IMPORTANTE: Este programa desactiva la compartición de todos los discos duros del ordenador. Una vez finalizado el programa, deberá volver a compartir las unidades de disco que desee.
Hay que seguir los siguientes pasos para desinfectar correctamente el virus Nimda de forma manual.
NOTA: Estos pasos pueden variar a lo largo de la semana, según vaya apareciendo nueva información sobre el virus y vayan apareciendo nuevas actualizaciones del antivirus. ...
- La forma que tiene el gusano para transmitirse a través de la red y en la propia máquina infectada, es creando ficheros *.EML y *.NWS. Vamos a proceder a eliminar todos estos ficheros que se han creado en nuestro ordenador. Para localizar todos estos ficheros, hay que ir a "Inicio->Buscar->Archivos o Carpetas". La búsqueda ha de realizarse por todo el disco duro. En el campo "nombre" introduzca: *.EML y pulse intro. En la parte inferior le saldrán todos los archivos encontrados.
- El gusano modifica el fichero de inicio SYSTEM.INI, del siguiente modo
- Reinicie el ordenador
- Descargue el antivirus AVP si no lo ha hecho aún. Instálelo. Descargue el fichero con las últimas
bases semanales e instálelas también. - Ejecute el AVP Escáner (registrado o Demo) que previamente habrá de haber descargado.
Configúrelo de la siguiente forma: - Usuarios Registrados: marque "Desinfectar Automáticamente" en la pestaña "Acciones". Cuando el
antivirus detecte algún virus que no pueda ser desinfectado, le preguntará si desea borrarlo. Ha de responder
afirmativamente. - Usuarios NO Registrados. En esta categoría hay que distinguir dos tipos de usuarios:
- Usuarios NO registrados con ordenadores usando Windows 95/98/Millenium que NO estén conectados a redes
locales de ninguna clase: marque "Borrar Fichero Automáticamente" en la pestaña "Acciones". - Usuarios NO registrados usando Windows NT/2000 o que, aún sin usar ese sistema, estén conectados
a una red local que disponga de un ordenador que haya sido infectado por el virus y que utilice sistema operativo
NT/2000:lamentablemente la versión Demo del antivirus podrá borrar los archivos infectados, pero podría borrar
también archivos del sistema. Solo la versión registrada o la utilidad AntiNimda podrá limpiar
efectivamente estas máquinas. - Sólo hay un fichero .DLL que debe ser borrado. El RICHED20.DLL que es un archivo de Windows, y que está
en el directorio \WINDOWS\SYSTEM . El archivo original se pierde irremediablemente, con lo que para
recuperarlo hay que copiarlo desde el CDRom original de Windows o desde otro ordenador con el mismo
sistema operativo.
Selecciónelos todos y elimínelos. Siga los mismo pasos para eliminar los ficheros *NWS. La única diferencia está que ahora en el campo "nombre" tiene que poner *.NWS.
AVP puede borrar estos archivos por él mismo, pero es preferible hacerlo de este modo ya que será más sencillo controlar el resto del proceso de desinfección cuando se ejecuta el antivirus.
[boot]
shell=explorer.exe load.exe -dontrunold
De esa forma se asegura que será ejecutado cada vez que se reinicie el ordenador y por ese motivo, al estar siendo utilizado por el sistema, no se podría borrar.
Para desinfectar completamente el ordenador es necesario modificar dicha línea y dejarla en su estado original, que es
[boot]
shell=explorer.exe
Para Descargar el antivirus ATP presione AQUI
Una vez configurado el AVP Escáner correctamente, pulsar el botón "Buscar Ahora". Cada vez que el antivirus
detecte un archivo infectado que no pueda desinfectar y le pregunte si desea usted borrarlo, responda
afirmativamente. Solo tres archivos .EXE pueden ser borrados sin problemas, que son LOAD.EXE y
MMC.EXE (en caso de existir) y README.EXE (en caso de existir).
No borre ningún otro archivo .EXE infectado por el virus. Podría causar daños irreparables en el sistema.
Windows 98 y Windows Millenium incluyen herramientas propias para recuperar los archivos borrados. Para esto, será necesario disponer del CDRom de instalación de Windows 98 o Millenium.
Recuperar RICHED20.DLL - Windows 98
- Menú "Inicio -> Ejecutar -> escriba SFC" y pulse Intro
- Marque "Extraer un archivo del disco de instalación"
- En la ventana "Especifique el archivo del sistema que desea restaurar", escriba "RICHED20.DLL"
- Haga click en "Iniciar".
- En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows. Si utiliza el CDRom
original de Windows y su unidad de CDRom es la D:, la ruta habitual será D:\WIN98
- En "Guardar archivo en" asegúrese de introducir C:\WINDOWS\SYSTEM
- Haga click en"Aceptar".
- Confirme la carpeta para copias de seguridad y haga click nuevamente en "Aceptar".