W32.Welchia.Worm - Eliminación

Eliminación de W32.Welchia.Worm utilizando la herramienta de eliminación
Symantec Security Response ha creado una herramienta de eliminación para W32.Welchia.Worm, el uso de la herramienta es la forma más sencilla de eliminar esta amenaza.

Procedimiento de eliminación manual
Como una alternativa, usted puede eliminar esta amenaza en forma manual.
Las instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.

1. Deshabilite Restaurar Sistema (Windows XP).
2. Actualice las definiciones de virus.
3. Reinicie la computadora y finalice los servicios del gusano.
4. Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados con W32.Welchia.Worm.
5. Elimine los valores agregados al registro de windows.
6. Elimine el archivo Svchost.exe.
   

Para detalles específicos de cada uno de estos pasos, lea las siguientes instrucciones:

1. Deshabilitar Restaurar sistema de Windows XP
Los usuarios de Windows Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

• Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.

2. Para actualizar definiciones de virus
Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:

• Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
• Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
  Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos d definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

3. Reinicie la computadora y finalice los servicios del gusano

Windows 95/98/Me
Reinicie la computadora en Modo a prueba de fallos. Todos los sistemas operativos a 32 bits, excepto Windows NT, pueden ser reiniciados en modo a prueba de fallos.Para mayor información, consulte el documento Cómo iniciar su equipo en Modo seguro.

Windows NT/2000/XP
Para detener los servicios del gusano:
1. Abra los servicios en Herramientas administrativas, que están dentro del Panel de control.
2. Busque en la lista del lado derecho por los siguientes nombres:
   • Conexiones compartidas de red (Network Connections Sharing en inglés)
   • Cliente WINS (WINS Client en inglés)
3. Si encuentra estos servicios, de un clic con el botón derecho sobre de ellos y después haga clic en Detener.
4. Salga de la ventana de Servicios.
   

4. Para buscar y eliminar los archivos infectados
Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.

• Para productos de consumidor Norton AntiVirus: Lea el documento, "Cómo configurar Norton Antivirus para que analice todos los archivos."
• Para productos Symantec AntiVirus Enterprise: Lea el documento, "Cómo averiguar si un producto antivirus empresarial de Symantec está configurado para analizar todos los archivos."
  

1. Ejecute una búsqueda completa de virus.
2. Sí se detecta algún archivo infectado por W32.Welchia.Worm, haga clic en Eliminar.

5. Elimine los valores agregados al registro de Windows

---

PRECAUCION: Symantec recomienda enfáticamente que haga un respaldo de su registro de Windows antes de hacer cualquier cambio. La modificación incorrecta puede provocar la pérdida de datos o corromper archivos de forma permanente. Haga las modificaciones sólo en las llaves especificas. Lea el documento, "Cómo hacer una copia de respaldo del registro de Windows".

---

1. Haga clic en Inicio y después clic en Ejecutar. (El cuadro de diálogo de Ejecutar aparece.)
2. Escriba regedit
   
   Después haga clic en Aceptar. (Se abre el Editor de Registro.)
   
3. Navegue a la llave:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
   
   
4. Elimine las sub claves:
   
   RpcPatch
   
   y:
   
   RpcTftpd
   
   
5. Cierre el Editor de Registro.

6. Para eliminar el archivo Svchost.exe
Busque la carpeta %System%\Wins y elimine el archivo Svchost.exe.

Datos técnicos