1. Symantec/

W32.Tempedreve Removal Tool

Detectado:
14 de Enero de 2015
Actualizado:
13 de Marzo de 2015 6:54:07 PM
Tipo:
Removal Information
Esta herramienta (versión 2.4.0.7) está diseña para eliminar y para reparar las infecciones de W32.Tempedreve. Cómo descargar y ejecutar la herramienta para eliminar W32.Tempedreve Importante Al seleccionar ''Ejecutar como adminstrador'' no completará la reparación. Debe iniciar sesión en la cuenta de administrador y el resto de los usuarios se debe finalizar sesión para que la herramienta funcione correctamente. Hay dos versiones de esta herramienta, una diseñada para trabajar en equipos a 32 bits y otra para trabajar en equipos a 64 bits. Para identificar si su equipo trabaja con la versión de Windows de 32 bits o de 64, por favor lea el siguiente artículo de la base de conocimientos de Microsoft: Cómo determinar si un equipo está ejecutando una versión de 32 bits o la versión de 64 bits del sistema operativo Windowshttp://support.microsoft.com/kb/827218Por favor asegúrese de que los recursos compartidos por red estén desconectados antes de ejecutar la herramienta. La herramienta de la eliminación reparación no le recordará o solicitará de esta acción el momento de la ejecución. Si los archivos infectados se encuentran en los recursos compartidos de red, se recomienda ejecutar la herramienta en el servidor en que residen y asegúrese de que ningún usuario haya bloqueado los archivos infectados. La herramienta se debe ejecutar en modo seguro o mientras la tecnología auto-protect de Symantec esté deshabilitada Nota para administradores de red: Si cuenta con un servidor MS Exchange 2000, se recomienda excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Para mayor información, lea el artículo de la base de conocimientos de Microsoft: Problemas debidos a una copia de seguridad o a una exploración de la unidad M de Exchange 2000http://support.microsoft.com/kb/298924 Siga estos pasos para descargar y ejecutar la herramienta: Descargar FixTempedreve64.exehttp://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixTempedreve64.exe para equipos a 64-bit o FixTempedreve32.exehttp://www.symantec.com/content/en/us/enterprise/media/security_response/tools/FixTempedreve32.exe para equipos a 32 bits.Guarde el archivo en una ubicación adecuada, como en el escritorio de Windows.Si está seguro de estar descargando esta herramienta del sitio web de Security Response, puede omitir este paso. Si no está seguro de donde descargó la herramienta o usted es un administrador de red y necesita autenticar los archivos antes de utilizarlos, siga los pasos de la sección ''La firma digital'' antes de continuar con el paso 4. Cierre de todos los programas. Si utiliza Windows XP, desactive la Restauración del Sistema. Si desea instrucciones de cómo desactivar Restaurar sistema, lea su documentación de Windows.Asegúrese de que el equipo esté en el modo seguro o de haber deshabilitado la tecnología de auto-protect de Symantec. Asegúrese de desconectar los sus recursos compartidos de red antes de ejecutar la herramienta. Haga doble clic en FixTempedreve64.exe o en FixTempedreve32.exe para iniciar la herramienta de eliminación. Haga clic en ''I Accept'' para aceptar el acuerdo de licencia para el usuario final (EULA) y después para haga clic en “Start” para continuar la ejecución de la herramienta de eliminación. Cuando la herramienta haya completado la ejecución, verá un mensaje solicitándole verificar el archivo de registro con los resultados. En este punto, algunos de los archivos de W32.Tempedreve se pueden aún cargar en memoria. La herramienta le podrá solicitar que reinicie su equipo una vez que haya finalizado la ejecución. Ejecute la herramienta después de que el equipo haya reiniciado. Si los archivos de los recursos compartidos en red han sido contaminados por la amenaza, ejecute la herramienta en el servidor que almacena los archivos, si es posible. Si esto no es posible, vuelva a conectar a los recursos compartidos de red al equipo recientemente limpiado y ejecute la herramienta para analizarlos. ¿Por qué debe desconectar los recursos compartidos de red antes de realizar un análisis en un equipo? Si los recursos compartidos en red no han sido desconectados, cabe la posibilidad de que los archivos infectados en otros equipos conectados a la misma red vuelvan a infectar al equipo recién analizado. Además, la amenaza puede aún estar activa en el equipo infectado durante la ejecución de la herramienta y puede bloquear los archivos en los recursos compartidos de red. La herramienta de eliminación escribe un resumen de las acciones realizadas en un archivo de registro con el nombre FixPoweliks64.log o FixPoweliks32.log con datos similares a los siguientes: Lista de procesos finalizadosLista de valores eliminados del registroLista de archivos reparados y sin reparar Nota: En el caso de archivos sin reparar, la herramienta los moverá a la carpeta %Temp%\FixtoolQuarantine. Es necesario analizar la carpeta de cuarentena con Symantec Endpoint Protection (SEP) para filtrar el componente malicioso de la amenaza en los documentos potencialmente infectados. ¿La herramienta de reparación sobrescribirá el archivo existente si algún archivo es reparado y renombrado para la reparación? No, el archivo no será sobrescrito y la herramienta de reparación corregirá y va a renombrar el archivo reparado de la siguiente forma: [Nombre de archivo original]_1.[extensión original] ¿Qué hace la herramienta de reparación? Termina los procesos asociadosElimina las llaves de registro y los valores agregados por la amenazaRepara los archivos .pdf .exe y .msi que estén infectados Los siguientes parámetros están diseñados para que puedan ser utilizados por los administradores de red: Muestra un mensaje de ayuda: /HELP, /H, /? Habilita el modo silencioso: /SILENT, /S Si se habilita el modo silencioso, no será reiniciado el equipo: /NOSILENTREBOOTCrea un archivo de registro donde se almacenan la herramienta de eliminación en [NOMBRE DE RUTA]: /LOG = [NOMBRE DE RUTA]De manera predeterminada, este parámetro crea el archivo de registro, en la misma carpeta desde donde se ejecutó la herramienta de eliminación.Analiza las unidades de red asignadas o compartidas: /MAPPED (Symantec no recomienda el uso de éste parámetro) Unidades asignadas o compartidas Es importante considerar que el uso del parámetro /MAPPED no garantiza la eliminación total de .Ramnit en un equipo remoto que esté infectado. Ya que el análisis de unidades asignadas solamente analiza las carpetas asignadas, que pueden no incluir todas las carpetas del equipo remoto. Esto puede ocasionar detecciones omitidas. Si se encuentra un archivo infectado en la unidad mapeada, la reparación fallará si el archivo está siendo utilizado por otro programa del equipo remoto. On Windows Vista or Windows 7 computers, a scan of mapped drives may fail if the account that’s running the removal tool is not the administrator account, even if it is a member of the Administrator group. En estos casos la unidad compartida aparecerá como desconectada después del análisis de la herramienta de eliminación. Por favor lea el siguiente artículo de la base de conocimientos de Microsoft para mayor información: Los programas no tienen acceso a algunas ubicaciones de red después de activar el Control de cuentas de usuario en Windows Vista o sistemas operativos más recienteshttp://support.microsoft.com/kb/937624 Recomendamos que ejecute la herramienta de eliminación en cada equipo. Firma digital Por motivos de seguridad, la herramienta está firmada digitalmente. Symantec recomienda que solo utilice copias de la herramienta de eliminación que se hayan descargado directamente del sitio Web de Symantec Security Response. Si no está seguro del archivo o es un administrador de red y necesita autenticar el archivo antes de distribuirlo, deberá autenticar la firma digital, siguiendo las siguientes instrucciones: Vaya a http://www.wmsoftware.com/free.htmhttp://www.wmsoftware.com/free.htm.Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó la herramienta. Nota: Muchos de los siguientes pasos deben ejecutarse desde la línea de comandos. Si guardó la herramienta de eliminación en el escritorio de Windows, mueva la herramienta al directorio raíz de la unidad C y guarde el archivo Chktrust.exe a esta ubicación también. El Paso 3 supone que tanto la herramienta de eliminación como Chktrust.exe se encuentran en el directorio raíz de la unidad C. Haga clic en Inicio y seleccione Ejecutar.Escriba el comando cmd y después haga clic en Aceptar. En la ventana de la línea de comandos, escriba lo siguiente, oprimiendo la tecla Intro al final de cada línea: cd\ chktrust -i FixTool.exe Deberá ver uno de los siguientes mensajes, dependiendo de su sistema operativo: Windows XP SP2: Aparecerá la ventana de la herramienta de validación de confianza. Bajo el “Publisher”, haga clic en el vínculo Symantec Corporation y los detalles siguientes de la firma digital aparecerán. Verifique el contenidoo de los campos siguientes para asegurarse de que la herramienta sea auténtica: : Name: Symantec Corporation Signing Time: 15:25:19, March 12, 2015 Todos los demás sistemas operativos: Deberá ver el siguiente mensaje:Do you want to install and run ''FixTool.exe'' signed on T12th March 2015. Notas: La fecha y hora de la firma digital corresponden a la hora del pacífico. Está será ajustada a la zona horaria y opciones de configuración regional de su equipo. Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos. Si no aparece el cuadro de diálogo, puede ser que la herramienta no sea de Symantec. A menos que usted esté seguro que la herramienta de eliminación es legítima y que la descargó del sitio web legítimo de Symantec, no lo ejecute. Haga clic en Sí o Ejecutar para cerrar el cuadro de diálogo.Escriba exit y presione INTRO para cerrar la sesión en MS-DOS.
Resumen
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube