Instrucciones para eliminar W32/Apology-B
Sophos Anti-Virus ha encontrado el virus W32/Apology-B en mi ordenador, ¿qué debo hacer?
Si el fichero en cuestión es un fichero adjunto a un correo electrónico que todavía no ha ejecutado, borre el correo directamente. El análisis del virus incluye una lista de los nombres usados por el gusano.
Realice una comprobación utilizando la versión de Sophos Anti-Virus de noviembre de 2000 (3.39) o posterior para verificar que el virus no se ha extendido.
Si el virus se ha extendido utilice la herramienta de desinfección SWAPOL.
Cómo conseguir SWAPOL
SWAPOL es una herramienta de desinfección específica para la familia de virus W32/Apology.
Si no dispone de Sophos Anti-Virus, tendrá que descargar:
- SWAPOL autodescomprimible y guardarlo en el directorio raíz de C:\.
- La distribución de emergencia de SAV (DOS) y guardarla en el directorio raíz de C:\.
El método de desinfección difiere según sea el sistema operativo Windows 95/98/Me o Windows NT/Windows 2000.
Instrucciones para eliminar W32/Apology-B en Windows 95/98/Me
Cómo utilizar el descompresor de ficheros
Extraiga los archivos en el directorio C:\SOPHTEMP. Desde el escritorio de Windows, haga doble clic en Mi PC y luego en C:, donde deben estar los programas APOLSFX.EXE y ESDZ.EXE.
Haga doble clic en APOLSFX.EXE y luego en ESDZ.EXE para extraer los ficheros en el directorio C:\SOPHTEMP.
Reinicie el equipo en modo MS-DOS.
Se recomienda que inicie el equipo utilizando un disco de arranque limpio y seguro y que permita el acceso a la unidad de CD-ROM. Si su sistema es Windows Me deberá arrancar desde un disco de arranque creado desde Windows o desde el CD original.
Si no dispone de un disco de arranque y su sistema es Windows 95/98 puede reiniciar el equipo en modo MS-DOS a través del menú de inicio de Windows: seleccione Inicio|Apagar y elija la opción 'Reiniciar el equipo en modo MS-DOS'.
Nota: debe reiniciar el equipo en modo MS-DOS ya que no obtendrá los mismos resultados ejecutando los comandos desde una ventana MS-DOS.
Después de reiniciar aparecerá el símbolo de sistema.
Vaya al directorio C:\SOPHTEMP
Ya puede utilizar SWAPOL desde la línea de comandos.
Cómo copiar los ficheros desde el CD-ROM de Sophos
Reinicie el equipo en modo MS-DOS.
Se recomienda que inicie el equipo utilizando un disco de arranque limpio y seguro y que permita el acceso a la unidad de CD-ROM.
Si no dispone de un disco de arranque y su sistema es Windows 95/98 puede reiniciar el equipo en modo MS-DOS a través del menú de inicio de Windows: seleccione Inicio|Apagar y elija la opción 'Reiniciar el equipo en modo MS-DOS'.
Nota: debe reiniciar el equipo en modo MS-DOS ya que no obtendrá los mismos resultados ejecutando los comandos desde una ventana MS-DOS.
Después de reiniciar aparecerá el símbolo de sistema.
Compruebe que su equipo puede acceder a la unidad de CD-ROM en modo 16-bit (algunas versiones de Windows 95 no lo permiten). Si no puede acceder, vuelva a Windows, cree la carpeta y copie los ficheros desde el CD-ROM (este método es menos seguro pero sería el único adecuado).
Cree un directorio desde el símbolo de sistema.
MD C:\SOPHTEMP
CD C:\SOPHTEMP
y copie en este directorio los ficheros SWEEP.EXE, VDL.DAT y DOS4GW.EXE desde el directorio \DOS y APOLSFX.EXE desde \TOOLS\UTILS. Ejecute finalmente ejecutable APOLSFX.
