DESCÁRGATE la herramienta para eliminar el gusano Klez.I

Nombre: W32/Klez.I Alias: W32/Klez.G@mm, W32/Klez.gen@MM, W32/Klez.K-mm, WORM_KLEZ.G, W32/Klez.H Categorías del virus: GUSANO ¿Reparable?: Sí Tamaño: 85 Kbytes Incluido en lista "In The Wild": No DESINFECCIÓN desde Symantec:

• Descargue el archivo FixKlez.com de http://securityresponse.symantec.com/avcenter/FixKlez.com

Symantec ha desarrollado una herramienta que permite eliminar las infecciones causadas por W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587 y W32.ElKern.4926. W32.Klez.gen@mm es un sistema de detección genérico para variantes de W32.Klez. Es muy probable que los equipos infectados por W32.Klez.gen@mm hayan estado expuestos también a W32.Klez.E@mm o W32.Klez.H@mm. Si su equipo se detecta como infectado por W32.Klez.gen@mm, descargue y ejecute la herramienta. En la mayoría de casos, la herramienta podrá remover la infección. Utilidad de la herramienta: La herramienta de eliminación de W32.Klez realiza las siguientes tareas:

• Termina todos los procesos asociados con W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587 y W32.ElKern.4926.
• Elimina los servicios W32.Klez.E@mm y W32.Klez.H@mm.
• Elimina las entradas del registro creadas por W32.Klez.E@mm y W32.Klez.H@mm.
• Detecta todos los tipos de infección causados por W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587 y W32.ElKern.4926 y repara los archivos que se puedan reparar.

NOTA: Los archivos infectados por W32.Klez.E@mm o W32.Klez.H@mm incluyen un vínculo al archivo host encriptado. En caso de que el archivo encriptado al que se accede mediante el vínculo no exista, la herramienta borrará el archivo infectado, pues no se podrá reparar, y el archivo encriptado no se restaurará. La reparación de W32.ElKern.3587 y W32.ElKern.4926 implica la eliminación de código de virus del archivo. No obstante, esto no garantiza el funcionamiento correcto de un archivo que ya no esté infectado con W32.ElKern, pues este virus, a menudo, daña los archivos. Parámetros de línea de comandos disponibles para esta herramienta /HELP, /H, /?: Muestra el mensaje de ayuda. /NOFIXREG: Desactiva la reparación del registro (el uso de este parámetro no es recomendable). /SILENT, /S: Activa el modo silencioso. /LOG=: Crea un archivo de registro; es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro FixKlez.log en la misma carpeta desde la que se ejecute la herramienta de eliminación. /MAPPED: Analiza las unidades de red asignadas (el uso de este parámetro no es recomendable; consulte las notas). /START: Obliga a la herramienta a iniciar el análisis inmediatamente. /EXCLUDE=: Excluye del análisis la especificada (el uso de este parámetro no es recomendable). NOTA: El uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos: El análisis de unidades asignadas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, por lo que se producirían omisiones en la detección. Si se hallara un archivo infectado en la unidad asignada, no se podría llevar a cabo la eliminación de dicho archivo si otro programa lo estuviese usando. La reparación de un archivo infectado por W32.Klez.E@mm o W32.Klez.H@mm podría no realizarse correctamente si dicho archivo se ubicara en la unidad asignada. Esto se debe a que la ruta del archivo huésped original encriptado tiene carácter local. Por estos motivos, se debe ejecutar la herramienta de forma local en todos los equipos. Para obtener y ejecutar la herramienta:

• 1. Descargue el archivo FixKlez.com de http://securityresponse.symantec.com/avcenter/FixKlez.com
• 2. Guarde el archivo en una ubicación adecuada, por ejemplo, una carpeta de archivos descargados ubicada en el Escritorio de Windows (o bien en un medio de almacenamiento extraíble que, a ser posible, esté libre de infecciones)
• 3. Para comprobar la autenticidad de la firma digital, consulte la sección La firma digital.
• 4. Cierre todos los programas antes de ejecutar la herramienta.
• 5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red, así como la conexión a Internet.
• 6. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Consulte la sección Opción Restaurar sistema de Windows Me/XP si desea obtener más detalles al respecto.
NOTA: Es muy importante que, si ejecuta Windows Me/XP, no omita este paso.
• 7. Haga doble clic en el archivo FixKlez.com para iniciar la herramienta de eliminación.
• 8. Haga clic en Start para que se inicie el proceso y, de este modo, se ejecute la herramienta.
• 9. Reinicie el equipo.
• 10. Ejecute la herramienta de eliminación para asegurarse de que el sistema quede limpio.
• 11. Si está utilizando Windows Me/XP, tendrá que volver a activar Restaurar sistema. NOTA: El procedimiento de eliminación podría no funcionar si Restaurar sistema de Windows Me/XP no se desactiva como se ha especificado arriba, ya que Windows evita que otros programas modifiquen la opción Restaurar sistema. Por este motivo, la eliminación podría no llevarse a cabo correctamente..
• 12. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

