1. /
  2. Security Response/
  3. Backdoor.Agent.B Removal Tool
  4. Backdoor.Agent.B Removal Tool

Backdoor.Agent.B Removal Tool

Detectado:
10 de Agosto de 2004
Actualizado:
13 de Febrero de 2007 11:35:30 AM
Tipo:
Removal Information

Symantec Security Response ha desarrollado una herramienta para eliminar las infecciones causadas por:

Backdoor.Agent.B


Importante:
  • Si está trabajando en red o dispone de una conexión permanente a Internet, por ejemplo mediante DSL o cable módem, desconecte el equipo de la red, así como la conexión a Internet. Deshabilite los elementos compartidos o protéjalos mediante una contraseña, o bien compártalos como sólo lectura, antes de volver a conectar los equipos a la red o a Internet. Puesto que este gusano se propaga usando carpetas compartidas en equipos en red, para asegurarse de que el gusano no vuelva a infectar otro equipo después de eliminarlo, Symantec sugiere compartir con acceso de sólo lectura o utilizando una contraseña como protección.

    Si desea saber sobre como hacer esto, por favor consulte la documentación de Windows o el documento, Configuración de las carpetas compartidas de Windows para obtener la máxima protección en la red.
  • Si no puede eliminar la infección desde la red, primero asegúrese de que no estén compartidos los recursos de red o que cuenten con permisos de Sólo lectura.
  • Esta herramienta está diseñada para ejecutarse en servidores Novell Netware. Para eliminar esta amenaza de un servidor NetWare, asegúrese de contar con las definiciones de virus más recientes y ejecutar un análisis de completo de su equipo con su producto Symantec.


Cómo obtener y ejecutar la herramienta

Importante:
Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.

Información para administradores de red:
Si cuenta con un servidor MS Exchange 2000, se recomienda excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Para mayor información, lea el artículo de la base de datos de Microsoft, XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Article 298924).

Siga los pasos para descargar y ejecutar la herramienta:
  1. Descargue el archivo FxAgentB.exe desde: http://securityresponse.symantec.com/avcenter/FxAgentB.exe
  2. Guarde el archivo en una ubicación adecuada como, por ejemplo en el escritorio de Windows.
  3. Opcional: Para comprobar la autenticidad de la firma digital, consulte la sección "La firma digital" de este documento.

    Nota:
    Si está seguro de estar descargando esta herramienta del sitio Web Security Response, puede omitir este paso. Si no está seguro de donde descargó la herramienta o usted es un administrador de red y necesita autenticar los archivos antes de utilizarlos, siga los pasos de la sección "La firma digital" antes de continuar con el paso 4.
  4. Cierre de todos los programas.
  5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red, así como la conexión a Internet.
  6. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
  7. Busque el archivo que acaba de descargar.
  8. Haga dos veces clic en el archivo FxAgentB.exe para comenzar con la eliminación de la infección.
  9. Cuando se presente el siguiente mensaje, haga clic en Aceptar:

    Por favor no abra ninguna otra aplicación hasta que la herramienta finalice y el equipo sea reiniciado.

    De no hacer caso a esta instrucción, se pude presentar una reinfección.

  10. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
  11. Reinicie el equipo.
  12. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
  13. Si está utilizando Windows Me/XP, tendrá que volver a activar Restaurar sistema.
  14. Si está trabajando en red o dispone de una conexión permanente a Internet, vuelva a conectar el equipo a la red, así como la conexión a Internet.
  15. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo estaba infectado por Backdoor.Agent.B. La herramienta mostrará resultados similares a los siguientes:
  • El número total de archivos analizados
  • El número de archivos eliminados
  • El número de archivos reparados
  • El número de procesos víricos terminados
  • Número de procesos virales terminados
  • El número de entradas de registro reparadas

Utilidad de la herramienta


La herramienta de eliminación realiza lo siguiente:
  1. Finaliza los procesos y servicios de Backdoor.Agent.B
  2. Elimina los archivos creados por Backdoor.Agent.B
  3. Elimina los valores de Registro añadidos por el Backdoor.Agent.B.


Parámetros
:

Los siguientes parámetros están diseñados para que puedan ser utilizados por los administradores de red:

Opción
Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/SILENT, /S

Activa el modo silencioso.

/LOG=[Nombre de la ruta]

Crea un archivo de registro en el que <nombre de ruta> es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro FxAgentB.log en la misma carpeta desde la que se ejecute la herramienta de eliminación.

/START

Obliga a la herramienta a iniciar inmediatamente el análisis.

/EXCLUDE=[Ruta]

Excluye del análisis la [Ruta] que se especifique. (No se recomienda el uso de este parámetro. Consulta la nota abajo).

El parámetro /EXCLUDE sólo funciona para una ruta, no para varias. A continuación se presenta un ejemplo con el parámetro "exclude" para trabajar en una unidad de disco sencilla:

"C:\Documents and Settings\usuario1\Escritorio\FxAgentB.exe" /EXCLUDE=M:\ /LOG=c:\FxAgentB.txt

Nota: El archivo de registro puede guardarse con el nombre y en la ubicación que usted desee.



La firma digital

Con propósitos de seguridad, FxAgentB.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FxAgentB.exe descargadas directamente del sitio Web de Symantec Security Response.

Si no está seguro del archivo o es un administrador de red y necesita autenticar el archivo antes de distribuirlo, deberá autenticar la firma digital.

Siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó FxAgentB.exe.

    Nota:
    La mayoría de los siguientes pasos se ejecutan desde la línea de comandos de DOS. Si descargó la herramienta de eliminación en el Escritorio de Windows, será más fácil si mueve el archivo a la unidad C. Posteriormente también guarde el archivo Chktrust.exe también en C.

    (El paso 3 considera que tanto el archivo de la herramienta de eliminación, así como el archivo Chktrust.exe se encuentran en la raíz de la unidad C).
  3. Haga clic en Inicio > Ejecutar.
  4. Realice una de estas acciones:
    • Windows 95/98/ME:

      command
    • Windows NT/2000/XP:

      cmd
  5. Haga clic en Aceptar.
  6. En la línea de comandos de DOS, escriba los siguientes comandos y presione la tecla Intro después de escribir cada una de las líneas:

    cd\
    cd descargas
    chktrust -i FxAgentB.exe


    Deberá ver el siguiente mensaje:

    Do you want to install and run   " Backdoor.Agent.B Removal Tool"   signed on 08/19/2004 2:26pm  and distributed by Symantec Corporation?

    Notas:
    • La fecha y la hora de este cuadro de diálogo se ajustarán a su zona horaria cuando su equipo no esté configurado a la zona horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la ha descargado desde el verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea más información, además de como ver el cuadro de diálogo de nuevo, por favor lea el documento, Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor.

  7. Haga clic en para cerrar el cuadro de diálogo.
  8. Escriba exit, y después presione la tecla Intro. Esto cerrará la sesión de MS-DOS.


Resumen