1. Symantec/

W32.Pasobir Removal Tool

Detectado:
17 de Octubre de 2006
Actualizado:
18 de Abril de 2016 6:43:39 PM
Tipo:
Removal Information
Esta herramienta está diseñada pra eliminar infecciones causadas por W32.Pasobir.

Importante:
  • Si su equipo está conectado a una red o dispone de una conexión permanente a Internet, como por ejemplo mediante DSL o cable módem, desconecte el equipo de la red así como la conexión a Internet. Deshabilite los archivos compartidos o protéjalos mediante una contraseña, o bien compártalos como solo lectura, antes de volver a conectar los equipos a la red o a Internet. Puesto que este gusano se propaga usando carpetas compartidas en equipos en red, para asegurarse de que el gusano no vuelva a infectar otro equipo después de eliminarlo, Symantec sugiere compartir recursos con acceso de solo lectura o utilizando una contraseña como protección.

    Si desea instrucciones detalladas, consulte la documentación correspondiente a su Windows o el documento: Configuración de las carpetas compartidas de Windows para obtener la máxima protección en la red.

  • Si no puede puede eliminar la infección desde la red, primero asegúrese de que no esten compartirlos los recursos de red o que sólo cuenten con permisos de Solo lectura.
  • Esta herramienta no está diseñada para ejecutarse en servidores Novell NetWare. Para eliminar esta amenaza de un servidor NetWare, asegúrese de contar con las definiciones de virus más recientes y ejecutar un análisis de completo de su equipo con su producto Symantec.

Cómo descargar y ejecutar la herramienta

Importante: Es necesario contar con derechos de administrador para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.

Nota para administradores de red: Si cuenta con un servidor MS Exchange 2000, se recomienda excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Para mayor información, consulte el documento de la base de datos de Microsoft: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Article 298924).

Siga los pasos para descargar y ejecutar la herramienta:
  1. Descargue el archivo FixPasobir-v1000.exe.
  2. Guarde el archivo en una ubicación adecuada, como en el escritorio de Windows.
  3. Opcional: Para comprobar la autenticidad de la firma digital, consulte la sección ''La firma digital'' al final de este documento.

    Nota: Si está seguro de estar descargando esta herramienta del sitio web de Security Response, puede omitir este paso. Si no está seguro de donde descargó la herramienta o usted es un administrador de red y necesita autenticar los archivos antes de utilizarlos, siga los pasos de la sección ''La firma digital'' antes de continuar con el paso 4.

  4. Cierre todos los programas.
  5. Si su equipo está conectado a una red o dispone de una conexión permanente a Internet, desconecte el equipo de la red así como la conexión a Internet.
  6. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

    Cómo deshabilitar y habilitar Restaurar sistema en Windows Me.

    Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.

  7. Busque el archivo que acaba de descargar.
  8. Haga doble clic en el archivo FixPasobir-v1000.exe para ejecutar la herramienta de eliminación.
  9. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.

    NOTA: Si tiene problemas al ejecutar la herramienta o no puede eliminar la infeción, reinicie el equipo en modo seguro y ejecute la herramienta de nuevo.

  10. Reinicie el equipo.
  11. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema está limpio.
  12. Si está utilizando Windows Me o XP, active otra vez Restaurar sistema.
  13. Si su equipo está conectado a una red o dispone de una conexión permanente a Internet, vuelva a conectar el equipo a la red o a la conexión de Internet.
  14. Ejecute LiveUpdate para asegurse de que cuenta con de las definiciones de virus más recientes.

Cuando termine de ejecutarse la herramienta, aparecerá un mensaje indicando si el equipo estaba infectado. La herramienta mostrará resultados similares a los siguientes:
  • El número total de archivos analizados
  • El número de archivos eliminados
  • El número de archivos reparados
  • El número de procesos víricos terminados
  • El número de entradas de registro reparadas
Qué hace la herramienta de eliminación
La herramienta hace lo siguiente:
  • Termina los procesos asociados
  • Elimina los archivos asociados
  • Elimina los valores de registro agregados por la amenaza
Parámetros:
Los siguientes parámetros están diseñados para que puedan ser utilizados por los administradores de red:
/HELP, /H, /?
Muestra el mensaje
/NOFIXREG
Desactiva la reparación del registro (no se recomienda el uso de este parámetro).
/SILENT, /S
Habilita el modo silencioso.
/LOG=[PATH NAME]
Crea un archivo de registro en el que es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro, FixPasobir-v1000.log, en la misma carpeta en que se ejecutó la herramienta de eliminación.
/MAPPED
Analiza las unidades de red asignadas. (No se recomienda el uso de este parámetro. Consulte la nota abajo).
/START
Obliga a la herramienta a iniciar inmediatamente el análisis.
/EXCLUDE=[RUTA]
Excluye la [RUTA] especificada del análisis. (No se recomienda el uso de este parámetro. Consulte la nota abajo).
/NOCANCEL
Desactiva la función de cancelar de la herramienta.
/NOFILESCAN
Evita que los archivos de sistema sean analizados.
/NOVULNCHECK
Desactiva la verificación de archivos no actualizados.

Importante: Usar el parámetro /MAPPED no asegura la eliminación completa del virus en el equipo remoto, porque:
  • El análisis de unidades compartidas solo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, con lo que se producirían omisiones en la detección.
  • Si se encuentra un archivo infectado en la unidad asignada, no se podrá eliminar si está siendo utilizado por otro programa.
Por lo tanto, se debe ejecutar la herramienta de forma local en todos los equipos.

El parámetro /EXCLUDE solo funciona para una ruta, no para varias. Una alternativa es el uso del parámetro /NOFILESCAN y hacer una búsqueda manual en forma inmediata con el AntiVirus. Esto permitirá a la herramienta alterar el registro. Después haga una búsqueda de virus con su antivirus actualizado con las definiciones de virus más recientes. Con estos pasos deberá haber limpiado los archivos del sistema.

El siguiente es un ejemplo de la línea de comando que puede utilizarse para excluir una sola unidad:

"C:\Documents and Settings\user1\Desktop\FixPasobir-v1000.exe" /EXCLUDE=M:\ /LOG=c:\FixPasobir-v1000.txt

}Alternativamente, la línea de comandos a continuación omitirá el análisis del sistema de archivos, pero reparará las modificaciones al registro. A continuación, ejecute un análisis regular del sistema con exclusiones apropiadas:

"C:\Documents and Settings\user1\Desktop\FixPasobir-v1000.exe" /NOFILESCAN /LOG=c:\FixPasobir-v1000.txt

Nota: Puede asignar al archivo de registro cualquier nombre y guardarlo en cualquier ubicación.

Firma digital
Por motivos de seguridad, la herramienta está firmada digitalmente. Symantec recomienda el uso de herramientas descargadas directamente de su sitio web de Symantec Security Response.

Si no está seguro del archivo o es un administrador de red y necesita autenticar el archivo antes de distribuirlo, deberá autenticar la firma digital.

Siga estos pasos:
  1. Vaya a http://www.wmsoftware.com/free.htm.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó la herramienta.

    Nota: La mayoría de los siguientes pasos se ejecutan desde la línea de comandos de DOS. Si descargó la herramienta de eliminación en el Escritorio de Windows, será más fácil si mueve el archivo a la unidad C. Después también guarde el archivo Chktrust.exe también en C.

    (El paso 3 considera que tanto el archivo de la herramienta de eliminación, así como el archivo Chktrust.exe se encuentran en la raíz de la unidad C).

  3. Haga clic en Inicio > Ejecutar.
  4. Escriba el comando que corresponda:

    Windows 95/98/Me:
    command

    Windows NT/2000/XP:
    cmd

  5. Haga clic en Aceptar.
  6. En la ventana de la línea de comandos, escriba el siguiente, y presione la tecla Intro después de escribir en cada línea:

    cd\
    cd downloads
    chktrust -i FixPasobir-v1000.exe

  7. Deberá ver uno de los siguientes mensajes, dependiendo de su sistema operativo:

    Windows XP SP2:
    Aparecerá la ventana de la Utilidad de Validación de Confianza.

    Dentro de Publicador, haga clic en el vínculo Symantec Corporation. Los Detalles de la firma digital aparecerán.
    Verifique el contenido de los siguientes campos para asegurarse de que la herramienta sea auténtica:

    Name: Symantec Corporation
    Signing Time: Tuesday, October 17, 2006 6:26:08 AM

    All other operating systems:
    Deberá ver el siguiente mensaje:

    Do you want to install and run "FixPasobir-v1000.exe" signed on 10/17/2006 and distributed by Symantec Corporation?

    Notas:
    La fecha y hora de la firma digital corresponden a la hora del pacífico. Está será ajustada a la zona horaria y opciones de configuración regional de su equipo.

    Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.

    Si este cuadro de diálogo no aparece, puede ser por dos razones:

    Esta herramienta no es de Symantec: A menos de que esté seguro que la herramienta es legítima y que la descargó del sitio web de Symantec, no debería ejecutarla

    La herramienta proviene de Symantec y es legítima: Sin embargo su sistema operativo ha sido configurado con anterioridad para confiar siempre en el contenido de Symantec. Para información al respecto y como ver el cuadro de confirmación de nuevo, lea el documento: Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor.

  8. Haga clic en Sí o Ejecutar para cerrar el cuadro de diálogo.
  9. Escriba exit, y presione la tecla Intro. De este modo, se cerrará la sesión de MS-DOS.
Resumen
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube