Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Sobre la eliminación manual del NIMDA
 
VSantivirus No. 493 - Año 6 - Martes 13 de noviembre de 2001

Sobre la eliminación manual del NIMDA
Por Mario Andrés García López (*)
magarcial@att.net.mx


Hace unas semanas, cuando el gusano NIMDA atacó miles de computadoras en todo el mundo, aparecieron en diversas páginas WEB de seguridad y productos antivirus soluciones manuales para eliminarlo. Ellas enunciaban uno a uno los pasos a seguir para erradicarlo manualmente. A continuación transcribiré el texto original de una de ellas:

Método de Eliminación del Virus en forma MANUAL.

1. No compartir ninguno recurso de red o sacar de la red las computadoras.

2. Para limpiar un sistema infectado, primero finalice el proceso actual del gusano, pulsando CTRL+ALT+SUPR y marcando y finalizando cualquier tarea con este formato: me******tmp.

3. Ejecute su Antivirus, con opción de desinfectar y eliminar archivos infectados que no pueda desinfectar. Verifique que el Antivirus este actualizado cuando menos al día 18 de septiembre. Recuerde que el Antivirus se puede actualizar diario.

4. Modifique la sección [boot] del archivo SYSTEM.INI:

[boot]
shell=explorer.exe load.exe -dontrunold

Es necesario volver el contenido de esta línea al estado como se indica a continuación, [boot] shell=explorer.exe.

5. Elimine el archivo wininit.ini.

6. Elimine todos los archivos temporales en la siguiente carpeta c:\windows\Temp.

7. Finalmente, recupere el archivo RICHED20.DLL original.

Para extraer RICHED20.DLL de los discos de instalación Windows 98 y Windows Me, incluyen herramientas para recuperar los archivos borrados (durante el proceso de escaneo por parte de su antivirus). Para esto, es necesario tener a mano el CD de Windows 98 o Me, o los archivos de instalación (los .CAB) copiados en su disco duro. Luego siga estos pasos:

* Windows 98

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba: RICHED20.DLL

4. Seleccione en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Seleccione "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

* Windows Me

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. seleccione en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba: RICHED20.DLL

4. Seleccione en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. seleccione en "Aceptar".

8. Confirme la carpeta para copias de seguridad y oprima nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").

Respecto al texto anterior tengo dos observaciones que hacer:

I. El paso 6 indica eliminar todos los archivos temporales de la carpeta c:\windows\Temp. Esto obedece a que entre ellos pueden haber algunos contaminados que posteriormente se propagan a otros directorios. Esta medida no es suficiente, ya que el gusano almacena en otros directorios archivos con la extensión .tmp que están contaminados.

Obviamente no resultaría práctico buscar en cada subdirectorio del disco duro todos los archivos temporales para eliminarlos después. Aunque esto se puede hacer con el Explorer de Windows.

Una solución que a mi juicio es mejor, consiste en bajar de la dirección http://www.datafellows.com/v-descs/nimda.shtml la herramienta fsnimda3.exe, que además de revisar que no existan archivos contaminados con el NIMDA también elimina los temporales de todos los directorios del disco duro.

II. El paso 7 hace referencia a la forma en cómo extraer el archivo RICHED20.DLL original del disco de Windows 98 y Me. Si el usuario hace esto después de haber efectuado los pasos anteriores y reinicia su computadora... ¡sorpresa!, el NIMDA aparecerá de nuevo tarde o temprano.

La solución que encontré para Windows 98 consiste realizar los siguientes pasos:

a) Copie a un disquete el archivo RICHED20.DLL de una computadora no contaminada.

b) Apague la computadora contaminada desde el interruptor. Es decir, no hacerlo de manera convencional: Inicio, Apagar el sistema, Aceptar. Lo anterior obedece a que de alguna manera el virus se encuentra alojado en memoria, de forma tal que al apagar el equipo normalmente antes de cerrar los archivos de sistema vuelve a copiar un archivo contaminado en alguna parte del disco, lo cual ocasiona que aparezca después de encenderla de nuevo.

c) Encender la computadora, oprimir la tecla [F8] y arrancarla en modo "Solo símbolo de sistema".

d) Desde el prompt de DOS copiar de la unidad A: al directorio c:\windows\system el archivo RICHED20.DLL.

e) Iniciar el Windows desde el prompt de DOS escribiendo WIN <Enter> o apagando y encendiendo la computadora con la llave de encendido (Power).

Si está trabajando con Windows Me realice los pasos siguientes:

a) En una computadora no contaminada formatee un disco y copie los archivos de sistema. 

b) Inicie la computadora que había sido infectada con el disco de arranque que creó.

c) Repita los pasos d) y e) de la solución para Windows 98.

De esta forma he logrado que en mis equipos ya no aparezca nuevamente el NIMDA.

Referencias:

http://t1msn.microasist.com.mx/noticias/nv/fronv1909.shtml
http://www.avp-mx.com/htmls/nimda.html
http://www.kriptopolis.com/net/article.php?sid=47

Más información sobre el Nimda:

VSantivirus No. 480 - 31/oct/01
Los puntos sobre los Nimdas
http://www.vsantivirus.com/31-10-01.htm

VSantivirus No. 480 - 31/oct/01
Virus: W32/Nimda.E. Versión recompilada y sin errores
http://www.vsantivirus.com/nimda-e.htm

VSantivirus No. 480 - 31/oct/01
Herramienta para remover el W32/Nimda.E
http://www.vsantivirus.com/kit-nimda-e.htm

VSantivirus No. 440 - 21/oct/01
Herramienta para remover el W32/Nimda.A
http://www.vsantivirus.com/kit-nimda.htm

VSantivirus No. 449 - 30/set/01
Nimda. Un estudio a fondo de las técnicas de desinfección
http://www.vsantivirus.com/nimda-desinf.htm

VSantivirus No. 465 - 16/oct/01
Dos nuevas variantes del Nimda reportadas en Corea
http://www.vsantivirus.com/16-10-01b.htm

VSantivirus No. 462 - 13/oct/01
Extraños comportamientos del Nimda
http://www.vsantivirus.com/13-10-01b.htm

VSantivirus No. 451 - 2/oct/01
No acepte herramientas que dicen limpiar el Nimda
http://www.vsantivirus.com/02-10-01b.htm

VSantivirus No. 447 - 28/set/01
Nimda vuelve al ataque. La pesadilla de los 10 días
http://www.vsantivirus.com/28-09-01.htm

VSantivirus No. 441 - 22/set/01
Troj/Shake. Se distribuye como una copia del NimDA
http://www.vsantivirus.com/shake.htm

VSantivirus No. 439 - 20/set/01
Virus como el Nimda ponen a prueba el futuro de Internet
http://www.vsantivirus.com/20-09-01.htm

Alerta: Gusano de gran propagación (W32/Nimda)
http://www.vsantivirus.com/alerta-minda.htm


(*) Mario Andrés García López (magarcial@att.net.mx) es Licenciado en Computación en la Universidad Autónoma Metropolitana de México, y ha realizado, entre otros, estudios sobre Redes Computacionales y Sistemas de Información bajo ambiente WEB.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS