1. /

W32.Gaobot Removal Tool

Detectado:
13 de Enero de 2004
Actualizado:
13 de Febrero de 2007 11:35:05 AM
Tipo:
Removal Information

Symantec Security Response ha desarrollado una herramienta que permite eliminar infecciones causadas por las siguientes variantes de W32.HLLW.Gaobot:


Nota: W32.HLLW.Gaobot.gen es una detección genérica de las variantes de W32.HLLW.Gaobot. La herramienta de eliminación remueve la mayoría de las variantes de W32.HLLW.Gaobot.gen, pero no todas.

Si la herramienta de eliminación no puede eliminar alguna variante de W32.HLLW.Gaobot.gen en un equipo infectado, siga las instrucciones del documento W32.HLLWGaobot.Gen.



Utilidad de la herramienta

La herramienta de eliminación de W32.Gaobot realiza las siguientes tareas:
  1. Termina todos los procesos virales y servicios de W32.HLLW.Gaobot.
  2. Elimina los archivos de W32.HLLW.Gaobot.
  3. Elimina los archivos copiados por el gusano en el equipo.
  4. Elimina los valores agregados en el registro por el gusano.
  5. Modifica el archivo hosts eliminando las líneas inválidas que evitan el acceso a diversos sitios Web de los fabricantes de antivirus.

Parámetros de línea de comandos disponibles para la herramienta


Parámetros

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva la reparación del registro (el uso de este parámetro no es recomendable).

/SILENT, /S

Activa el modo silencioso.

/LOG=<path name>

Crea un archivo de registro; <nombre de ruta> es la ubicación en que se almacenan los resultados de la herramienta. de forma predeterminada, este parámetro genera el archivo de registro FxGaobot.log en la misma carpeta desde la que se ejecute la herramienta de eliminación.

/MAPPED

Analiza las unidades de red asignadas (el uso de este parámetro no es recomendable; consulte las notas).

/START

Obliga a la herramienta a iniciar el análisis inmediatamente.

/EXCLUDE=<path>

Excluye del análisis la <ruta> especificada (el uso de este parámetro no es recomendable).

/NOFILESCAN

Evita el análisis de los archivos de sistema.


NOTA: el uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos:
  • El análisis de unidades asignadas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, por lo que se producirían omisiones en la detección.
  • Si se hallara un archivo infectado en la unidad asignada, no se podría llevar a cabo la eliminación de dicho archivo si otro programa lo estuviese usando.

Por estos motivos, se debe ejecutar la herramienta de forma local en todos los equipos.



Para obtener y ejecutar la herramienta


Nota: Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.


  1. Realice la descarga del archivo FxGaobot.exe de:

    http://securityresponse.symantec.com/avcenter/FxGaobot.exe.

  2. Guarde el archivo en un lugar conveniente, como la carpeta de descargas, el área de trabajo de Windows o en un disquete que no esté infectado, si es posible.
  3. Para verificar la autenticidad de la firma digital, vea la sección La firma digital.
  4. Cierre todos los programas antes de ejecutar la herramienta.
  5. Si usted está en red o tiene una conexión permanente a Internet, desconecte su computadora.
  6. Si está usando Windows ME o XP, desactive la Restauración del Sistema. Para obtener más detalles, vea la sección Opción Restauración del Sistema en Windows ME o XP.

    NOTA: Si está usando Windows ME/XP recomendamos, enfáticamente, no omitir ese paso.
  7. Haga clic dos veces en el archivo FxGaobot.exe para ejecutar la herramienta de eliminación.
  8. Haga clic en Start (Inicio) para comenzar el proceso y deje que la herramienta se ejecute.


    Nota: Si al ejecutar la herramienta se presenta un mensaje indicando que la herramienta no pudo eliminar uno o más archivos, deberá ejecutar la herramienta en modo seguro o modo a prueba de fallos. Apague el equipo, retire el cable de energía y espere 30 segundos. Reinicie el equipo en modo a prueba de fallos y ejecute la herramienta de nuevo. Todos los sistemas operativos Windows basados en 32-bits, pueden iniciar en modo a prueba de fallos con excepción de Windows NT. Si desea más información, sobre como iniciar su equipo en modo a prueba de fallos, por favor lea el documento Cómo iniciar su equipo en Modo seguro.

