /S

Activa el modo silencioso.

/LOG=<path name>

Crea un archivo de registro; <nombre de ruta> es la ubicación en que se almacenan los resultados de la herramienta. de forma predeterminada, este parámetro genera el archivo de registro FixSwen.log en la misma carpeta desde la que se ejecute la herramienta de eliminación.

/MAPPED

Analiza las unidades de red asignadas (el uso de este parámetro no es recomendable; consulte las notas).

/START

Obliga a la herramienta a iniciar el análisis inmediatamente.

/EXCLUDE=<path>

Excluye del análisis la <ruta> especificada (el uso de este parámetro no es recomendable).

/NOFILESCAN

Evita el análisis de archivos de sistema.
  • El uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos:
    • El análisis de unidades asignadas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, por lo que se producirían omisiones en la detección.
    • Si se hallara un archivo infectado en la unidad asignada, no se podría llevar a cabo la eliminación de dicho archivo si otro programa lo estuviese usando.
Por estos motivos, se debe ejecutar la herramienta de forma local en todos los equipos.
  • El parámetro /EXCLUDE sólo funciona para una ruta, no para varias. Una alternativa es el uso del parámetro /NOFILESCAN seguido de una análisis manual con NAV. Esto permitirá que la herramienta modifique el registro de Windows. Posteriormente analizar con el antivirus el equipo, se debe de contar con definiciones de virus actualizadas. Con estos pasos usted debe de poder limpiar el sistema.
    • A continuación se presenta un ejemplo con los parámetros que se pueden usar para excluir una unidad de disco:

      "C:\Documents and Settings\user1\Desktop\FixSwen.exe" /EXCLUDE=M:\ /LOG=c:\FixSwen.txt
    • Como alternativa, el uso de la siguiente línea de comandos, omitirá el análisis de archivos de sistema, pero corregirá las modificaciones hechas en el registro por el gusano. Después deberá de hacer un análisis del sistema con las exclusiones adecuadas:

      "C:\Documents and Settings\user1\Desktop\FixSwen.exe" /NOSCANFILE /LOG=c:\FixSwen.txt

      (
      El nombre del archivo de registro .log puede ser el que usted elija. El nombre que utiliza este documento es sólo para propósitos de ejemplificación.)

Para obtener y ejecutar la herramienta

Antes de empezar:
Debido a los numerosos cambios que el gusano realiza en el registro de Windows, el gusano puede ser, un poco difícil de eliminar si se ha ejecutado y si su producto Symantec antivirus envió archivos a cuarentena o los eliminó. Si ambas situaciones se presentaron, no podrá descargar la herramienta y ejecutarla.
Las acciones a seguir si el gusano se ejecutó y los archivos fueron enviados a cuarentena o eliminados dependen de su sistema operativo:
    • Windows NT/2000/XP: Descargue la herramienta como se describe en los siguientes pasos. Desde luego, deberá renombrar la extensión por .cmd como se describe en la Nota del paso 5.
    • Windows 95/98/Me: Dado que al renombrar la herramienta con la extensión .cmd, no se puede ejecutar en estos sistemas operativos, primero siga las instrucciones de la sección "W32.Swen.A@mm ha sido eliminado y enviado a cuarentena", del procedimiento de eliminación manual del documento W32.A.Swen@mm.



Nota: Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.


ADVERTENCIA: Si usted está ejecutando MS Exchange 2000 Server, puede desear excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Sin importar si usted toma esta opción, antes de ejecutar la herramienta respalde todos los datos de la unidad M. Para mayor información, sobre la importancia de esta última acción lea el documento de la base de conocimientos de Microsoft, "XADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Article 298924).


  1. Descargue el archivo FixSwen.exe de http://www.symantec.com/avcenter/FixSwen.exe.
  2. Guarde el archivo en una ubicación adecuada, por ejemplo, su carpeta de descargas o el escritorio de Windows (o bien en un medio extraíble que sepa no está infectado, si es posible).
  3. Para comprobar la autenticidad de la firma digital, consulte la sección "La firma digital".
  4. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Consulte la sección "Restaurar sistema de Windows Me/XP", si desea obtener más detalles al respecto.

