El boletín Informativo fue enviado a nuestra lista de correo gratuita el 18 de Septiembre de 2.001

    Ante todo debemos de señalar que el Nimda se reproduce a través de la red local. Si utiliza una red local, y vuelve a conectar un ordenador "limpio" a la red, y alguno de los otros ordenadores está infectado, al cabo de 10 minutos el virus volverá a aparecer en la máquina que ya estaba limpia. Por tanto, deberá realizar el proceso en todas las máquinas infectadas, mientras todas estén desconectadas de la red.

 

Pasos previos

1)  Descargue el parche que corrige la vulnerabilidad de Windows a través de la cual este virus se inserta en el ordenador. Tal como se indicaba en el boletín informativo, podrá encontrar este parche en la dirección siguiente

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

    Si no conoce exactamente cual es la versión de su explorador de Internet, ábralo y vaya a "Ayuda" haga click en "Acerca de Internet Explorer". Las versiones que necesitan el parche son 5.01 y 5.5
    Internet Explorer 6 no necesita el parche ya que no tiene esa vulnerabilidad.

2) Instale el parche correspondiente en su ordenador

3) Reinicie la máquina.

 

Instrucciones para eliminar el virus Nimda del ordenador
de forma automática

- Descargue el programa AntiNimda (490 kb) -> pulsando aquí <-
- Ejecute el programa desde cualquier versión de Windows (95/98/ME/2000/NT)
- Se abrirá una ventana de MSDos y empezará el proceso de búsqueda por todo el disco. Es posible que no aparezca ningún mensaje ni indicación de que el programa está trabajando, pero podrá ver como el disco duro no para de funcionar, lo que es indicativo del correcto funcionamiento del programa.
- Cuando finalice el programa, reinicie el ordenador y ejecute AVP Escaner para comprobar la total limpieza del ordenador.

IMPORTANTE: Este programa desactiva la compartición de todos los discos duros del ordenador. Una vez finalizado el programa, deberá volver a compartir las unidades de disco que desee.


Instrucciones para eliminar el virus Nimda del ordenador
de forma manual

    Hay que seguir los siguientes pasos para desinfectar correctamente el virus Nimda de forma manual.

NOTA: Estos pasos pueden variar a lo largo de la semana, según vaya apareciendo nueva información sobre el virus y vayan apareciendo nuevas actualizaciones del antivirus.

1) La forma que tiene el gusano para transmitirse a través de la red y en la propia máquina infectada, es creando ficheros *.EML y *.NWS. Vamos a proceder a eliminar todos estos ficheros que se han creado en nuestro ordenador. Para localizar todos estos ficheros, hay que ir a "Inicio->Buscar->Archivos o Carpetas". La búsqueda ha de realizarse por todo el disco duro. En el campo "nombre" introduzca: *.EML y pulse intro. En la parte inferior le saldrán todos los archivos encontrados.

    Selecciónelos todos y elimínelos. Siga los mismo pasos para eliminar los ficheros *NWS. La única diferencia está que ahora en el campo "nombre" tiene que poner *.NWS.

    AVP puede borrar estos archivos por él mismo, pero es preferible hacerlo de este modo ya que será más sencillo controlar el resto del proceso de desinfección cuando se ejecuta el antivirus.

2) El gusano modifica el fichero de inicio SYSTEM.INI, del siguiente modo

[boot]
shell=explorer.exe load.exe -dontrunold

    De esa forma se asegura que será ejecutado cada vez que se reinicie el ordenador y por ese motivo, al estar siendo utilizado por el sistema, no se podría borrar.

    Para desinfectar completamente el ordenador es necesario modificar dicha línea y dejarla en su estado original, que es

[boot]
shell=explorer.exe

    Para modificar la línea, abra el Bloc de Notas y desde allí abra el archivo C:\WINDOWS\SYSTEM.INI


3) Reinicie el ordenador

4) Descargue el antivirus AVP si no lo ha hecho aún. Instálelo. Descargue el fichero con las últimas bases semanales e instálelas también.

5) Ejecute el AVP Escáner (registrado o Demo) que previamente habrá de haber descargado. Configúrelo de la siguiente forma:

- Usuarios Registrados:  marque "Desinfectar Automáticamente" en la pestaña "Acciones". Cuando el antivirus detecte algún virus que no pueda ser desinfectado, le preguntará si desea borrarlo. Ha de responder afirmativamente.

- Usuarios NO Registrados. En esta categoría hay que distinguir dos tipos de usuarios:

    a) Usuarios NO registrados con ordenadores usando Windows 95/98/Millenium que NO estén conectados a redes locales de ninguna clase: marque "Borrar Fichero Automáticamente" en la pestaña "Acciones". 

    b) Usuarios NO registrados usando Windows NT/2000 o que, aún sin usar ese sistema, estén conectados a una red local que disponga de un ordenador que haya sido infectado por el virus y que utilice sistema operativo NT/2000: lamentablemente la versión Demo del antivirus podrá borrar los archivos infectados, pero podría borrar también archivos del sistema. Solo la versión registrada o la utilidad AntiNimda podrá limpiar efectivamente estas máquinas.

    Una vez configurado el AVP Escáner correctamente, pulsar el botón "Buscar Ahora". Cada vez que el antivirus detecte un archivo infectado que no pueda desinfectar y le pregunte si desea usted borrarlo, responda afirmativamente.
    Solo tres archivos .EXE pueden ser borrados sin problemas, que son LOAD.EXE y MMC.EXE (en caso de existir) y README.EXE (en caso de existir).

    No borre ningún otro archivo .EXE infectado por el virus. Podría causar daños irreparables en el sistema.

6) Sólo hay un fichero .DLL que debe ser borrado. El RICHED20.DLL que es un archivo de Windows, y que está en el directorio \WINDOWS\SYSTEM . El archivo original se pierde irremediablemente, con lo que para recuperarlo hay que copiarlo desde el CDRom original de Windows o desde otro ordenador con el mismo sistema operativo.

    Windows 98 y Windows Millenium incluyen herramientas propias para recuperar los archivos borrados. Para esto, será necesario disponer del CDRom de instalación de Windows 98 o Millenium.

Recuperar RICHED20.DLL - Windows 98

- Menú "Inicio -> Ejecutar -> escriba SFC" y pulse Intro

- Marque "Extraer un archivo del disco de instalación"

- En la ventana "Especifique el archivo del sistema que desea restaurar", escriba "RICHED20.DLL"

- Haga click en "Iniciar".

- En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows. Si utiliza el CDRom original de Windows y su unidad de CDRom es la D:, la ruta habitual será D:\WIN98

- En "Guardar archivo en" asegúrese de introducir C:\WINDOWS\SYSTEM

- Haga click en"Aceptar".

- Confirme la carpeta para copias de seguridad y haga click nuevamente en "Aceptar".


Recuperar RICHED20.DLL - Windows Millenium

- Menú "Inicio -> Ejecutar -> escriba MSCONFIG" y pulse Intro.

- Haga click en el botón "Extraer archivo"

- En "Especifique el nombre del archivo que desea restaurar" escriba: RICHED20.DLL

- Haga click en "Iniciar".

- En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows. Si utiliza el CDRom original de Windows y su unidad de CDRom es la D:, la ruta habitual será D:\WIN9X

- En "Guardar archivo en" asegúrese de introducir C:\WINDOWS\SYSTEM

- Haga click en "Aceptar".

- Confirme la carpeta para copias de seguridad y haga click nuevamente en "Aceptar".

 

7) En caso de que exista en el Outlook algún mensaje de correo infectado con el virus Nimda, puede eliminarlo siguiendo las instrucciones de la página web http://www.avp-soporte.com/outlook.html 

 

    Con esto su máquina quedará totalmente limpia.

    Gracias por confiar en el AVP.

.