|||
Symantec.com > Security Response > Backdoor.SubSeven
IMPRIMIR ESTA PÁGINA

Backdoor.SubSeven - Eliminación

Nivel de riesgo 1: Muy bajo

Página de impresión

Detectado: 6 de Junio de 1999
Actualizado: 13 de Febrero de 2007 11:52:38 AM
Tipo: Caballo de Troya
Longitud de la infección: Varies
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP


Para eliminar BackDoor.Subseven, siga los siguientes pasos:

NOTA: Estas instrucciones de eliminación corresponden a las versiones de BackDoor.Subseven y son revisadas constantemente por el personal de Soporte Técnico de Symantec. La versión original de BackDoor.Subseven no tiene un nombre de archivo aleatorio y hace diferentes cambios al sistema.

Aunque nuestro Soporte Técnico de Symantec no ha recibido reportes de la versión original, de alguna manera estamos informados sobre de él, lo que hace saber que es posible de la existencia de esta amenaza y de que los equipos que no estén protegidos pueden infectarse por este virus. Si la información de este documento no soluciona esta situación, por favor revise la información al final del documento en la sección “Instrucciones de eliminación para versiones anteriores de Backdoor.Subseven.

Para eliminar Backdoor.Subseven, haga lo siguiente:
  • Ejecute LiveUpdate para estar seguro de que dispone de las definiciones de virus más recientes.
  • Haga una búsqueda completa de virus, asegurándose de que Norton Antivirus está configurado para analizar todos los archivos.
  • Haga una copia del archivo Regedit.exe con la extensión .com, si es necesario.
  • Elimine las referencias agregadas a los archivos Win.ini y System.ini (en computadoras con Windows 95/98/Me).
  • Elimine las referencias agregadas al registro de Windows.

Para ver las instrucciones en forma detallada, vea las siguientes secciones:

NOTAS:
  • El procedimiento que se describe en este documento es complejo y presupone que el usuario está familiarizado con los procedimientos básicos de Windows y MS-DOS. Si no es así, le recomendamos que recurra a los servicios de personal informático cualificado.
  • Este es un creador del archivo aleatorio. Vamos a utilizar el ejemplo del archivo Eutccec.ece en este documento. Sustituya este nombre aleatorio por el que se encuentre en su sistema.

Para ejecutar LiveUpdate y hacer un análisis con Norton AntiVirus
Ejecute LiveUpdate y un análisis completo del sistema. Asegúrese de que Norton AntiVirus (NAV) esté configurado para analizar todos los archivos.

NOTA: Si no le es posible hacer esto, debido a que no puede ejecutar programas, vaya a la sección titulada “Para copiar Regedit.exe a Regedit.com” de ser necesario pase a la sección “Para editar el registro y eliminar los cambios hechos por el gusano”.

Para copiar Regedit.exe a Regedit.com:
Puesto que el gusano ha modificado el registro de forma que no se puedan ejecutar los archivos .exe, primero debe hacer una copia del Editor del Registro como un archivo con la extensión .com y, a continuación, ejecutarlo.
  1. Realice uno de los pasos que siguen, dependiendo del sistema operativo que esté ejecutando:
    • Usuarios con Windows 95/98: Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    • Usuarios con Windows Me: Haga clic en Inicio, coloque el puntero del ratón en Programas, después en Accesorios y luego haga clic en MS-DOS.
    • Usuarios con Windows NT/2000/XP:
      1. Haga clic en Inicio y luego en Ejecutar.
      2. Escriba lo siguiente y presione INTRO:

        command

        Se abrirá una ventana DOS.

      3. Escriba lo siguiente y presione INTRO:

        cd \winnt
      4. Vaya al próximo paso.

  2. Escriba lo siguiente y presione INTRO:

    copy regedit.exe regedit.com
  3. Escriba lo siguiente y presione INTRO:

    start regedit.com
  4. Proceda con la sección Para editar el registro y eliminar las claves y cambios que ha realizado el gusano, sólo después de haber completado los pasos anteriores.

