Professional Translation Service
Translated has no connection with the authors of this page and is not responsible for its content.

View original page		 Lingobot Home 

What you are seeing is the cache version of a page that has been translated automatically

Symantec.com
VERITAS.com
Socios
Sobre Symantec
carroCarro
Sociosde la empresadel hogar agradablede la pequeña empresa y de Ministerio del Interiorsobre Symantec
Symantec.com > respuesta de la seguridad > herramienta del retiro de W32.Sasser

Herramienta del retiro de W32.Sasser

Herramienta del retiro de la transferencia directa | Página amistosa de la impresora

Descubierto: 1 de mayo de 2004
Actualizado: 7 de diciembre de 2005 03:26: 07 P.M. ZE9
Tipo: Información del retiro

La respuesta de la seguridad de Symantec ha desarrollado una herramienta del retiro para limpiar las infecciones de las variantes siguientes del gusano de W32.Sasser:

La familia de W32.Sasser de gusanos puede funcionar en (pero no infectar) las computadoras de Windows 95 /98/Me. Aunque estos sistemas operativos no pueden ser infectados, pueden todavía ser utilizados para infectar sistemas vulnerables que pueden conectar con. En este caso, el gusano perderá muchos de recursos de modo que los programas no puedan funcionar correctamente, incluyendo nuestra herramienta del retiro. (En las computadoras de Windows 95 /98/Me, la herramienta se debe funcionar en modo seguro.)


Nota: La ejecución del gusano hace LSASS.EXE estrellarse en algunos sistemas. El resultado de esto es que el sistema puede experimentar un reboot. El fixtool puede ser funcionado con éxito solamente después que el sistema ha terminado el reboot.



Qué lo hace la herramienta

La herramienta del retiro de W32.Sasser hace el siguiente:
  1. Termina los procesos virales de W32.Sasser.
  2. Suprime los archivos de W32.Sasser.
  3. Suprime los valores del registro que el gusano agrega.

Comando-línea disponible interruptores para esta herramienta


Interruptor

Descripción

¿/HELP, /H,/?
Exhibe el mensaje de la ayuda.

/NOFIXREG
Inhabilita la reparación del registro (no recomendamos el usar de este interruptor).

/SILENT, /S
Permite el modo silencioso.

/LOG = [NOMBRE DE LA TRAYECTORIA]
Crea un fichero de diario donde [NOMBRE de la TRAYECTORIA] está la localización en la cual para almacenar la salida de la herramienta. Por defecto, este interruptor crea el fichero de diario, FxSasser.log, en la misma carpeta de la cual la herramienta del retiro fue ejecutada.

/MAPPED
Explora la red traz conduce (no recomendamos el usar de este interruptor. Ver la nota siguiente).

/START
Fuerza la herramienta para comenzar inmediatamente a explorar.

/EXCLUDE = [TRAYECTORIA]
Excluye especificado [TRAYECTORIA] de la exploración (no recomendamos el usar de este interruptor. Ver la nota siguiente).

/NOFILESCAN
Previene la exploración del sistema de ficheros.


Nota: Usar el interruptor de /MAPPED no asegura el retiro completo del virus en la computadora alejada, porque:
    • La exploración de las impulsiones traz explora solamente las carpetas traz. Esto puede no incluir todas las carpetas en la computadora alejada, que puede conducir a las detecciones faltadas.
    • Si un archivo viral se detecta en la impulsión traz, el retiro fallará si un programa sobre la computadora alejada utiliza este archivo.

Por lo tanto, debes funcionar la herramienta en cada computadora.


El interruptor de /EXCLUDE funcionará solamente con una trayectoria, no múltiple. Un alternativa es el interruptor de /NOFILESCAN, seguido por una exploración manual con AntiVirus. Esto permitirá que la herramienta altere el registro.

Entonces, explorar la computadora con AntiVirus y las definiciones actuales del virus. Debes poder limpiar el sistema de ficheros después de terminar estos pasos.

La línea de comando siguiente del ejemplo se puede utilizar para excluir una sola impulsión:

> " C:\Documents y ajustes \ user1 \ tablero del escritorio \ FxSasser.exe " /EXCLUDE = M:\ /LOG = c:\FxSasser.txt


Alternativomente, la línea de comando abajo saltará la exploración del sistema de ficheros, pero reparará las modificaciones del registro. Funcionar una exploración regular del sistema con las exclusiones apropiadas:

> " C:\Documents y ajustes \ user1 \ tablero del escritorio \ FxSasser.exe " /NOFILESCAN /LOG = c:\FxSasser.txt


Notas:
  • El símbolo mayor que (>) no es pieza de la trayectoria.
  • El nombre del fichero de diario puede ser lo que tú selecto. El nombre enumerado está para el propósito único de este ejemplo.


Obteniendo y funcionando la herramienta

Nota: Debes tener derechas administrativas de funcionar esta herramienta en Windows NT 4.0, el Windows 2000, o Windows XP.

ADVERTENCIA: Para los administradores de la red. Si estás funcionando el servidor 2000 del MS intercambio, recomendamos que excluyes la impulsión de M de la exploración funcionando la herramienta de una línea de comando con el interruptor del excluir.

Para más información, leer el artículo de la base de conocimiento de Microsoft, XADM: No sostener ni explorar la impulsión M (artículo 298924) del intercambio 2000.
  1. Descargar el archivo de FxSasser.exe de: http://securityresponse.symantec.com/avcenter/FxSasser.exe.

    Nota: La versión 1.0.1 (según las indicaciones de la barra del título del diálogo de la herramienta del retiro) proporciona la ayuda para W32.Sasser.B.Worm y W32.Sasser.Worm.

  2. Excepto el archivo a una localización conveniente, tal como tu carpeta de las transferencias directas o el tablero del escritorio de Windows, o los medios desprendibles sabidos para ser no infectado.
  3. Para comprobar la autenticidad de la firma digital, referir “a la sección de la firma de Digital” más adelante en este relato.
  4. Cerrar todos los programas del funcionamiento antes de funcionar la herramienta.
  5. Si estás en una red o si tienes una conexión a tiempo completo al Internet, desconectar la computadora de la red y del Internet.
  6. Si estás funcionando Windows yo o XP, después inhabilitar el Restore del sistema. Referir “opción del Restore del sistema en a la sección de Windows Me/XP” más adelante en este relato para otros detalles.

    Precaución: Si estás funcionando Windows Me/XP, recomendamos fuertemente que no saltas este paso.

  7. Hacer uno del siguiente:
    • Si estás funcionando Windows NT /2000/XP, saltar al paso 8.
    • Si estás funcionando Windows 95 /98/Me, recomenzar la computadora en modo seguro. Para las instrucciones, leer el documento, cómo encender la computadora en modo seguro.
  8. Doble-tecleo el archivo de FxSasser.exe para encender la herramienta del retiro.
  9. Chascar el comienzo para comenzar el proceso, y después permitir que la herramienta funcione.
  10. Recomenzar la computadora.
  11. Funcionar la herramienta del retiro otra vez para asegurarse de que el sistema está limpio.
  12. Si estás funcionando Windows Me/XP, después volver a permitir el Restore del sistema.
  13. Funcionar LiveUpdate para cerciorarse de que estás utilizando las definiciones más actuales del virus.

Nota: El procedimiento de retiro puede no ser acertado si el Restore del sistema de Windows Me/XP no se inhabilita según lo dirigido previamente, porque Windows previene programas exteriores de Restore de modificación del sistema.

Cuando la herramienta ha acabado el funcionamiento, verás un mensaje el indicar de si W32.Sasser infectó la computadora. En el caso de un retiro del gusano, el programa exhibe los resultados siguientes:
  • Número total de archivos explorados
  • Número de archivos suprimidos
  • Número de archivos reparados
  • Número de procesos virales terminados
  • Número de las entradas fijas del registro

Firma de Digital
FxSasser.exe digital se firma. Symantec recomienda que utilizas solamente copias de FxSasser.exe, que se han descargado directamente del Web site de la respuesta de la seguridad de Symantec. Para comprobar la autenticidad de la firma digital, seguir estos pasos:
  1. Ir a http://www.wmsoftware.com/free.htm.
  2. Descargar y excepto el archivo de chktrust.exe a la misma carpeta en la cual ahorraste FxSasser.exe (por ejemplo, C:\Downloads).
  3. Dependiendo de tu sistema operativo, hacer uno del siguiente:
    • Chascar el comienzo, punto a los programas, y después chascar el aviso del MS-DOS.
    • Chascar el comienzo, punto a los programas, accesorios del tecleo, y después chascar el aviso de comando.

