1. /
  2. Security Response/
  3. W32.Sober Removal Tool
  4. W32.Sober Removal Tool

W32.Sober Removal Tool

Detectado:
29 de Octubre de 2003
Actualizado:
13 de Febrero de 2007 11:35:03 AM
Tipo:
Removal Information

Symantec Security Response ha desarrollado una herramienta para remover infecciones causadas por las variantes de W32.Sober@mm.

W32.Sober@mm
W32.Sober.B@mm
W32.Sober.C@mm
W32.Sober.D@mm
W32.Sober@mm.enc
W32.Sober.gen
W32.Sober.E@mm
W32.Sober.F@mm
W32.Sober.G@mm
W32.Sober.I@mm
W32.Sober.L@mm
W32.Sober.N@mm
W32.Sober.O@mm
W32.Sober.Q@mm
W32.Sober.V@mm
W32.Sober.W@mm
W32.Sober.X@mm


Nota: W32.Sober.gen es una detección genérica de las variantes de W32.Sober. Si su equipo es infectado con W32.Sober.gen, descargue y ejecute la herramienta de eliminación. En la mayoría de los casos, la herramienta eliminará la infección.


Qué hace la herramienta

La Herramienta de eliminación de W32.Sober hace lo siguiente:
  1. Acaba con todos los procesos de W32.Sober
  2. Borra los archivos de W32.Sober
  3. Elimina los archivos que deja en el sistema.
  4. Borra los valores que el virus agregó al registro.

Opciones en el renglón de comando disponibles para esa herramienta


Parámetros

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva el reparo de registro (no recomendamos usar esta opción).

/SILENT, /S

Activa el modo silencioso.

/LOG=<nombre de la ruta>

Crea un archivo de registro donde <nombre de la ruta> es el lugar para almacenar las salidas de la herramienta. Por patrón, se creará un archivo de registro FxSobr.log en la misma carpeta en la que la herramienta sea ejecutada.

/MAPPED

Verifica los discos de red relacionados entre sí ( mapped )(no se recomienda el uso de esa opción - vea nota).

/START

Le ordena a la herramienta iniciar la verificación inmediatamente.

/EXCLUDE=<nombre de la ruta>

Elimina, específicamente, la <carpeta> de la verificación (no recomendamos el uso de esta opción).

/NOFILESCAN

Evita que los archivos de sistema sean analizados.



NOTA:
  • Symantec Security Response recomienda insistentemente no utilizar el parámetro /NOFIXREG al ejecutar esta herramienta en la primera ocasión. Si la herramienta se ejecuta utilizando este parámetro, no estará eliminando las claves de registro asociadas con el gusano y no lo podrá hacer al ejecutarla posteriormente.
  • El uso de la opción /MAPPED no garantiza la total remoción del virus en la computadora remota porque:
    • La verificación de los discos relacionados entre sí ( mapped ) se ejecuta sólo en las carpetas que también fueron relacionadas ( mapped ). Esto puede no incluir todas las carpetas de la computadora remota causando fallas en la detección.
    • Si se detecta un archivo infectado en un disco relacionado con otros ( mapped ), la remoción fallará si la computadora remota está usando ese mismo archivo.

Por estas razones, usted debe ejecutar la herramienta en cada una de las computadoras.



Para obtener y ejecutar la herramienta

NOTA: Usted debe tener privilegios de administrador para ejecutar esta herramienta en Windows NT4/2000/XP.

Información para administradores de red: Si cuenta con MS Exchange 2000 Server, le recomendamos excluir la unidad M del análisis de la herramienta, por medio del parámetro Exclude. Para obtener más información, por favor lea el artículo de la base de conocimientos de Microsoft: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Article 298924).


  1. Realice la descarga del archivo FixSbr.exe de:

    http://securityresponse.symantec.com/avcenter/FixSbr.exe
  2. Guarde el archivo en un lugar conveniente, como la carpeta de descargas, el área de trabajo de Windows o en un disquete que no esté infectado, si es posible.
  3. Para verificar la autenticidad de la firma digital, vea la sección La firma digital.
  4. Cierre todos los programas antes de ejecutar la herramienta.
  5. Si usted está en red o tiene una conexión permanente a Internet, desconecte su equipo.
  6. Si está usando Windows ME o XP, desactive la Restauración del Sistema. Para obtener más detalles, vea la sección Opción Restauración del Sistema en Windows ME o XP.