NOTAS:
  • Se abrirá el Editor del Registro de configuraciones delante de la ventana de DOS. Cuando termine de editar el registro y cierre el editor de registro, cierre la ventana de DOS.
  • Una vez que se haya eliminado satisfactoriamente el BackDoor.Subseven, puede eliminar el archivo regedit.com.
    Para editar el registro y eliminar las claves y los cambios que ha realizado el gusano:

    ADVERTENCIA: es muy recomendable hacer una copia de respaldo del registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Asegúrese de modificar sólo las claves señaladas. Si desea obtener más información acerca de cómo crear copias de respaldo del registro, lea el documento, "Cómo hacer una copia de respaldo del registro de Windows," antes de continuar con los siguientes pasos. Si no está seguro de llevar este proceso a cabo, no lo haga. En tal caso, consulte a un técnico informático que pueda facilitarle más información.
    1. Abra el Editor de Registro, si es necesario:
      • Si realizó las acciones de la sección anterior, el Editor de Registro se encuentra aún abierto. Pase al paso número 4.
      • Si no fue necesario llevar a cabo el proceso de la sección anterior, entonces proceda con el paso número 2.
    2. Haga clic en Inicio y luego en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)
    3. Escriba regedit y, después, haga clic en Aceptar. (Se abrirá el Editor del Registro.)
    4. Desplácese hasta la siguiente clave y selecciónela:

      HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

      ADVERTENCIA: No haga cambios en forma inadvertida en la subclave HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe Los cambios que se realicen pueden provocar que los archivos .exe (de algún programa) no se ejecuten. Asegúrese de encontrar la subclave HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command subkey como se muestra en la siguiente figura:




    5. Haga doble clic en el valor (Default), que aparece en el panel de la derecha.
    6. Elimine este valor y escriba: "%1" %* (comillas-por ciento-uno-comillas-espacio-por ciento-asterisco).

      NOTA: El Editor de Registro pondrá el valor entre comillas automáticamente. Cuando haga clic en Aceptar, el valor (Default) debe verse exactamente como sigue: ""%1" %*"
        Asegúrese de eliminar por completo todos los valores de la clave de comandos antes de escribir los datos correctos. Si accidentalmente se deja un espacio al principio de la entrada, al ejecutar los archivos de programa, aparecerá un mensaje de error del tipo "Windows no ha podido encontrar .exe" o "No se puede encontrar C:\ <ruta y nombre de archivo>". En ese caso, vuelva al principio de este documento y empiece otra vez. Asegúrese de eliminar completamente los valores que aparezcan.

        1. Vaya a la siguiente clave y selecciónela:

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


        2. En el panel del lado derecho, busque en la columna Nombre y elimine cualquiera de los siguientes valores que encuentre:

        WINLOADER
        Win32nt
        Win32.Bin
        WinCrypt
        WinProtect
        Win
        xTnow
        Ayespie
        PowerSaveMonitor
        rundll32
        winsys32.exe
        sys32.exe

        NOTA: Pueden aparecer otros valores que no están en esta lista. Eliminar los valores en esta ubicación no impide la ejecución de programas; sólo impide el inicio automático cuando inicia Windows.

        3. Vaya a la siguiente clave y selecciónela:

        HKEY_LOCAL_MACHINE\Software\Microsoft\
        Windows\CurrentVersion\RunServices

        4. En el panel del lado derecho, busque en la columna Nombre y elimine cualquiera de los siguientes valores que encuentre:

        WINLOADER
        Win32nt
        Win32.Bin
        WinProtect
        Win
        xTnow
        Ayespie
        PowerSaveMonitor
        rundll32

        NOTA: Pueden aparecer otros valores que no están en esta lista. Eliminar los valores en esta ubicación no impide la ejecución de programas; sólo impide el inicio automático cuando inicia Windows.

        5. Salga del Editor del Registro.

      Para editar los archivos de arranque de Windows
      Esto sólo es necesario si su sistema operativo es Windows 95/98/Me.

