1. /
  2. Security Response/
  3. W32.Spybot.ACYR Removal Tool
  4. W32.Spybot.ACYR Removal Tool

W32.Spybot.ACYR Removal Tool

Detectado:
29 de Noviembre de 2006
Actualizado:
4 de Diciembre de 2007 12:05:57 AM
Tipo:
Removal Information

Esta herramienta está diseñada pra eliminar infecciones causadaspor W32.Spybot.ACYR.

Impportante:
  • Si está trabajando en red o dispone de una conexión permanente a Internet, por ejemplo mediante DSL o cable, desconecte el equipo de la red, así como la conexión a Internet. Deshabilite los elementos compartidos o protéjalos mediante una contraseña, o bien compártalos como sólo lectura, antes de volver a conectar los equipos a la red o a Internet. Puesto que este gusano se propaga usando carpetas compartidas en equipos en red, para asegurarse de que el gusano no vuelva a infectar otro equipo después de eliminarlo, Symantec sugiere compartir con acceso de sólo lectura o utilizando una contraseña como protección.

    Si desea instrucciones detalladas consulte la documentación correspondiente a su versión de Windows o el documento Configuración de las carpetas compartidas de Windows para obtener la máxima protección en la red.
  • Si no puede puede eliminar la infección desde la red, primero asegúrese de que no esten compartirlos los recursos de red o que cuenten con permisos de Sólo lectura.
  • Esta herramienta no está diseñada para ejecutarse sobre servidores Novell NetWare. Para eliminar esta amenaza de un servidor NetWare, asegúrese de contar con las definiciones de virus más recientes y ejecutar un análisis de completo de su equipo con su producto Symantec.


Cómo obtener y ejecutar la herramienta

Importante: Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.

Nota para administradores de redes: Si cuenta con un servidor MS Exchange 2000, se recomienda excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Para más información, lea el documento de la base de datos de Microsfot: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Article 298924).

Para seguir las siguientes instrucciones
  1. Descargue el archivo FixSpybot.exe de: http://securityresponse.symantec.com/avcenter/FixSpybot.exe.
  2. Guarde el archivo en una ubicación adecuada como, por ejemplo en el escritorio de Windows.
  3. Opcional: Para comprobar la autenticidad de la firma digital, consulte la sección ''La firma digital'' de este documento.

    Si está seguro de estar descargando esta herramienta del sitio Web Security Response, puede omitir este paso. Si no está seguro de donde descargó la herramienta o usted es un administrador de red y necesita autenticar los archivos antes de utilizarlos, siga los pasos de la sección "La firma digital" antes de continuar con el paso 4.
  4. Cierre todos los programas que estén en ejecución.
  5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red, así como la conexión a Internet.
  6. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
  7. Busque el archivo que acaba de descargar.
  8. Haga dos veces clic en el archivo FixSpybot.exe para remover la infección.
  9. Haga clic en Start para que se inicie el proceso y, de este modo, se ejecute la herramienta.

    NOTA: Si tiene problemas para ejecutar la herramienta o no puede eliminar la amenaza, reinicie el equipo en modo seguro y vuelva a ejecutar la herramienta.
  10. Reinicie el equipo.
  11. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
  12. Si está utilizando Windows Me/XP, active otra vez Restaurar sistema.
  13. Si está trabajando en red o dispone de una conexión permanente a Internet, vuelva a conectar el equipo a la red, así como la conexión a Internet.
  14. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo estaba infectado. La herramienta mostrará resultados similares a los siguientes:
  • Número total de archivos analizados
  • Número de archivos eliminados
  • Número de archivos reparados
  • Número de procesos virales terminados
  • Número de entradas del registro reparadas

Utilidad de la herramienta

La herramienta realiza las siguientes acciones:
  1. Finaliza los procesos asociados
  2. Elimina los archivos asociados
  3. Elimina los valores agregados en el registro de Windows por la infección


Parámetros

Los siguientes parámetros están diseñados para que puedan ser utilizados por los administradores de red:

Parámetro

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva la reparación del registro (no se recomienda el uso de este parámetro).

/SILENT, /S

Activa el modo silencioso.

/LOG=[Ruta de acceso]

Crea un archivo de registro en el que es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro FixSpybot.log en la misma carpeta desde la que se ejecutó la herramienta de eliminación.

/MAPPED

Analiza las unidades de red asignadas. (No se recomienda el uso de este parámetro. Consulta la nota abajo).

/START

Obliga a la herramienta a iniciar inmediatamente el análisis.

/EXCLUDE=

Excluye del análisis la que se especifique. (No se recomienda el uso de este parámetro. Consulta la nota abajo).

/NOCANCEL

Desactiva la función para desactivar la herramienta de eliminación.

/NOFILESCAN

Evita que los archivos de sistema sean analizados.

/NOVULNCHECK

Desactiva la verirficación de archivos no actualizados.


Importante: Al utilizar el parámetro /MAPPED no asegura la eliminación completa de la infección en el equipo remoto, porque::
    • El análisis de unidades compartidas, sólo analiza carpetas compartidas del equipo. Por lo que no se incluyen todas las carpetas del equipo remoto, las cuales pueden mostrar detecciones falsas.
    • Si se encuentra un archivo infectado en la unidad asignada, no se puede eliminar si el archivo está siendo utilizado por otro programa.

Por lo tanto, se debe ejecutar la herramienta de forma local en todos los equipos.

El parámetro /EXCLUDE sólo funciona para una ruta, no para varias. Una alternativa es el uso del parámetro /NOFILESCAN y hacer una búsqueda manual en forma inmediata con AntiVirus. Esto permitirá a la herramienta alterar el registro. Después haga una búsqueda de virus con su antivirus actualizado con las definiciones de virus más recientes. Con estos pasos deberá haber limpiado los archivos del sistema.

A continuación se presenta un ejemplo con el parámetro "exclude" para trabajar en una unidad de disco sencilla:

"C:\Documents and Settings\user1\Desktop\FixSpybot.exe" /EXCLUDE=M:\ /LOG=c:\FixSpybot.txt

En forma alterna la línea que a continuación se muestra omitirá el análisis de los archivos de sistema, pero reparará las modificaciones del registro. Después deberá hacer una búsqueda de virus en el sistema con las exclusiones correspondientes:

"C:\Documents and Settings\Usuario1\Escritorio\FixSpybot.exe" /NOFILESCAN /LOG=c:\FixSpybot.txt

Nota: El archivo de registro puede guardarse con el nombre y en la ubicación que usted desee.



La firma digital

Por motivos de seguridad la herramienta está firmada digitalmente. Symantec recomienda utilizar únicamente copias de esta herramienta descargadas directamente del sitio Web de Symantec Security Response.

Si no está seguro del archivo o es un administrador de red y necesita autenticar el archivo antes de distribuirlo, deberá autenticar la firma digital.

Siga estos pasos:
  1. Ir.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó la herramienta.

    Nota: La mayoría de los siguientes pasos se ejecutan desde la línea de comandos de DOS. Si descargó la herramienta de eliminación en el Escritorio de Windows, será más fácil si mueve el archivo a la unidad C. Posteriormente también guarde el archivo Chktrust.exe también en C.

    (El paso 3 considera que tanto el archivo de la herramienta de eliminación, así como el archivo Chktrust.exe se encuentran en la raíz de la unidad C).

  3. Haga clic en Inicio > Ejecutar.
  4. Escriba uno de los siguientes comandos:
    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. Haga clic en Aceptar.
  6. En la línea de comandos de DOS, escriba los siguientes comandos y presione la tecla Intro después de cada línea:

    cd\
    cd descargas
    chktrust -i FixSpybot.exe


  7. Deberá ver uno de los siguientes mensajes, dependiendo de su sistema operativo:
    • Windows XP SP2:
      La ventana de la utilidad de validación de confiabilidad aparecerá.

      Dentro de Publicador, haga clic en el vínculo de Symantec Corporation. Los detalles de la firma digital aparecerán.
      Verifique el contenido de los siguientes campos para asegurárse de que la herramienta es auténtica:

      Nombre: Symantec Corporation
      Hora de la firma: 11/28/2006 4:39:21 PM ST
    • Todos los sistemas operativos:
      Debería aparecer el siguiente mensaje:

      Do you want to install and run "W32.FixSpybot Removal Tool" signed onTuesday, November 28, 2006 4:39:21 PM ST and distributed by Symantec Corporation?

      Notas:
    • La fecha y hora de la firma digital están de acuerdo al horario del pacífico. Se ajustarán a la zona horaria configurada en su equipo y configuración regional.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si este cuadro de diálogo no aparece, existen dos razones:
      • La herramienta no es de Symantec: A menos que est´´e seguro de que es legítima y que la descargó del sitio Web de Symantec, no debería ejecutarla.
      • La herramienta proviene de Symantec y es legítima, pero su sistema operativo ha sido configurado con anterioridad para confiar siempre en el contenido de Symantec. Para más información y sobre como ver al cuadro de confirmación de nuevo, lea el documento Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor.

  8. Hacer clic o ejecutarse para cerrar el rectángulo de diálogo.
  9. Escriba exit, y presione la tecla Intro. De este modo, se cerrará la sesión de MS-DOS.


Resumen