COPY D:\DOS\DOS4GW.EXE
COPY D:\DOS\VDL.DAT
COPY D:\TOOLS\UTILS\APOLSFX.EXE
APOLSFX.EXE
donde D: es su unidad de CD-ROM. El sistema está listo para que utilice SWAPOL desde la línea de comandos.
Cómo utilizar SWAPOL desde la línea de comandos
Desde el símbolo de sistema de DOS, ejecute SWEEP.EXE para crear el informe para SWAPOL.
Utilice el comando
SWEEP *: -ALL -F -LANG=ENG -P=C:\SOPHTEMP\INFECTED.REP
SWEEP.EXE escribirá su informe en el fichero INFECTED.REP en el directorio C:\SOPHTEMP.
Utilice el informe
Ahora debe transmitir el informe a SWAPOL, utilizando el comando
SWAPOL le pedirá confirmación para desinfectar individualmente cada uno de los ficheros infectados.
Presione la tecla 'Y' y entonces SWAPOL procederá a la desinfección. Debería aparecer el mensaje
El fichero está limpio y el virus destruido.
Cuando finalice la ejecución de SWAPOL, vuelva a ejecutar SWEEP.EXE desde la línea de comandos para buscar los archivos que todavía no estén limpios.
Si todavía existen ficheros infectados, bórrelos y reemplacemos desde el CD original o desde un ordenador limpio.
Cómo eliminar W32/Apology-B para Windows NT/Windows 2000
Aunque W32/Apology-B no es un virus que se reproduzca fácilmente en equipos con Windows NT/Windows 2000, puede encuentre algunos ficheros infectados y quizás el componente de puerta trasera MTX_.EXE.
Para eliminar MTX_.EXE, debe primero cerrar el programa. Para ello, presione al mismo tiempo Control, Alt y Sup, haga clic en Administrador de Tareas, seleccione la pestaña Procesos, elija MTX_ y haga clic en Finalizar Proceso. Una vez desbloqueado MTX_.EXE, cierre el Administrador de Tareas y elimine el fichero MTX_.EXE del disco duro.
Si su sistema es Windows 95/98/Me debería proceder a la desinfección en modo MS-DOS, tal y como se indica en las instrucciones descritas anteriormente. Asegúrese de que los equipos con Windows 95/98/Me no tienen ninguna sesión abierta y que los ficheros infectados en su servidor Windows NT/Windows 2000 están desbloqueados. Ahora puede ejecutar SWAPOL en su servidor.
Cómo ejecutar SWAPOL para Windows NT/Windows 2000
SWAPOL puede ejecutarse desde la ventana de comandos de Windows NT/Windows 2000.
La herramienta SWEEP escanéa sólo un disco cada vez, por lo que deberá escanear cada unidad por separado.
Desde la ventana de comandos ejecute SWEEP.EXE para crear el informe para SWAPOL.
Si su disco duro es C: utilice el comando
SWEEP C: -ALL -F -LANG=ENG -P=C:\SOPHTEMP\INFECTC.REP
SWEEP.EXE escribirá el informe en el fichero INFECTC.REP en directorio C:\SOPHTEMP.
Para D: utilice el mismo comando pero sustituyendo C: por D: e INFECTC por INFECTD. El fichero que contendrá el informe será INFECTD.REP.
Utilice el informe
Ahora debe transmitir el informe a SWAPOL utilizando el comando
SWAPOL le pedirá confirmación para desinfectar individualmente cada uno de los ficheros infectados.
Presione la tecla 'Y' y SWAPOL procederá a la desinfección. Debería aparecer el mensaje
El fichero está limpio y el virus posiblemente destruido.
Repita el proceso con el informe INFECTD.REP y el archivo apropiado para cada uno de los discos duros.
Cuando finalice la ejecución de SWAPOL, vuelva a ejecutar SWEEP.EXE desde la ventana de comandos para buscar los archivos que todavía no estén limpios.
Si todavía existen ficheros infectados, bórrelos y reemplacemos desde el CD original o desde un ordenador limpio.
Más información
Para más información sobre los procesos de desinfección lea READSWAP.TXT (en inglés).
