Opciones de escaneado con SAV32CLI

Este artículo ofrece información sobre las opciones de escaneado con SAV32CLI, el escaneado de línea de comandos de Sophos Anti-Virus para equipos Windows NT, Windows 2000, Windows XP y Windows 2003.

• Consulte el artículo Eliminar archivos maliciosos con SAV32CLI para obtener información básica sobre cómo eliminar virus, programas espía, troyanos y gusanos con SAV32CLI.
• Consulte las notas de la edición de SAV32CL para obtener más información sobre el uso de SAV32CLI.

Este artículo trata:

• Ejecutar un escaneado para obtener información
• Desinfectar archivos
• Escanear todos los archivos
• Escanear los sectores de arranque de CD-ROM de arranque
• Usar archivos IDE desde otro directorio
• Escanear discos duros individuales
• Suspender el escaneado de archivos de gran tamaño
• Eliminar archivos sin solicitud de confirmación

Qué hacer

En caso de una infección de virus, ejecute SAV32CLI en modo seguro desde la línea de comandos. Consulte Eliminar archivos maliciosos con SAV32CLI para más información. En los apartados de más abajo, el término 'virus' se usa para referirse a virus, troyanos, gusanos y otros programas maliciosos.

Ejecutar un escaneado para obtener información

Para ejecutar un escaneado para obtener información solamente, como para crear un registro, escriba lo siguiente en la línea de comandos:

SAV32CLI -P=C:\SCANLOG.TXT

Este comando creará un registro de archivos infectados, pero no los desinfectará ni borrará. A continuación puede copiar el registro en un disquete para imprimir o enviar por email. Si ejecuta SAV32CLI sin el parámetro -P de la línea de comandos, la información tan sólo será escrita en la pantalla.

Desinfectar archivos

Para desinfectar elementos infectados con SAV32CLI, use el parámetro '-di' de la línea de comandos.

• Si un archivo ha sido infectado en más de una ocasión (ya sea por virus diferentes o por el mismo virus en varios casos), es posible que sea necesario ejecutar varios escaneados para desinfectar todas las infecciones de virus.
• No utilice el parámetro '-remove' de la línea de comandos en el mismo escaneado que '-di', puesto que podría borrar un archivo que ya podría haber sido desinfectado.
• Si la infección en el ordenador parece progresar rápidamente, haga copias de seguridad de sus documentos y archivos en CD-ROM o DVD antes de llevar a cabo la desinfección.

El parámetro de la línea de comandos '-di' desinfectará los sectores de arranque infectados, algunos archivos (.exe) de programa infectados, y documentos infectados (como .doc, .xls).

Así, si su ordenador ha sido infectado con varios virus, virus de macro y gusanos, cierre los procesos infectados (o bien de forma manual o bien usando el modo a prueba de fallos con la línea de comandos), a continuación ejecute varios escaneados para desinfectar y eliminar estos programas maliciosos. Mantenga un registro de todos los escaneados.

En primer lugar, ejecute

SAV32CLI -DI -P=C:\SCANLOG1.TXT

Anote el número de archivos desinfectados.

Ejecute el escaneado de nuevo, con un nombre de registro diferente

SAV32CLI -DI -P=C:\SCANLOG2.TXT

Si el número de archivos desinfectados ha disminuido, ejecute un escaneado por tercera vez. En caso contrario, o si el número es '0', elimine todos los demás archivos de virus:

SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

Los escaneados anteriores desinfectarán todos los archivos que pueden desinfectarse y eliminarán el resto.

Durante este proceso se desinfectará cualquier archivo infectado. Consulte el análisis del virus en cuestión para saber si el virus puede haber corrompido datos en el documento. Si verifica los registros, es posible que algunos archivos de gusanos o troyanos estuvieran infectados con un virus, de modo que primero fueron desinfectados y, a continuación, suprimidos.

Nota: si el número de archivos infectados aumenta entre escaneados, póngase en contacto con soporte técnico.

