1. /
  2. Security Response/
  3. W32.Envid@mm Removal Tool
  4. W32.Envid@mm Removal Tool

W32.Envid@mm Removal Tool

Detectado:
16 de Diciembre de 2004
Actualizado:
13 de Febrero de 2007 11:35:37 AM
Tipo:
Removal Information

Esta herramienta está diseñada para eliminar infecciones causadas por los gusanos W32.Envid.B@mm y W32.Envid.C@mm.


IMPORTANTE:
    • Si sus equipos están conectados a una red o tiene una conexión permanente a internet, desconecte los equipos de red y de Internet. Elimine los recursos compartidos o agregue una contraseña de acceso, antes de volver a conectar los equipos en la red o a internet. Debido a que el gusano se dispersa a través de carpetas compartidas de los equipos en red, para asegurarse que el gusano no reinfecte el equipo después de haber sido eliminado, Symantec sugiere compartir los recursos con acceso de sólo lectura o utilizar una contraseña de protección.
      Para mayor información de cómo hacer esto, lea la documentación de su Windows o el documento
      Configuración de las carpetas compartidas de Windows para obtener la máxima protección en la red.
    • Si usted está haciendo una limpieza en su red, asegúrese que todos los recursos compartidos de la red estén deshabilitados o que tengan acceso de sólo lectura antes de comenzar.
    • Esta herramienta no está diseñada para ejecutarse en servidores Novell NetWare. Para eliminar esta amenaza de un servidor NetWare, primero asegúrese de contar con las definiciones de virus más recientes y posteriormente, ejecute una búsqueda completa de virus con su producto antivirus de Symantec.


Para obtener y ejecutar la herramienta


NOTA: Usted debe tener privilegios de administrador para ejecutar esta herramienta en Windows NT4/2000/XP.


ADVERTENCIA: Para administradores de red. Si cuenta con un servidor MS Exchange 2000, se recomienda excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Sin importar si usted toma esta opción, antes de ejecutar la herramienta respalde todos los datos de la unidad M. Para mayor información, sobre la importancia de esta última acción lea el documento de la base de conocimientos de Microsoft "XADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Article 298924).



Siga las siguientes instrucciones y ejecute la herramienta:
  1. Descargue el archivo FixEnvid.exe de: http://securityresponse.symantec.com/avcenter/FixEnvid.exe.
  2. Guarde el archivo en una ubicación adecuada, por ejemplo, su carpeta de descargas o el escritorio de Windows (o bien en un medio extraíble que sepa no está infectado, si es posible).
  3. Opcionalmente, usted puede comprobar la autenticidad de la firma digital, consulte la sección "La firma digital".


    Nota: Si está seguro de estar descargando esta herramienta del sitio Web Security Response, puede omitir este paso. Si no está seguro de donde descargó la herramienta o usted es un administrador de red y necesita autenticar los archivos antes de utilizarlos, siga los pasos de la sección "La firma digital" antes de continuar con el paso 4.

  4. Cierre todos los programas antes de ejecutar la herramienta.
  5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red y de la conexión a Internet.
  6. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Consulte la sección "Restaurar sistema de Windows Me/XP", si desea obtener más detalles al respecto.

    ADVERTENCIA: recomendamos insistentemente que no omita este paso, si ejecuta Windows Me/XP.
  7. Haga doble clic en el archivo FixEnvid.exe para iniciar la herramienta de eliminación.
  8. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
  9. Reinicie el equipo.
  10. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
  11. Si está utilizando Windows Me/XP, tendrá que volver a activar Restaurar sistema.
  12. Si está trabajando en red o dispone de una conexión permanente a Internet, vuelva a conectar el equipo a la red y restablezca la conexión a Internet.
  13. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

NOTA: El procedimiento de eliminación puede fallar en equipos Windows Me/XP si Restaurar sistema no fue desactivado previamente, debido a que Windows protege cualquier modificación que pudiera hace otro programa. Usted deberá desactivar la función Restaurar sistema.

Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo está infectado por W32.Bugbear.B@mm En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
  • El número total de archivos analizados.
  • El número de archivos eliminados.
  • El número de procesos víricos terminados.
  • El número de entradas de registro reparadas.


Qué hace la herramienta

La Herramienta de eliminación de W32.Envid hace lo siguiente:
  1. Acaba con todos los procesos causados por W32.Envid.B@mm
  2. Borra los archivos de W32.Envid.B@mm
  3. Borra los valores que el virus agregó al registro.

Opciones de comando disponibles para esa herramienta

Los siguientes parámetros están diseñados para que puedan ser utilizados por los administradores de red.


Parámetros

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva el reparo de registro (no recomendamos usar esta opción).

/SILENT, /S

Activa el modo silencioso.

/LOG=[nombre de la ruta]

Crea un archivo de registro donde [nombre de la ruta] es el lugar para almacenar las salidas de la herramienta. Por patrón, se creará un archivo de registro FixEnvid.log en la misma carpeta en la que la herramienta sea ejecutada.

/MAPPED

Verifica los discos de red relacionados entre sí ( mapped )(no se recomienda el uso de esa opción - vea nota).

/START

Le ordena a la herramienta iniciar la verificación inmediatamente.

/EXCLUDE=[nombre de la ruta]

Elimina, específicamente, la [ruta] de la verificación (no recomendamos el uso de esta opción).

/NOFILESCAN

Evita que los archivos de sistema sean analizados.

Importante:
  • El uso de la opción /MAPPED no garantiza la total remoción del virus en la computadora remota, porque:
    • La verificación de los discos relacionados entre sí ( mapped ) se ejecuta sólo en las carpetas que también fueron relacionadas ( mapped ). Esto puede no incluir todas las carpetas de la computadora remota causando fallas en la detección.
    • Si se detecta un archivo infectado en un disco relacionado con otros ( mapped ), la remoción fallará si la computadora remota está usando ese mismo archivo.

      Por estas razones, usted debe ejecutar la herramienta en cada una de las computadoras.
  • El parámetro /EXCLUDE sólo funciona para una ruta, no para varias. Una alternativa es el uso del parámetro /NOFILESCAN y hacer una búsqueda manual en forma inmediata con AntiVirus. Esto permitirá a la herramienta alterar el registro. Después haga una búsqueda de virus con las definiciones de virus actualizadas. Con estos pasos deberá haber eliminado del sistema a la amenaza.

    A continuación está un ejemplo con el parámetro exclude para trabajar en una unidad de disco sencilla:

    "C:\Documents and Settings\user1\Escritorio\FixEnvid.exe" /EXCLUDE=M:\ /LOG=c:\Envid.txt

    En donde el símbolo mayor que (>) no es parte de la ruta.

    En forma alterna la línea que a continuación se muestra omitirá el análisis de los archivos de sistema, pero reparará las modificaciones del registro. Después deberá hacer una búsqueda de virus en el sistema con las exclusiones correspondientes:

    "C:\Documents and Settings\user1\Escritorio\FixEnvid.exe" /NOFILESCAN /LOG=c:\Envid.txt

    El nombre del archivo .log cualquier otro que usted elija. El nombre en el ejemplo anterior, es sólo explicar la sintaxis con los parámetros.

La firma digital

FixEnvid.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FixEnvid.exe descargadas directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó FixEnvid.exe.

    Nota: La mayoría de los siguientes pasos se ejecutan desde la línea de comandos de DOS. Si descargó la herramienta de eliminación en el Escritorio de Windows, será más fácil si mueve el archivo a la unidad C. Posteriormente también guarde el archivo Chktrust.exe también en C.

    (El paso 3 considera que tanto el archivo de la herramienta de eliminación, así como el archivo Chktrust.exe se encuentran en la raíz de la unidad C).

  3. Haga clic en Start > Run.
  4. Escriba uno de los siguientes comandos:
    • Para Windows 95/98/Me:

      command

    • Para Windows NT/2000/XP:

      cmd

  5. Haga clic en OK.
  6. Dentro de la ventana de comandos, escriba lo siguiente, presionando al final de cada línea la tecla Intro.

    cd\
    chktrust -i
    FixEnvid.exe

    Si la firma digital es válida, aparecerá un mensaje similar a:

    Do you want to install and run "W32.Envid Removal Tool" signed on 12/22/2004 4:49 PM and distributed by Symantec Corporation?

    En el cual se pide su aprobación para instalar y ejecutar "W32.Envid Removal Tool" firmada el 12/22/2004 a las 4:49 PM y distribuida por Symantec Corporation.


    NOTAS:
    • La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a su zona horaria, siempre que el equipo no esté configurado según la zona horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la haya descargado del verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte el documento "How to restore the Publisher Authenticity confirmation dialog box." (este recurso se encuentre en idioma inglés).

  7. Haga clic en Yes para cerrar el cuadro de diálogo.
  8. Escriba Exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.


Resumen