      Nota dirigida sólo a los usuarios de Windows ME: Debido al proceso de protección de archivos en Windows ME, existe una copia de respaldo del archivo que se dispone a editar en la carpeta C:\Windows\Recent. Le recomendamos que elimine este archivo antes de continuar con los pasos que se describen en esta sección. Para hacerlo con el Explorador de Windows, vaya a C:\Windows\Recent, seleccione el archivo Win.ini en el panel de la derecha y elimínelo. Se volverá a generar como una copia del archivo que va a editar, una vez que se guarden los cambios en ese archivo.
      1. Haga clic en Inicio y luego en Ejecutar.
      2. Escriba lo siguiente y haga clic en Aceptar.

        edit c:\windows\win.ini

        (Se abrirá el editor de MS-DOS.)

        NOTA: si su versión de Windows está instalada en otra unidad, asegúrese de utilizar la letra de dicha unidad.

        ADVERTENCIA: Con los pasos que se proporcionan para eliminar el texto de las líneas load= y run= del archivo Win.ini. Si usted, anteriormente estaba utilizando programas que pudieran cargarse al inicio de estas líneas. El Troyano agrega líneas como son load load=c:\windows\temp\pkg2350.exe or run=hpfsched <blank spaces> msrexe.exe. ( En este ejemplo, hpfsched es un programa, pero msrexe.exe es parte del Troyano. También puede modificar la linea shell=, por ejemplo: shell=explorer.exe pwrsvm.exe.

        Si está seguro que el contenido de esas líneas es el que usa en condiciones normales, le sugerimos no los elimine. Si no está seguro, y el texto no hace referencia a los nombres de los archivos mostrados, puede impedir la carga de estos archivos agregando un punto y coma como primer carácter de la línea.

        Por ejemplo:

        ; run=accounts.exe
      3. Busque la línea load= dentro de la sección [windows] del archivo Win.ini, que se encuentra al inicio del archivo.
      4. Coloque el cursor justo a la derecha del signo igual.
      5. Presione las teclas MAYÚS+FIN para seleccionar todo el texto a la derecha del signo igual y, a continuación, presione SUPR.
      6. Repita los pasos 4 y 5 para la línea run=, que normalmente se encuentra debajo de la línea load=.
      7. Cierre la ventana Win.ini y haga clic en Sí cuando le sea solicitado, guardar los cambios.
      8. Busque la línea shell=explorer.exe dentro de la sección [boot] del archivo Win.ini, que se encuentra al inicio del archivo
      9. Coloque el cursor justo a la derecha de Explorer.exe.
      10. Presione MAYÚS+FIN para seleccionar todo el texto a la derecha de Explorer.exe y, a continuación, presione SUPR.
      11. Cierre la ventana Win.ini y haga clic en Sí cuando le sea solicitado, guardar los cambios.

        NOTA: Algunos equipos pueden mostrar una entrada distinta a Explorer.exe después shell=. En ese caso, significa que se está utilizando una versión alternativa del entorno de Windows y se debe cambiar la línea anterior por shell=explorer.exe por el momento. Ésta puede volver a cambiarse para reflejar el entrono preferido una vez finalizado el procedimiento.
      12. Haga clic en Archivo y, después, en Salir. Haga clic en Sí cuando se le pregunte si desea guardar los cambios.
      13. Haga clic en Inicio, coloque el cursor sobre Configuración y, a continuación, sobre Panel de control.
      14. Haga doble clic en el icono Pantalla.
      15. Haga clic en la pestaña de Protector de pantalla y cambie el que se encuentre seleccionado. Si está seleccionado (Ninguno), entonces seleccione cualquiera de los protectores de pantalla. Lo importante es hacer un cambio en la configuración.
      16. Haga clic en Aceptar y cierre el Panel de control.

      Este es un complemento del proceso de eliminación. Incluso si usted hizo esto previamente, inicie NAV y haga un análisis completo del sistema. Elimine cualquier archivo que se encuentre infectado con Backdoor.Subseven. Cuando termine, reinicie la computadora.

