Troj/Apdoor-A

Vea la información para eliminar troyanos.

Windows 95/98/Me

Descargue las últimas identidades (IDE) de virus y guárdelas en un disquete. Proteja contra escritura el disquete.

Si no tiene instalado Sophos Anti-Virus puede obtener la distribución de emergencia en la carpeta Tools\ESD del CD-ROM de Sophos o descargarla aquí, e instalarla en el directorio C:\Sophtemp.

Reinicie el equipo en modo MS-DOS

• En Windows 95/98 seleccione Apagar en el menú Inicio y seleccione 'Reiniciar en modo MS-DOS'.


• En Windows Me necesitará un disco de inicio del sistema. Protéjalo contra escritura y reinicie el sistema con este disquete. A continuación extraiga dicho disquete.

Inserte el disquete con los archivos IDE.

Si Sophos Anti-Virus está instalado en el sistema, escriba

CD C:\ARCHIV~1\SOPHOS~1

(como alternativa CD C:\ARCHIV~1\SOPHOS~2). Escriba DIR *.TXT para comprobar que existe el archivo READ95.TXT (si no existe, pruebe con el directorio alternativo).

Si utiliza la distribución de emergencia de Sophos Anti-Virus en la carpeta Sophtemp, escriba

CD C:\SOPHTEMP

Para borrar los archivos con el gusano, escriba

SWEEP C: -REMOVEF -IDE -P=LOGFILE.TXT

Se utilizarán los archivos IDE incluidos en el disquete.

Reinicie Windows.

Debe modificar ciertas entradas en el registro del sistema. Abra el editor del registro y haga una copia de seguridad antes de modificarlo.

En HKEY_LOCAL_MACHINE, localice y borre las entradas:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\<aleatorio> = <ruta al troyano>

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\<aleatorio> = <ruta al programa de descarga>

Cada usuario tendrá un área en el registro de la forma HKEY_USERS\[código indicativo del usuario]\. Por cada usuario, localice y borre las siguientes entradas:

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\<aleatorio> = <ruta al troyano>

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\<aleatorio> = <ruta al programa de descarga>

Cierre el editor del registro.

Windows 2000/XP

Descargue las últimas identidades (IDE) de virus y guárdelas en un disquete. Proteja contra escritura el disquete.

Reinicie el sistema en modo a prueba de fallos.

En una ventana de comandos, escriba

REGEDIT

Debe modificar ciertas entradas en el registro del sistema. Abra el editor del registro y haga una copia de seguridad antes de modificarlo.

En HKEY_LOCAL_MACHINE localice y borre las siguientes entradas:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\<aleatorio> = <ruta al troyano>

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\<aleatorio> = <ruta al programa de descarga>

Cada usuario tendrá un área en el registro de la forma HKEY_USERS\[código indicativo del usuario]\. Por cada usuario, localice y borre las siguientes entradas:

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\<aleatorio> = <ruta al troyano>

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\<aleatorio> = <ruta al programa de descarga>

Cierre el editor del registro.

Eliminar el gusano con SAV32CLI

Puede ejecutar SAV32CLI desde el CD-ROM de Sophos o descargar la distribución de emergencia de SAV32CLI en un equipo limpio y copiarlo en un CD-ROM.

En el equipo infectado, inserte el CD-ROM (unidad D: en este ejemplo) y el disquete con los archivos IDE (unidad A: en este ejemplo).

En la línea de comandos, escriba

D:

Si utiliza el CD-ROM de Sophos, escriba

CD WIN32\I386\SAV32CLI

Si utiliza SAV32CLI desde otro CD-ROM, escriba

CD SAV32CLI

A continuación, escriba

SAV32CLI -IDEDIR=A:\ -REMOVEF -P=C:\LOGFILE.TXT

Windows NT

Póngase en contacto con soporte técnico.

Otras plataformas

Vea la información (en inglés) para eliminar troyanos.

Troj/Apdoor-A es un troyano de puerta trasera que copia un archivo DLL con un nombre aleatorio en la carpeta temporal de Windows desde donde lo ejecutará.

El archivo DLL del troyano intentará insertarse dentro del proceso del administrador de tareas y, a continuación, se copiará junto con el archivo EXE del troyano en la carpeta System de Windows o en la carpeta temporal. Además, creará la siguiente entrada en el registro para activarse en el inicio del sistema entry:

HKCU o HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<aleatorio>
= <ejecutable del troyano>

Troj/Apdoor-A comprobará esta entrada para asegurarse de que no se modifica o elimina.

Troj/Apdoor-A llegará normalmente desde una Web malintencionada, donde se incluye un script que copiará y ejecutará un archivo de descarga. También creará la siguiente entrada para activarse en el inicio del sistema registry key:

HKCU o HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<aleatorio>
= <archivo de descarga>