1. /

W32.Zotob Removal Tool

Detectado:
15 de Agosto de 2005
Actualizado:
13 de Febrero de 2007 11:35:59 AM
Tipo:
Removal Information

Esta herramienta fue diseñada para eliminar infecciones causadas por:

Importante:
  • Si está trabajando en red o dispone de una conexión permanente a Internet, por ejemplo mediante DSL o cable, desconecte el equipo de la red, así como la conexión a Internet. Deshabilite los elementos compartidos o protéjalos mediante una contraseña, o bien compártalos como sólo lectura, antes de volver a conectar los equipos a la red o a Internet. Debido a que este gusano se dispersa a través de carpetas compartidas en redes de equipos, para asegurar que el gusano no vuelva a infectar el equipo una vez que haya sido eliminado, Symantec recomienda asignar recursos compartidos con acceso de Sólo lectura o protegidos por medio de una contraseña.

    Si desea instrucciones para realizar esto, consulte la documentación de Microsoft Windows o el documento: Configuración de las carpetas compartidas de Windows para obtener la máxima protección en la red.
  • Si no puede eliminar la infección desde la red, primero asegúrese de que no estén compartirlos los recursos de red o que cuenten con permisos de Sólo lectura.
  • Esta herramienta no está diseñada para ejecutarse sobre servidores Novell NetWare. Para eliminar esta amenaza de un servidor NetWare, asegúrese de contar con las definiciones de virus más recientes y ejecutar un análisis de completo de su equipo con su producto Symantec.


Cómo obtener y ejecutar la herramienta

Importante: Debe de contar con permisos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.

Información para administradores de red: Si cuenta con MS Exchange 2000 Server, le recomendamos excluir la unidad M del análisis de la herramienta, por medio del parámetro Exclude. Para obtener más información, por favor lea el artículo de la base de conocimientos de Microsoft: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Article 298924).

Siga estos pasos para descargar y ejecutar la herramienta:
  1. Descargue el archivo FixZotob.exe desde: http://securityresponse.symantec.com/avcenter/FixZotob.exe
  2. Guarde el archivo en una ubicación adecuada como, por ejemplo en el escritorio de Windows.
  3. Opcional: Con propósitos de seguridad, la herramienta está firmada digitalmente.

    Nota: Si está seguro de haber descargado la herramienta directamente del sitio Web de Symantec Security Response, puede omitir este paso. Si no está seguro de donde descargó la herramienta o usted es un administrador de red y necesita autenticar los archivos antes de utilizarlos, siga los pasos de la sección "La firma digital" antes de continuar con el paso 4.
  4. Cierre de todos los programas.
  5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red, así como la conexión a Internet.
  6. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
  7. Busque el archivo que acaba de descargar.
  8. Haga dos veces clic en el archivo FixZotob.exe para iniciar la herramienta de eliminación.
  9. Haga clic en Inicio para comenzar el proceso, y permitir la ejecución de la herramienta.
  10. Reinicie el equipo.
  11. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
  12. Si está utilizando Windows Me o XP, desactive Restaurar sistema.
  13. Si está trabajando en red o dispone de una conexión permanente a Internet, vuelva a conectar el equipo a la red, así como la conexión a Internet.
  14. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

Cuando haya finalizado la ejecución, verá un mensaje indicando si el equipo estaba infectado. La herramienta mostrará resultados similares a los siguientes:
  • El número total de archivos analizados
  • El número de archivos eliminados
  • El número de archivos reparados
  • El número de procesos víricos terminados
  • El número de entradas de registro reparadas

Utilidad de la herramienta

La herramienta de eliminación de realiza las siguientes tareas:
  1. Finaliza los procesos asociados
  2. Elimina los archivos infectados
  3. Elimina los valores del registro, agregados por la amenaza
  4. Restaura el servicio de Microsoft Windows, SharedAccess, a su valor predeterminado.


Parámetros

Los siguientes parámetros están diseñados para que puedan ser utilizados por los administradores de red:

Opción

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva la reparación del registro (no se recomienda el uso de este parámetro).

/SILENT, /S

Activa el modo silencioso.

/LOG=[ruta de acceso]

Crea un archivo de registro en el que <ruta de acceso> es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro FixZotob.log, en la misma carpeta desde la que se ejecute la herramienta de eliminación.

/MAPPED

Analiza las unidades de red asignadas. (No se recomienda el uso de este parámetro. Consulte la nota abajo).