    Nota: Este paso tiene como intención, prevenir la restauración accidental del gusano en una fecha posterior. Sin embargo, debido a los cambios que realiza el gusano en el registro de Windows, quizás no pueda realizar está acción de momento. Si no le es posible, omítalo por el momento. Recomendamos, que posteriormente se lleve a cabo, una vez que se haya restablecido acceso en su sistema, para vaciar la carpeta System Restore y prevenir futuros problemas.
  5. Haga doble clic en el archivo FixSwen.exe para iniciar la herramienta de eliminación.

    Nota: Si el gusano ha sido ejecutado y usted lo eliminó o envió a cuarentena los archivos del gusano, con su producto Symantec antivirus, la herramienta puede que no ejecute adecuadamente debido a los cambios realizados en el registro. (En sistemas Windows 95/98/Me, puede que vea un mensaje de Windows no pudo encontrar el archivo <de nombre aleatorio>.)

    -- Si le sucede esto en un sistema Windows 95/98/Me, deténgase aquí y siga las siguientes instrucciones de la sección "W32.Swen.A@mm se ha enviado a cuarentena o elimiando" del documento W32.A.Swen@mm.

    -- Si le sucede esto en un sistema Windows NT/2000/XP, siga las siguientes instrucciones y continue con el paso 6:
    1. Abra su Explorador de Windows.
    2. Haga clic en Ver > Opciones (Windows NT) o Herramientas > Opciones de carpetas (Windows 2000/XP).
    3. Haga clic en la pestaña Ver.
    4. Quite la marca de "Ocultar extensiones para archivos conocidos". Haga clic en Si en cado de que se presente un cuadro de advertencia.
    5. Haga clic en Aplicar y después en Aceptar.
    6. Presione el botón derecho del mouse, sobre el archivo FixSwen.exe, marque Cambiar nombre y cambie el nombre por FixSwen.cmd. Confirme el cambio si se le solicita.
    7. Haga dos veces clic sobre el archivo FixSwen.cmd, y continúe con las instrucciones.

  6. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.

    Nota: Si al ejecutar la herramienta, se presenta un mensaje indicando que la herramienta no pudo eliminar uno o más archivos, tendrá que volver a ejecutar la herramienta en Modo a prueba de fallos. Apague la computadora, desconéctela de la energía eléctrica y espere 30 segundos. Reinicie la computadora en Modo a prueba de fallos y ejecute la herramienta nuevamente. Todos los sistemas operativos Windows a 32 bits pueden iniciar en Modo a prueba de fallos excepto Windows NT. Para mayor información, lea el documento Cómo iniciar su equipo en Modo seguro.
  7. Reinicie el equipo.
  8. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
  9. Si está utilizando Windows Me/XP, tendrá que volver a activar Restaurar sistema.
  10. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo está infectado por W32.Sobig.F@mm En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
  • El número total de archivos analizados.
  • El número de archivos eliminados.
  • El número de procesos víricos terminados.
  • El número de entradas de registro reparadas.
La firma digital

FixSwen.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FixSwen.exe descargadas directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó FixSwen.exe por ejemplo, C:\Descargas.
  3. Según el sistema operativo que ejecute, realice una de las siguientes acciones:
    • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y seleccione MS-DOS.

  4. Cambie a la carpeta donde almacenó los archivos FixSbigF.exe y Chktrust.exe y, entonces, escriba:

    chktrust -i FixSwen.exe

    Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los siguientes comandos:

    cd\
    cd descargas
    chktrust -i FixSwen.exe


    Presione la tecla INTRO después de cada comando. Si la firma digital es válida, aparecerá lo siguiente:

    Se pide su aprobación para instalar y ejecutar "W32.Swen.A@mm Removal Tool" firmada el 8/19/2003 11:58 y distribuida por Symantec Corporation.

    NOTAS:
    • La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a su zona horaria, siempre que el equipo no esté configurado según la zona horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la haya descargado del verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte el documento "How to restore the Publisher Authenticity confirmation dialog box." (este recurso se encuentre en idioma inglés).
  5. Haga clic en Sí para cerrar el cuadro de diálogo.
  6. Escriba Exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

La función Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455). de la base de conocimientos de Microsoft.

Resumen