  9. Reinicie la computadora.
  10. Ejecute la herramienta de eliminación una vez más para asegurarse de que el sistema esté limpio.
  11. Si está usando Windows ME o XP, reactive la Restauración del Sistema.
  12. Ejecute el LiveUpdate para asegurarse de tener las definiciones de virus más actualizadas.

    NOTA: El procedimiento de remoción puede no funcionar si la Restauración del Sistema de Windows ME/XP no está desactivada como indicamos anteriormente porque Windows impide que se hagan alteraciones en la Restauración del Sistema desde programas externos. Por ese motivo, la herramienta de remoción puede fallar.
Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo está infectado por W32.HLLW.Gaobot. En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
  • El número total de archivos analizados.
  • El número de archivos eliminados.
  • El número de procesos víricos terminados.
  • El número de entradas de registro reparadas.
  • El número de procesos y servicios virales detenidos.

La firma digital
FxGaobot.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FxGaobot.exe descargadas directamente del sitio Web de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm. (Este recurso se encuentra en inglés.)
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó FxGaobot.exe (por ejemplo, C:\Descargas).
  3. Según el sistema operativo que ejecute, realice una de las siguientes acciones:
    • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y seleccione MS-DOS.
  4. Cambie a la carpeta donde almacenó los archivos FxGaobot.exe y Chktrust.exe y escriba:

    chktrust -i FxGaobot.exe

    Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los siguientes comandos:

    cd\
    cd descargas
    chktrust -i FxGaobot.exe

    Presione INTRO después de cada comando. Si la firma digital es válida, aparecerá lo siguiente:

    "Se pide su aprobación para instalar y ejecutar "W32.HLLW.Gaobot Fix Tool" firmado el 02/17/2005 a las 7:45 PM PST y distribuido por Symantec Corporation."


    Nota
    • La fecha y la hora de este cuadro de diálogo se ajustarán a su zona horaria cuando su equipo no esté configurado a la zona horaria del Pacífico.
    • Si está en vigencia el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la ha descargado desde el verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre el tema y ver nuevamente el cuadro de diálogo de confirmación, consulte el documento "Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor".
  5. Haga clic en Sí para cerrar el cuadro de diálogo.
  6. Escriba exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

La función Restaurar sistema de Windows ME/XP
Los usuarios de Windows ME y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra activada de forma predeterminada, la emplean Windows ME/XP para restaurar los archivos de los equipos cuando estos sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema.

De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema, incluyendo los programas antivirus. Por lo tanto, los programas o herramientas antivirus no pueden eliminar las amenazas que se encuentren en la carpeta Restaurar sistema. Como resultado, Restaurar sistema es potencialmente capaz de restaurar un archivo infectado en su equipo, incluso después de que se hayan limpiado los archivos infectados de todos los otros lugares.

Además, en algunos casos, los escáneres en línea pueden detectar una amenaza en la carpeta Restaurar sistema, aún cuando se haya analizado el equipo con un programa antivirus y no se hayan encontrado archivos infectados.

Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos: Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo "Las herramientas antivirus no pueden limpiar los archivos infectados de la carpeta _Restore" de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.


Cómo ejecutar la herramienta desde un disquete
  1. Introduzca el disquete que contiene el archivo W32.HLLW.Gaobot en la unidad de disquetes.
  2. Haga clic en Inicio y seleccione Ejecutar.
  3. Escriba la siguiente cadena y haga clic en Aceptar.

    a:\FxGaobot.exe


    NOTAS:
    • No inserte ningún espacio en el comando, a:\FxGaobot.exe.
    • Si utiliza Windows Me y la función Restaurar sistema permanece activada, aparecerá un mensaje de advertencia. Puede escoger entre ejecutar la herramienta de eliminación con la función Restaurar sistema activada o cerrar la herramienta.

  4. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
  5. Si está utilizando Windows Me, active otra vez Restaurar sistema.


Resumen