  4. Cambiar a la carpeta en la cual se almacenan FxSasser.exe y Chktrust.exe, y después mecanografiar: chktrust - i FxSasser.exe.

    Por ejemplo, si ahorraras el archivo a la carpeta de C:\Downloads, incorporarías los comandos siguientes:

    Cd \
    transferencias directas del Cd
    chktrust - i FxSasser.exe

    Presionar entran después de mecanografiar cada comando. Si la firma digital es válida, verás el siguiente:

    Deseas instalar y funcionar “la herramienta del retiro de W32.Sasser” firmada en 05/10/2004 3:45 P.M. y distribuida cerca: ¿Symantec Corporation?

    Nota
    • La fecha y la hora exhibidas en esta caja de diálogo serán ajustadas a tu zona de tiempo, si tu computadora no se fija a la zona de tiempo pacífico.
    • Si estás utilizando tiempo del ahorro de la luz del día, el tiempo exhibido será exactamente una hora anterior.
    • Si no aparece esta caja de diálogo, hay dos razones posibles:
      • La herramienta no es de Symantec: A menos que seas seguro que la herramienta es legítima y que la descargaste del Web site legítimo de Symantec, no debes funcionarlo.
      • La herramienta es de Symantec y es legítima: Sin embargo, tu sistema operativo fue mandado previamente confiar en siempre el contenido de Symantec. Para la información sobre esto y sobre cómo ver el diálogo de la confirmación otra vez, leer el documento, cómo restaurar la caja de diálogo de la confirmación de la autenticidad del editor.

  5. Chascar sí para cerrar la caja de diálogo.
  6. Mecanografiar la salida, y después presionar entran. (Esto cerrará la sesión del MS-DOS.)

Opción del Restore del sistema en Windows Me/XP
Los usuarios de Windows yo y de Windows XP deben dar vuelta temporalmente apagado a Restore del sistema. Windows Me/XP utiliza esta característica, que es permitida por el defecto, para restaurar los archivos en tu computadora en caso de que se dañen. Si un virus, un gusano, o un Trojan infecta una computadora, el Restore del sistema puede sostener el virus, el gusano, o el Trojan en la computadora.

Windows previene programas exteriores, incluyendo programas del antivirus, de Restore de modificación del sistema. Por lo tanto, los programas del antivirus o las herramientas no pueden quitar amenazas en la carpeta del Restore del sistema. Consecuentemente, el Restore del sistema tiene el potencial de restaurar un archivo infectado sobre tu computadora, incluso después hayas limpiado los archivos infectados de todas las otras localizaciones.

También, una exploración del virus puede detectar una amenaza en la carpeta del Restore del sistema aun cuando tú para haber quitado la amenaza.


Para las instrucciones en cómo dar vuelta apagado a Restore del sistema, leer tu documentación de Windows, o uno de los artículos siguientes:
Para la información adicional, y un alternativa a inhabilitar Windows Restore del sistema, ve el artículo de la base de conocimiento de Microsoft, herramientas de Antivirus no puede limpiar archivos infectados en la carpeta del _Restore, identificación del artículo: Q263455.

IMPRIMIR ESTA PÁGINAIMPRIMIR ESTA PÁGINA
Búsqueda por nombre
Ejemplo: W32.Beagle.AG@mm
Norton AntiVirus
Seguridad 3.1 del cliente
Índice del sitio · Avisos legales · Política de aislamiento · · Entrarnos en contacto con · Sitios globales · Acuerdos de licencia
©1995 - Symantec 2006 Corporation