NOTA: Si se ha activado W32.Klez.gen@mm antes de ejecutar la herramienta de eliminación, en la mayoría de los casos no se podrá iniciar Norton AntiVirus (NAV). Podrá hallar instrucciones acerca del modo de ejecutar NAV desde la línea de comandos, así como sobre la reinstalación de este programa, en la sección de eliminación del documento relativo al virus W32.Klez.E@mm. Cuando termine de ejecutarse la herramienta, aparecerá un mensaje en el que se indica si el equipo está infectado por W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587 o W32.ElKern.4926. Si se ha eliminado alguna infección, el programa mostrará los siguientes resultados: El número total de archivos analizados El número de archivos eliminados El número de archivos reparados El número de procesos víricos terminados El número de servicios víricos eliminados El número de entradas de registro reparadas La firma digital FixKlez.com está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FixKlez.com descargadas directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos: 1. 1. Acceda a http://www.wmsoftware.com/free.htm. (Este recurso se encuentra en inglés.) 2. 2. Descargue y guarde el archivo Chktrust.exe en la misma carpeta en la que haya guardado FixKlez.com (por ejemplo, C:\Descargas). 3. 3. Dependiendo de la versión de Windows que utilice, elija una de las siguientes opciones: Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS. Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y, acto seguido, seleccione MS-DOS. Acceda a la carpeta que contiene FixKlez.com y Chktrust.exe y escriba lo siguiente: chktrust -i FixKlez.com Por ejemplo, si el archivo se encuentra en la carpeta C:\Descargas, introduzca los siguientes comandos: cd\ cd descargas chktrust -i FixKlez.com 4. Presione INTRO después de introducir cada comando. Si la firma digital es válida, aparecerá lo siguiente: "Se pide su aprobación para instalar y ejecutar 'W32.Klez Fix Tool' firmado el 19/04/02 7:40 y distribuido por Symantec Corporation." NOTAS: La fecha y la hora de este cuadro de diálogo se ajustarán a su zona horaria cuando su equipo no esté configurado según la zona horaria del Pacífico. Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos. Si no se muestra este cuadro de diálogo, no utilice esa copia de FixKlez.com, puesto que no pertenece a Symantec. 5. Haga clic en Sí para cerrar el cuadro de diálogo. 6. Escriba exit y presione INTRO para cerrar la sesión en MS-DOS. Opción Restaurar sistema de Windows ME/XP Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen Restaurar sistema. Como resultado, existe la posibilidad de que se pudiera restaurar, de forma accidental, un archivo infectado, o bien que un escáner en línea detectase la amenaza en dicha ubicación. Si desea obtener instrucciones sobre el modo de desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos: How to disable or enable Windows Me System Restore. (Este recurso se encuentra en inglés.) How to disable or enable Windows XP System Restore. (Este recurso se encuentra en inglés.) Si desea obtener más información y un método alternativo para deshabilitar la función Restaurar sistema, consulte el archivo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder de la Base de información de Microsoft, cuyo ID es: Q263455. (Este recurso se encuentra en inglés.) Cómo ejecutar la herramienta desde un disquete 1. Inserte el disquete que alberga el archivo FixKlez.com en la unidad correspondiente. 2. Haga clic en Inicio y después, en Ejecutar. 3. Escriba lo siguiente y, después, haga clic en Aceptar: a:\fixklez.com NOTAS: No inserte ningún espacio en el comando a:\fixklez.com Si utiliza Windows Me y la opción Restaurar sistema permanece habilitada, aparecerá un mensaje de advertencia. Puede elegir entre ejecutar la herramienta de eliminación con la opción Restaurar sistema habilitada o cerrar la herramienta. 4. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta. 5. Si está utilizando Windows Me, tendrá que volver a activar Restaurar sistema. DESINFECCIÓN desde Panda: Pulse AQUÍ para solucionar la infección del gusano W32/Klez.I W32/Klez.I es un gusano escrito en Visual C++ 6.0 que se propaga por correo electrónico enviándose a todos los contactos de la libreta de direcciones. Las características de los mensajes que envía pueden ser diferentes en cada ocasión. Este gusano está preparado para finalizar ciertos procesos en los ordenadores afectados, así como para borrar ficheros. Alguno de los ficheros que borra podrían corresponder a ciertos productos antivirus. Por otra parte, utiliza una vulnerabilidad de Internet Explorer, ya utilizada por otros gusanos, consistente en permitir la ejecución de ficheros adjuntos de forma automática al abrir el mensaje o simplemente al verlo a través de la vista previa de Outook. Si desea descargar el parche que soluciona esta vulnerabilidad, visite la siguiente página: http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP