Desinfecciones especiales con McAfee

Introducción

Aquí tiene el procedimiento aconsejado por McAfee, y adaptado por nosotros, en caso de tener problemas de actualización o virus remolones en algún ordenador.

Para la correcta gestión de los equipos es muy recomendable que el nombre Netbios y el nombre registrado en uvalred sean el mismo y que en cualquier comunicación en referencia a un equipo se incluya tanto el nombre Netbios como la IP.

[Consultar su IP].

Procedimiento

Antes de ir al equipo afectado

1. Copiar en un pendrive o en CD / DVD el contenido descomprimido del fichero scan.zip disponible en http://enterprise.uv.es/mcafee/instala/
2. Si es posible, proteger contra escritura el pendrive para evitar infecciones.

En el equipo afectado

1. Actualizar el sistema operativo para que disponga de todos los parches de seguridad instalados.
2. Eliminar carpetas y ficheros temporales y cualquier información prescindible y vaciar papelera.
3. Desactivar la función de restauración de sistema
   • Botón derecho en Mi PC.
   • Propiedades.
   • Restauración de sistema.
   • Desactivar.
4. Ejecutar el script:
   • actualiza.bat: Si únicamente va a instalar la actualización del antivirus.
     El script abrirá un programa gráfico donde deberá pulsar el botón Siguiente y Finalizar para que haga la actualización.
     Si el sistema ya estuviese actualizado correctamente aparecerá una ventana de aviso.
   • instala.bat: Para actualizar el antivirus y además instalar todas las herramientas adicionales con las que escanear todo el sistema.
     Estos scripts descargan versiones actualizadas desde el servidor por lo que si el ordenador afectado no dispone de conexión de red, o infecta cualquier fichero ejecutable que se instale en él, se puede ejecutar este script en otro equipo no infectado y copiar en bloque la carpeta \mcafee instalada en el disco raíz a un pendrive (protegido contra escritura) o en un CD / DVD.
5. Una vez instalado se reinicia el sistema en modo a prueba de fallos y va ejecutando por orden los siguientes scripts que encontrará en el disco de sistema (pendrive, CD, DVD...) en la carpeta \mcafee:
   • scan1.bat: Ejecuta un escaneo completo del sistema con el motor normal y unas definiciones de virus extras.
   • scan2.bat: Ejecuta un escaneo completo del sistema con un motor y unas definiciones de virus experimentales.
   • scan3.bat: Ejecuta un programa gráfico de detección de Roorkits.
   • scan4.bat: Ejecuta un programa gráfico especial de escaneo llamado Stinger indicado para un subconjunto de virus que el antivirus normal no detecta o no puede eliminar.
6. Si el sistema ha quedado desinfectado correctamente puede borrar la carpeta \mcafee del directorio raíz (si lo había instalado) y dar por finalizada la intervención.
7. Si el sistema aún tiene virus debe enviar, en un fichero comprimido sin contraseña logs.zip, los ficheros de registro de los programas ejecutados:
   • \mcafee\logs\: Todos los ficheros incluidos en dicha carpeta, report.txt y report2.txt.
   • \mcafee\rk\: Por defecto el fichero RootkitDetectiveReport.txt.
   • \mcafee\st\: Por defecto el fichero stingerg.txt.
     Para guardarlo debe elegir File / Save report to a file.
8. Además deberá comprimir en un fichero virus.zip con la contraseña infected, el fichero o ficheros infectados.
   Tenga en cuenta que los ficheros infectados pueden haber sido trasladados a la carpeta \mcafee\quarantine\.
   

Como enviar los ficheros

Para poder enviar los ficheros a McAfee deberá:

• abrir la carpeta disco.uv.es/cuarentena (si no dispone de permiso puede solicitarlo en antivirus@uv.es),
• crear una carpeta con el nombre de la máquina afectada,
• copiar los ficheros logs.zip y/o virus.zip a dicha carpeta,
• enviar un aviso a antivirus@uv.es junto al nombre Netbios e IP de la máquina afectada.

IMPORTANTE: Recuerde que el nombre Netbios es el nombre que el equipo tiene definido en el Panel de control del sistema y no necesariamente coincide con el nombre que tiene en uvalred, por lo que enviarnos únicamente la IP del equipo no nos sirve de mucho dado que la base de datos del antivirus únicamente permite búsquedas por nombre y no por IP. No obstante es deseable que el nombre Netbios coincida con el nombre definido en uvalred.