/START

Obliga a la herramienta a iniciar inmediatamente el análisis.

/EXCLUDE=[ruta]

Excluye del análisis la <ruta> que se especifique. (No se recomienda el uso de este parámetro. Consulta la nota abajo).

/NOFILESCAN

Evita que los archivos de sistema sean analizados.


Importante: El uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos:
    • El análisis de unidades compartidas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, con lo que se producirían omisiones en la detección.
    • Si se encuentra un archivo infectado en la unidad asignada, el archivo no se puede eliminar si está siendo utilizado por otro programa.

Por lo tanto, se debe ejecutar la herramienta de forma local en todos los equipos.

El parámetro /EXCLUDE sólo funciona para una ruta, no para varias. Una alternativa es el uso del parámetro /NOFILESCAN y hacer una búsqueda manual en forma inmediata con AntiVirus. Esto permitirá a la herramienta alterar el registro. Después haga una búsqueda de virus con su antivirus actualizado con las definiciones de virus más recientes. Con estos pasos deberá haber limpiado los archivos del sistema.

A continuación se presenta un ejemplo con el parámetro "exclude" para trabajar en una unidad de disco sencilla:

"C:\Documents and Settings\usuario1\Escritorio\FixZotob.exe" /EXCLUDE=M:\ /LOG=c:\FixZotob.txt

En forma alterna la línea que a continuación se muestra omitirá el análisis de los archivos de sistema, pero reparará las modificaciones del registro. Después deberá hacer una búsqueda de virus en el sistema con las exclusiones correspondientes:

"C:\Documents and Settings\usuario1\Escritorio\FixZotob.exe" /NOFILESCAN /LOG=c:\FixZotob.txt


Nota: El archivo de registro puede guardarse con el nombre y en la ubicación que usted desee.



La firma digital

Con propósitos de seguridad, la herramienta está firmada digitalmente Symantec recomienda utilizar únicamente copias de la herramienta descargadas directamente del sitio Web de Symantec Security Response.

Si no está seguro del archivo o es un administrador de red y necesita autenticar el archivo antes de distribuirlo, deberá autenticar la firma digital.

Siga estos pasos:
  1. Vaya a http://www.wmsoftware.com/free.htm .
  2. Descargue y guarde el archivo Chktrust.exe en la misma carpeta en la que guardó la herramienta.

    Nota: La mayoría de los siguientes pasos se ejecutan desde la línea de comandos de DOS. Si descargó la herramienta de eliminación en el Escritorio de Windows, será más fácil si mueve el archivo a la unidad C. Posteriormente también guarde el archivo Chktrust.exe también en C.

    (El paso 3 considera que tanto el archivo de la herramienta de eliminación, así como el archivo Chktrust.exe se encuentran en la raíz de la unidad C).

  3. Haga clic en Inicio > Ejecutar.
  4. Realice una de estas acciones:
    • Windows 95/98/ME:

      command

    • Windows NT/2000/XP:

      cmd

  5. Haga clic en Aceptar.
  6. En la ventana de línea de comandos, escriba lo siguiente, presionando la tecla Intro después de cada línea:

    cd\
    cd descargas
    chktrust -i
    FixZotob.exe

  7. Verá uno de los siguientes mensajes, dependiendo de su sistema operativo:
    • Windows XP SP2:
      La Utilidad de validación de confianza aparecerá.

      Debajo de Publisher, haga clic en el vínculo Symantec Corporation. Los detalles de la Firma digital aparecerán.
      Verifique el contenido de los siguientes campos para asegurar que la herramienta sea auténtica:

      Nombre: Symantec Corporation
      Hora de firma: Miércoles, 17 de agosto de 2005 4:17:04 PM
    • Todos los demás sistemas operativos:
      Deberá aparecer el siguiente mensaje:

      Do you want to install and run "W32.Zotob Removal Tool" signed on 8/26/2005 12:13:58 PM and distributed by Symantec Corporation?

      Notas:
    • La fecha y la hora que aparecen en este cuadro de diálogo se basan en la zona horaria del Pacífico. Se adaptarán a su zona horaria de su equipo y la configuración de Opciones de la región.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec: No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la ha descargado desde el verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima: Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte el documento: Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor.

  8. Haga clic en o Ejecutar para cerrar el cuadro de diálogo.
  9. Escriba exit, y después presione la tecla Intro. De este modo, se cerrará la sesión de MS-DOS.


Resumen