    NOTA: Si está usando Windows ME/XP recomendamos, enfáticamente, no omitir ese paso.
  7. Haga clic dos veces en el archivo FixSobr.exe para darle inicio a la herramienta de eliminación.
  8. Haga clic en Start (Inicio) para comenzar el proceso y deje que la herramienta se ejecute.


    Nota: Si al ejecutar la herramienta, recibe un mensaje indicando que no fue posible eliminar un o más archivos, ejecute la herramienta en Modo seguro. Apague el equipo, retire el cable de energía, espere 30 segundos. Vuelva a conectar y encender su equipo e inicie la sesión en Modo seguro o a prueba de fallos y ejecute la herramienta. Todos los sistemas, excepto Windows NT, puede iniciar en modo seguro. Si desea instrucciones sobre como iniciar su equipo en modo seguro, por favor lea el documento Cómo iniciar su equipo en Modo seguro.

  9. Reinicie el equipo.
  10. Ejecute la herramienta de eliminación una vez más para asegurarse de que el sistema esté limpio.
  11. Si está usando Windows ME o XP, reactive la Restauración del Sistema.



    Nota: Antes de proseguir es necesario volver a instalar LiveUpdate, pues algunas variantes, como W32.Sober.O@mm, afectan esta función de los productos Symantec. Para volver a instalar LiveUpdate, por favor siga las siguientes instrucciones.


    Para reinstalar LiveUpdate
    1. Haga clic en aquí para descargar LiveUpdate.

      Nota: Si al leer este documento, no está en el equipo infectado puede visitar el siguiente sitio y realizar la descarga desde él:

      ftp://ftp.symantec.com/public/espanol/productos/liveupdate/ver2.6.14/actualizaciones/lusetup.exe

      De ser necesario, puede escribir esta dirección en la barra de dirección del explorador del equipo infectado. Los cambios realizados en el archivo Hosts no le impedirán acceder a este sitio.

    2. Guarde el archivo en el escritorio de Windows.
    3. Haga dos veces clic sobre el archivo lusetup.exe del escritorio para instalar LiveUpdate.
  12. Ejecute el LiveUpdate para asegurarse de tener las definiciones de virus más actualizadas.

Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo está infectado por W32.Sober. En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
  • El número total de archivos analizados.
  • El número de archivos eliminados.
  • El número de procesos víricos terminados.
  • El número de entradas de registro reparadas.


La firma digital

FixSbr.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FixSbr.exe descargadas directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó FixSbr.exe por ejemplo, C:\Descargas.
  3. Según el sistema operativo que ejecute, realice una de las siguientes acciones:
    • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y seleccione MS-DOS.

  4. Cambie a la carpeta donde almacenó los archivos FixSbr.exe y Chktrust.exe y, entonces, escriba:

    chktrust -i FixSbr.exe

    Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los siguientes comandos:

    cd\
    cd descargas
    chktrust -i
    FixSbr.exe

    Presione la tecla INTRO después de cada comando. Si la firma digital es válida, aparecerá lo siguiente:

    Se pide su aprobación para instalar y ejecutar "W32.Sober@mm Removal Tool" firmada el 11/22/2005 a las 03:47:28 PM y distribuida por Symantec Corporation.

    NOTAS:
    • La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a su zona horaria, siempre que el equipo no esté configurado según la zona horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la haya descargado del verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte el documento Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor.
  5. Haga clic en Sí para cerrar el cuadro de diálogo.
  6. Escriba Exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

La función Restaurar sistema de Windows ME/XP

Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455). de la base de conocimientos de Microsoft.

Cómo ejecutar la herramienta desde un disquete
  1. Introduzca el disquete que contiene el archivo FixSobr.exe en la unidad de disquetes.
  2. Haga clic en Inicio y seleccione Ejecutar.
  3. Escriba la siguiente cadena y haga clic en Aceptar.

    a:\FixSbr.exe


    NOTAS:
    • No inserte ningún espacio en el comando, a:\FixSobr.exe.
    • Si utiliza Windows Me y la función Restaurar sistema permanece activada, aparecerá un mensaje de advertencia. Puede escoger entre ejecutar la herramienta de eliminación con la función Restaurar sistema activada o cerrar la herramienta.

  4. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
  5. Si está utilizando Windows Me, active otra vez Restaurar sistema.


Resumen