1. /
  2. Security Response/
  3. W32.Spybot.Worm
  4. W32.Spybot.Worm

W32.Spybot.Worm - Eliminación

Nivel de riesgo2: Bajo

Detectado:
16 de Abril de 2003
Actualizado:
13 de Febrero de 2007 12:25:41 PM
También conocido como:
Worm.P2P.SpyBot.gen [Kaspersky, W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend], Win32.Spybot.gen [Computer Ass
Tipo:
Worm
Longitud de la infección:
various
Sistemas afectados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Las instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.
  1. Deshabilite Restaurar Sistema (Windows Me/XP).
  2. Actualice las definiciones de virus.
  3. Reinicie la computadora en Modo a prueba de fallos.
  4. Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados con W32.Spybot.Worm.
  5. Elimine el valor que se haya agregado al registro.
  6. Eliminar cualquier archivo con cero bytes en la carpeta de Inicio.

Para detalles específicos de cada uno de estos pasos, lea las siguientes instrucciones:

1. Deshabilitar Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.

Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar System Restore siguiendo las instrucciones antes mencionadas.

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.


2. Para actualizar definiciones de virus
Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:

  • Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
  • Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
    Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos d definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

3. Reinicie su computadora en Modo a prueba de fallos o modo VGA
  • Para usuarios con equipos Windows 95, 98, Me, 2000, o XP, reinicie la computadora en Modo a prueba de fallos. Para más información, consulte el documento Cómo iniciar su equipo en Modo seguro.
  • Para usuarios con Windows NT 4 , reinicie su computadora en modo VGA.

4. Búsqueda y eliminación de archivos infectados
5. Para invertir los cambios hechos en el registro

ADVERTENCIA: Symantec recomienda insistentemente que se haga una copia de respaldo del Registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Modifique sólo las claves que se indiquen. Las instrucciones para hacer la copia se detallan en el documento Cómo crear una copia de respaldo del Registro de Windows.
  1. Haga clic en Inicio y, después, en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)
  2. Escriba regedit

    A continuación, haga clic en Aceptar. (Se abrirá el Editor del Registro).

  3. Busque la clave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Del lado derecho de la ventana, elimine cualquier valor que haga referencia a los nombres de archivos que fueron detectados como infectados con W32.Spybot.Worm.

  5. Busque la siguiente clave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnce

  6. Del lado derecho de la ventan, elimine cualquier valor que haga referencia a los nombres de archivos que fueron detectados como infectados con W32.Spybot.Worm.

  7. Busque la siguiente clave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices

  8. Del lado derecho de la ventan, elimine cualquier valor que haga referencia a los nombres de archivos que fueron detectados como infectados con W32.Spybot.Worm.

  9. Busque la siguiente clave:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  10. Del lado derecho de la ventan, elimine cualquier valor que haga referencia a los nombres de archivos que fueron detectados como infectados con W32.Spybot.Worm.

  11. Salga del Editor de Windows.


6. Para eliminar los archivos con cero bytes de la carpeta de Inicio

Siga las instrucciones que correspondan a su versión de Windows:


Nota: Puede que existan archivos legítimos en su sistema que comiencen con "tftp." Elimine sólo los archivos que tengan cero bytes de tamaño.


Para eliminar los archivos con cero bytes en Windows 95/98/Me/NT/2000
  1. En la barra de Windows, haga clic en inicio > Buscar o Búsqueda > Archivos o carpetas.
  2. Asegúrese de que la unidad seleccionada en la opción Buscar en sea (C:) y de que la opción Incluir subcarpetas esté marcada.
  3. En el cuadro “Llamado” o “Buscar…”, escriba (o copie y pegue) el siguiente nombre de archivo:

    tftp*.*
  4. Haga clic en Buscar ahora.
  5. Elimine los archivos que tengan cero bytes y que los que se encuentren en cualquier carpeta cuyo nombre termine con "Startup".

Para eliminar los archivos con cero bytes en Windows XP
  1. En la barra de tareas de Windows, haga clic en Inicio > Buscar.
  2. Seleccione Todos los archivos y carpetas.
  3. En el cuadro Todo o parte del nombre de archivo escriba (o bien copie y pegue) el siguiente nombre de archivo:

    tftp*.*
  4. Asegúrese de que la unidad seleccionada en la opción “Buscar en” sea “Discos duros locales” o (C:).
  5. Haga clic en “Más opciones avanzadas”.
  6. Seleccione "Buscar en carpetas del sistema”.
  7. Seleccione “Buscar en subcarpetas”.
  8. Haga clic en Búsqueda.
  9. Elimine los archivos que tengan cero bytes y que los que se encuentren en cualquier carpeta cuyo nombre termine con "Startup".


Artículo de:Douglas Knowles
Resumen| Datos técnicos| Eliminación