||||
Symantec.com > Security Response > W32.Gammima.AG
IMPRIMIR ESTA PÁGINA

W32.Gammima.AG - Eliminación

Nivel de riesgo 1: Muy bajo

Página de impresión

Detectado: 27 de Agosto de 2007
Actualizado: 4 de Diciembre de 2007 5:55:38 PM
También conocido como: Worm.Win32.AutoRun.bhx [Kaspersky], Trojan-PSW.Win32.OnLineGames.rlh [Kaspersky], Trojan-PSW.Win32.OnLineGames.sxa [Kaspersky]
Tipo: Gusano
Longitud de la infección: 75,520 bytes.
Sistemas afectados: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Estas instrucciones conciernen a todos los productos antivirus activos y recientes de Symantec, incluyendo las líneas de producto Symantec AntiVirus y Norton AntiVirus.
  1. Deshabilite Restaurar Sistema (Windows Me/XP).
  2. Actualice las definiciones de virus.
  3. Ejecute un análisis completo del sistema.
  4. Elimine cualquier valor agregado al registro de Windows.

Si necesita información sobre cómo llevar a cabo estos pasos, lea las siguientes instrucciones.

1. Para desactivar Restaurar Sistema (Windows Me/XP)
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra activada de forma predeterminada, la emplean Windows ME y XP para restaurar los archivos de los equipos cuando estos sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema.

Windows evita que programas externos, incluyendo los programas antivirus, modifiquen Restaurar sistema. Por lo tanto, los programas o herramientas antivirus no pueden eliminar las amenazas que se encuentren en la carpeta Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, incluso después de haber limpiado los archivos infectados en todas las demás ubicaciones.

También, un análisis en busca de virus puede detectar una amenaza en la carpeta Restaurar el sistema aunque haya eliminado esa amenaza.

Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar Restaurar sistema siguiendo las instrucciones del documento antes mencionado.

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Article ID: Q263455).

2. Para actualizar las definiciones de virus
Symantec Security Response comprueba a cabalidad la calidad de todas las definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
  • Ejecute LiveUpdate, que es la manera más sencilla de obtener las definiciones de virus.

    Si cuenta con Norton AntiVirus 2006, Symantec AntiVirus Corporate Edition 10.0, o una versión más reciente, las definiciones por medio de LiveUpdate se publican diariamente. Estos productos incluyen la tecnología más reciente

    Si cuenta con Norton AntiVirus 2005, Symantec AntiVirus Corporate Edition 9.0, o una versión anterior, las definiciones por medio de LiveUpdate se publican semanalmente. En caso de alerta de virus, las definiciones para estas versiones se publican con mayor frecuencia.


  • Cómo descargar las definiciones por medio de Intelligent Updater: Estas definiciones se publican diariamente Debe descargarlas e instalarlas manualmente desde el sitio Web de Symantec Security Response.

Las definiciones de Intelligent Updater se pueden obtener de: Definiciones por Intelligent Updater. Si desea instrucciones detalladas, por favor consulte el documento: Cómo actualizar los archivos de definiciones de virus utilizando Intelligent Updater.

3. Ejecute un análisis completo del sistema
  1. Inicie el programa antivirus de Symantec y asegúrese de que esté configurado para analizar todos los archivos.

    Si cuenta con un producto Norton AntiVirus: Por favor lea el documento: Cómo configurar Norton AntiVirus para que realice un análisis completo de mi sistema.

    Si cuenta con un producto Symantec AntiVirus: Por favor lea el documento: Cómo comprobar que un producto antivirus corporativo de Symantec está configurado para analizar todos los archivos.


  2. Ejecute un análisis completo del sistema.
  3. Si se detecta algún archivo infectado, siga las instrucciones que le proporcione su programa antivirus.
Importante: Si no le es posible utilizar su producto antivirus de Symantec o el producto reporta que no puede eliminar el archivo infectado, puede que tenga que dar de baja algunos servicios para poder eliminar el riesgo. Para corregir esta situación, reinicie el equipo en Modo seguro. Si desea instrucciones detalladas, consulte el documento, Cómo iniciar su equipo en Modo seguro. Una vez que haya iniciado el equipo en Modo seguro, ejecute el análisis de nuevo. Si cuenta con un producto Norton, haga clic en Inicio > Ejecutar y después escriba NAVW32 /L, para realizar este análisis.
Una vez que haya eliminado los archivos, reinicie el equipo en modo Normal y continúe con la sección.

Puede que se presenten mensajes de advertencia al momento de que reinicie el equipo, dado que el gusano ha quedado eliminado en este momento. Ignore estos mensajes y haga clic en Aceptar. Estos mensajes de error no volverán a presentarse posteriormente, una vez que haya completado las instrucciones de eliminación de este gusano. Los mensaje de error pueden ser similares a los siguientes:

Título: [FILE PATH]
Cuerpo del mensaje: Windows cannot find [FILE NAME]. Asegúrese de haber escrito el nombre correctamente e inténtelo de nuevo. Para buscar un archivo, haga clic en el botón Inicio y después en buscar.

4. Para eliminar los valores del Registro de Windows
Importante: Symantec recomienda insistentemente realizar una copia de respaldo del registro antes de efectuar cualquier cambio. Los cambios incorrectos en el registro pueden provocar pérdidas permanentes de datos o archivos dañados. Modifique sólo las claves que se indiquen. Si desea instrucciones detalladas, consulte el documento, Cómo iniciar su equipo en Modo seguro.
  1. Haga clic en Inicio > Ejecutar.
  2. Escriba regedit
  3. y haga clic en Aceptar.

    Nota: Si no puede abrir el Editor de registro, puede ser que la amenaza haya modificado el registro para evitar que sea accedido. Security Response ha desarrollado una herramienta para resolver una herramienta. Descargue y ejecute la herramienta , y posteriormente continúe con las instrucciones de esta página.

  4. Busque y elimine las siguientes sub claves de registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"kava" = "%System%\kavo.exe"

  5. Restaure las entradas del registro con los siguientes valores, los cuales eran los valores previos:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun"

  6. Salga del Editor del Registro.

Artículo de: Masaki Suenaga
Norton 360 Versión 3.0
©1995 - 2010 Symantec Corporation
Mapa del sitio|
Nota legal|
Política de privacidad|
Contáctenos|
Sitios mundiales|
Acuerdos de licencia