      Instrucciones para eliminar versiones anteriores de Backdoor.Subseven

      ADVERTENCIA: Siga estas instrucciones sólo en caso de que las instrucciones anteriores no hayan eliminado el Troyano.

      Para eliminar este Troyano, necesita hacer lo siguiente:
      1. Reinicie el equipo en Modo a prueba de fallos.
      2. Elimine las siguientes llaves de registro que el Troyano deposito ahí.

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Traylcon
      3. Reinicie en modo MS-DOS y elimine el archivo \Windows\Systemtrayicon.exe file.
      4. Vuelva a iniciar Windows y renombre el archivo Watching.dll.

      A continuación se detallan estos pasos.

      Reinicie el equipo en Modo A prueba de fallos
      Antes de editar el registro de Windows, necesita reiniciar en Modo a prueba de fallos. Este proceso puede llevarse varios minutos.

      NOTA: En Modo A prueba de fallos, Windows emplea valores predeterminados: monitor VGA, sin conexión a la red, el controlador del ratón de Microsoft y los controladores de dispositivos mínimos para ejecutar Windows. No podrá tener acceso a las unidades de CD-ROM, a las impresoras ni a los demás dispositivos.
      • Windows 95:
        1. Salga de todos los programas.
        2. Haga clic en Inicio y, después, en Apagar el sistema. Aparecerá el cuadro de diálogo Cerrar Windows.
        3. Marque la opción Apagar el sistema y haga clic en Aceptar.
        4. Haga clic en Sí para confirmar la eliminación.
        5. Desconecte el equipo (si fuera necesario) y espere treinta segundos.

          NOTA: debe desconectar el equipo de la corriente eléctrica para eliminar el virus de la memoria. Do not use the Reset button.
        6. Encienda el equipo.
        7. Cuando aparezca el mensaje "Iniciando Windows 95", presione F8 y se mostrará el menú de inicio de Windows 95.
        8. Presione el número que corresponda al modo A prueba de fallos y, después, presione INTRO. De esta forma, Windows se iniciará en este modo.

      • Windows 98:
        1. Haga clic en Inicio y luego en Ejecutar.
        2. Escriba msconfig y, después, haga clic en Aceptar. Aparecerá el cuadro de diálogo Programa de configuración del sistema.
        3. En la ficha General, haga clic en el botón Avanzado.
        4. Marque la casilla Activar Menú de inicio y haga clic en Aceptar dos veces.
        5. Salga de todos los programas.
        6. Haga clic en Inicio y, después, en Apagar el sistema. Aparecerá el cuadro de diálogo Cerrar Windows.
        7. Marque la opción Apagar el sistema y haga clic en Aceptar.
        8. Haga clic en Sí para confirmar la eliminación.
        9. Apague el equipo y espere 30 segundos.

          NOTA: debe desconectar el equipo de la corriente eléctrica para eliminar el virus de la memoria. No utilice el botón de reinicio de la computadora.
        10. Encienda el equipo y espere a que aparezca el menú de inicio de Microsoft Windows 98.
        11. Presione el número que corresponda al modo A prueba de fallos y, después, presione INTRO. De esta forma, Windows se iniciará en este modo.
      Para editar el registro
      Siga estos pasos para eliminar la entrada que el virus ha añadido al registro.

      ADVERTENCIA: es muy recomendable hacer una copia de respaldo del registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Asegúrese de modificar sólo las claves señaladas. Consulte el documento Cómo hacer una copia de respaldo del registro de Windows, antes de continuar.
      1. Haga clic en Inicio y luego en Ejecutar.
      2. Escriba exit y presione INTRO.
      3. Váya y seleccione la siguiente subclave:

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      4. En el panel del lado derecho, seleccione SystemTrayIcon, presione SUPR y haga clic en Sí para confirmar la acción.

        NOTAS:
        • El programa a ejecutarse puede tener diferentes nombres. SystemTrayIcon es solo un nombre que el programa usa.
        • Asegúrese de eliminar SystemTrayIcon, y no SystemTray (vea la siguiente ilustración)




      5. Salga del Editor del Registro.

      Para reiniciar la computadora en modo MS-DOS
      Siga Los siguientes pasos para iniciar la computadora en modo MS-DOS.
      • Windows 95:
        1. Salga de todos los programas.
        2. Haga clic en Inicio y, después, en Apagar el sistema. Aparecerá el cuadro de diálogo Cerrar Windows.
        3. Marque la opción Apagar el sistema y haga clic en Aceptar.
        4. Haga clic en Sí para confirmar la eliminación.
        5. Desconecte el equipo (si fuera necesario) y espere treinta segundos.

          NOTA: debe desconectar el equipo de la corriente eléctrica para eliminar el virus de la memoria. No utilice el botón de reinicio de la computadora.
        6. Encienda el equipo.
        7. Cuando aparezca el mensaje "Iniciando Windows 95", presione F8 y se mostrará el menú de inicio de Windows 95.
        8. Presione el número que corresponda al modo A prueba de fallos y, después, presione INTRO. De esta forma, Windows se iniciará en este modo.
      • Windows 98:
        1. Haga clic en Inicio y luego en Ejecutar.
        2. Escriba msconfig y, después, haga clic en Aceptar. Aparecerá el cuadro de diálogo Programa de configuración del sistema.
        3. En la ficha General, haga clic en el botón Avanzado.
        4. Marque la casilla Activar Menú de inicio y haga clic en Aceptar dos veces.
        5. Salga de todos los programas.
        6. Haga clic en Inicio y, después, en Apagar el sistema. Aparecerá el cuadro de diálogo Cerrar Windows.
        7. Marque la opción Apagar el sistema y haga clic en Aceptar.
        8. Haga clic en Sí para confirmar la eliminación.
        9. Apague el equipo y espere 30 segundos.

          NOTA: debe desconectar el equipo de la corriente eléctrica para eliminar el virus de la memoria. No utilice el botón de reinicio de la computadora.
        10. Encienda el equipo y espere a que aparezca el menú de inicio de Microsoft Windows 98.
        11. Presione el número que corresponda al modo A prueba de fallos y, después, presione INTRO. Windows will start in Safe mode.
      Para eliminar un archivo
      Siga estos pasos para eliminar la entrada que el Troyano ha añadido en su computadora.
      1. Escriba lo siguiente y presione INTRO:

        cd windows
      2. Escriba lo siguiente y presione INTRO:

        del systemtrayicon.exe
      3. Para reiniciar Windows, escriba lo siguiente y presione INTRO:

        exit
      4. Después de volver a iniciar Windows, continúe con la sección siguiente.
      Para cambiar el nombre de un archivo
      Existe una mínima posibilidad de que el archivo Watching.dll pueda ser un archivo legitimo de otra aplicación, le sugerimos seguir los siguientes pasos para cambiar su nombre.
      1. Haga clic en Inicio, coloque el puntero sobre Buscar y, a continuación, haga clic en Archivos o carpetas.
      2. Escriba en el cuadro de diálogo, lo siguiente, haga clic en Buscar ahora.

        Watching.dll
      3. Cuando se muestren los resultados de la búsqueda, haga clic con el botón derecho sobre el archivo encontrado (se debe de encontrar en la carpeta \Windows\System) y haga clic en Cambiar el nombre.
      4. Cambie el nombre por Watching.bkp y presione Intro.

        NOTA: Si está seguro que ninguno de los programas instalados, hace uso del archivo, usted lo puede eliminar.
      5. Cierre la ventana Buscar archivos.
      El Troyano Backdoor.Subseven ha sido eliminado.

      Artículo de: George Koris
      Norton 360 Versión 3.0
      ©1995 - 2009 Symantec Corporation
      Mapa del sitio|
      Nota legal|
      Política de privacidad|
      Contáctenos|
      Sitios mundiales|
      Acuerdos de licencia