1. /
  2. Security Response/
  3. W32.Brid.A@mm/W32.Funlove.4099 Removal Tool
  4. W32.Brid.A@mm/W32.Funlove.4099 Removal Tool

W32.Brid.A@mm/W32.Funlove.4099 Removal Tool

Detectado:
15 de Noviembre de 2002
Actualizado:
13 de Febrero de 2007 11:34:16 AM
Tipo:
Removal Information


Utilidad de la herramienta

La herramienta de eliminación de W32.Brid.A@mm/W32.Funlove.4099 realiza lo siguiente:
  1. Termina todos los procesos virales en memoria de W32.Brid.A@mm y de W32.Funlove.4099.
  2. Detiene los servicios de FunLove.
  3. Elimina los archivos de W32.Brid.A@mm o de W32.Funlove.int.
  4. Repara los archivos infectados por W32.Funlove.4099, si es posible repararlos. En caso contrario, los archivos son eliminados.
  5. Elimina los valores agregados en el registro por el gusano.
  6. Inocula el equipo, en cso de posibles re-infecciones de W32.Funlove.4099.


Notas:
  • Si elimina esta amenaza manualmente o por medio de la herramienta de eliminación en equipos con Windows 98/Me, seguramente el gusano sobreescribió el archivo Msconfig.exe. Aunque este archivo no es necesario para el funcionamiento de Windows, es bastante útil y debería ser reestablecido por una copia de los archivos de instalación. Consulte su documentación de Windows para recibir instruciones de como recuperarlo.
  • Nos han llegado algunos reportes, no confirmados, de que el Editor del registro de Windows (Regedit.exe) no funciona después de una infección. En tal caso, reemplace el archivo Regedit.exe de la misma manera que lo hizo para el archivo Msconfig.exe.



Parámetros de línea de comandos disponibles para la herramienta


Parámetros

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva la reparación del registro (el uso de este parámetro no es recomendable).

/SILENT, /S

Activa el modo silencioso.

/LOG=[nombre de ruta]

Crea un archivo de registro; [nombre de ruta] es la ubicación en que se almacenan los resultados de la herramienta. de forma predeterminada, este parámetro genera el archivo de registro Fixbrid.log en la misma carpeta desde la que se ejecute la herramienta de eliminación.

/MAPPED

Analiza las unidades de red asignadas (el uso de este parámetro no es recomendable; consulte las notas).

/START

Obliga a la herramienta a iniciar el análisis inmediatamente.

/EXCLUDE=[ruta]

Excluye del análisis la [ruta] especificada (el uso de este parámetro no es recomendable).

/NOFILESCAN

Evita el análisis de los archivos de sistema.



NOTA: el uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos:
  • El análisis de unidades asignadas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, por lo que se producirían omisiones en la detección.
  • Si se hallara un archivo infectado en la unidad asignada, no se podría llevar a cabo la eliminación de dicho archivo si otro programa lo estuviese usando.
  • Ambos gusanos se mantienen residentes en memoria. La herramienta d eeliminación no puede terminar estos procesos de manera remota.

Por estos motivos, se debe ejecutar la herramienta de forma local en todos los equipos.



Para obtener y ejecutar la herramienta


Nota: Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.

  1. Realice la descarga del archivo Fixbrid.com de: http://securityresponse.symantec.com/avcenter/Fixbrid.com.
  2. Guarde el archivo en un lugar conveniente, como la carpeta de descargas, el área de trabajo de Windows o en un disquete que no esté infectado, si es posible.
  3. Para verificar la autenticidad de la firma digital, vea la sección La firma digital.
  4. Cierre todos los programas antes de ejecutar la herramienta.
  5. Si usted está en red o tiene una conexión permanente a Internet, desconecte su computadora.
  6. Si está usando Windows ME o XP, desactive la Restauración del Sistema. Para obtener más detalles, vea la sección Opción Restauración del Sistema en Windows ME o XP.

    Nota: Si está usando Windows ME/XP recomendamos, enfáticamente, no omitir ese paso.
  7. Haga clic dos veces en el archivo Fixbrid.com para ejecutar la herramienta de eliminación.
  8. Haga clic en Start (Inicio) para comenzar el proceso y deje que la herramienta se ejecute.
  9. Reinicie la computadora.
  10. Ejecute la herramienta de eliminación una vez más para asegurarse de que el sistema esté limpio.
  11. Si está usando Windows ME o XP, reactive la Restauración del Sistema.
  12. Ejecute el LiveUpdate para asegurarse de tener las definiciones de virus más actualizadas.

    Nota: El procedimiento de remoción puede no funcionar si la Restauración del Sistema de Windows ME/XP no está desactivada como indicamos anteriormente porque Windows impide que se hagan alteraciones en la Restauración del Sistema desde programas externos. Por ese motivo, la herramienta de remoción puede fallar.
Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo está infectado por W32.Brid.A@mm, W32.Funlove.4099 o W32.Funlove.int. En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:

  • El número total de archivos analizados.
  • El número de archivos eliminados.
  • El número de procesos víricos terminados.
  • El número de entradas de registro reparadas.
La firma digital
Fixbrid.com está firmado digitalmente. Symantec recomienda utilizar únicamente copias de Fixbrid.com descargadas directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó Fixbrid.com por ejemplo, C:\Descargas.
  3. Según el sistema operativo que ejecute, realice una de las siguientes acciones:
    • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y seleccione MS-DOS.

  4. Cambie a la carpeta donde almacenó los archivos Fixbrid.com y Chktrust.exe y, entonces, escriba:

    chktrust -i Fixbrid.exe

    Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los siguientes comandos:

    cd\
    cd descargas
    chktrust -i Fixbrid.exe


    Presione la tecla INTRO después de cada comando. Si la firma digital es válida, aparecerá lo siguiente:

    Se pide su aprobación para instalar y ejecutar "W32.Brid Removal Tool" firmada el 11/15/2002 a las 4:09 PM y distribuida por Symantec Corporation.

    Notas:
    • La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a su zona horaria, siempre que el equipo no esté configurado según la zona horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la haya descargado del verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte el documento Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor.
  5. Haga clic en Sí para cerrar el cuadro de diálogo.
  6. Escriba Exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

La función Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455). de la base de conocimientos de Microsoft.

Para ejecutar la herramienta desde un disquete
  1. Introduzca el disquete que contiene el archivo FixLGate.exe en la unidad de disquetes.
  2. Haga clic en Inicio y luego en Ejecutar.
  3. Escriba lo siguiente:

    a:\fixbrid.com

    y luego haga clic en Aceptar.


    Nota: No inserte ningún espacio en el comando a:\fixbrid.com

  4. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
  5. Si está utilizando Windows Me, tendrá que volver a activar Restaurar sistema.



Resumen