Escanear todos los archivos

Por defecto, Sophos Anti-Virus comprueba archivos que reconoce como ejecutables, y archivos con extensiones usadas por tipos de archivos ejecutables conocidos.

Puede escanear todos los archivos, no sólo los ejecutables, con SAV32CLI usando el parámetro '-all' de la línea de comandos.

• Un escaneado de 'todos los archivos' puede llevar más tiempo que un escaneado solamente de ejecutables.
• Muy pocas veces, si cabe, debería eliminar un archivo no ejecutable desde la línea de comandos. Un escaneado Windows debería permitirle hacer esto, además de ser una tarea más fácil.
• Tenga especial atención al eliminar archivos con un escaneado de 'todos los archivos', puesto que podría eliminar buzones de correo con un mensaje infectado, o archivos comprimidos enteros con sólo un archivo infectado.

Escanear los sectores de arranque de CD-ROM de arranque

Puede usar el parámetro '-cdr' de la línea de comandos para especificar la unidad de CD que contiene un CD-ROM que desea escanear. Por ejemplo, si usa

sav32cli -cdr=D

SAV32CLI realizará un escaneado en busca de una imagen de sector de arranque en un CD-ROM en la unidad D. Si se encuentra una imagen, SAV32CLI verificará el sector de arranque de esa imagen en busca de virus de sector de arranque. Si usa el parámetro '-loopback', SAV32CLI escaneará los archivos en esa imagen de sector de arranque en busca de virus ejecutables.

Usar archivos IDE desde otro directorio

El parámetro de la línea de comandos '-idedir' le permite usar un directorio o unidad alternativos, para especificar donde estarán los archivos de identidad (IDE) de virus. El directorio predeterminado es el directorio con los principales datos de virus. Generalmente, será el directorio que contiene SAV32CLI.EXE.

Por ejemplo, si escribe

SAV32CLI -idedir=A:\

se usarán los archivos IDE del directorio raíz de un disquete en la unidad A:.

Escanear discos duros individuales

Para escanear todo el sistema, escriba 'SAV32CLI' y cualquier parámetro de desinfección. No utilice '*:'

Para escanear discos duros individuales, use 'SAV32CLI C:' o 'SAV32CLI D:', etc.

Para más información sobre el uso de caracteres comodín y exclusiones, consulte las notas de edición de SAV32CLI.

Suspender el escaneado de archivos de gran tamaño

SAV32CLI puede suspender el escaneado de algunos tipos de archivo malicioso diseñado para interrumpir la actividad de los escáneres antivirus. Estos archivos, que a menudo son denominados "bombas zip", normalmente adoptan una apariencia normal como archivos comprimidos que, al ser descomprimidos para ser escaneados, requieren mucho tiempo, espacio en disco o memoria.

La opción de la línea de comandos --stop-scan ordena a SAV32CLI detener el escaneado de tales "bombas zip" cuando sean detectadas. Por ejemplo:

SAV32CLI -archive -all C:\ --stop-scan

escanea todos los objetos (archivos y directorios) en la unidad C:, escaneando dentro de archivos comprimidos y deteniéndose cuando se detecta una "bomba zip".

Cuando se detecta una "bomba zip", aparecerá un mensaje como

Aborted checking C:\misc\b.zip - appears to be a 'zip bomb'

Eliminar archivos sin solicitud de confirmación

Puede ahorrar tiempo al desinfectar ordenadores mediante el parámetro de 'no confirmación' '-nc' de la línea de comandos junto con '-remove'. Esto borrará todos los archivos infectados automáticamente. Sin embargo, si ejecuta este comando, especialmente con un escaneado de 'todos los archivos' con el parámetro '-all' de la línea de comandos, correrá el riesgo de perder archivos comprimidos y buzones de correo enteros que contengan solamente un archivo infectado y documentos infectados que podrían haberse desinfectado.

Además, si muchos archivos de sistema están infectados, podría reducir el ordenador a un estado en el que la recuperación de datos no sería posible sin herramientas especiales.

Use sólo el parámetro anterior cuando esté seguro de qué archivos y tipos de archivos están infectados.