1. /

W32.Nimda.E@mm Removal Tool

Detectado:
30 de Octubre de 2001
Actualizado:
13 de Febrero de 2007 11:33:39 AM
Tipo:
Removal Information

Symantec ha creado una herramienta para eliminar las infecciones provocadas por W32.Nimda.E@mm.

    ADVERTENCIA: Esta herramienta está diseñada para eliminar las infecciones provocadas por W32.Nimda.E@mm. Esta herramienta no elimina las infecciones provocadas por W32.Nimda.A@mm. Si tiene que eliminar una infección causada por W32.Nimda.A@mm, descargue la Herramienta de eliminación de W32.Nimda.A@mm.

    Utilidad de la herramienta
    La herramienta de eliminación de W32.Nimda.E@mm realiza las siguientes tareas:
    1. Termina todos los procesos asociados con el virus.
    2. Termina los procesos de Explorer.exe y lo reinicia. Este paso es necesario porque el virus se inocula a sí mismo en Explorer.exe. Por este motivo, el escritorio parpadeará (lo cual está previsto).
    3. Detecta todos los tipos de infecciones W32.Nimda.E@mm. Repara los archivos que pueden repararse. Elimina los archivos .EML, .NWS, .DOC y .TXT en los que ha detectado una infección.
      NOTA: la herramienta no elimina los archivos .EML cuya extensión sea distinta de las cuatro mencionadas arriba. Por ejemplo, no se eliminará un archivo con la extensión doble .EML.BAD. Tendrá que eliminar a mano esos archivos.

      4. Repara el archivo System.ini eliminando las modificaciones realizadas en la línea shell=.
      5. Elimina la cuenta de invitado del grupo Administrador y desactiva la cuenta de invitado en el grupo Invitados.
      6. Repara varias infecciones de HTML.
      7. Recupera la configuración de seguridad predeterminada de los archivos y carpetas compartidos.

          NOTAS IMPORTANTES:
      o Windows NT/2000/XP: Esta herramienta recuperará la configuración de seguridad original de los recursos compartidos de Windows NT/2000/XP si el equipo no se ha reiniciado desde el arranque del virus. Las únicas excepciones serán los recursos compartidos que sólo tengan asignado el derecho Todos [Control total]. Estos recursos no pueden distinguirse de los recursos compartidos modificados por el virus, y se configurarán como grupo Administrador [Control total].
      o Windows 95/98/Me: Bajo Windows 95/98/Me, si el equipo no se ha reiniciado, la herramienta recuperará la configuración de seguridad de los recursos compartidos anterior a la infección. Si se ha reiniciado el equipo, la herramienta aplicará los siguientes valores de configuración:
      § Se aplicará la "Contraseña de lectura y escritura de recurso compartido Win9x" a los recursos compartidos con el tipo de acceso "Completo".
      § Se aplicará la "Contraseña de sólo lectura de recurso compartido Win9x" a los recursos compartidos con el tipo de acceso "Sólo lectura".
      § Ambas contraseñas se aplicarán a los recursos compartidos con el tipo de acceso "Depende de la contraseña".
      o Servidores Novell: La herramienta no se ejecuta en servidores Novell. No se pueden reparar los archivos infectados situados en un servidor Novell. El servidor Novell en sí no estará infectado, pero todos los archivos ubicados en el servidor pueden almacenar el código del virus. En los volúmenes Novell, tiene que eliminar todos los archivos en los que se detecte una infección, y recuperarlos a partir de una copia de respaldo limpia.
      8. Elimina los valores del Registro modificados para impedir que el Explorador de Windows muestre archivos ocultos o extensiones de archivos conocidas. Al eliminar estos valores, se recuperan sus configuraciones predeterminadas. Debe volver a configurar estas opciones con los valores deseados. Para hacerlo, en el Explorador de Windows, haga clic en el menú Ver (en Windows 95/98/NT) o en el menú Herramientas (en Windows Me/2000) y seleccione Opciones o Carpeta. Cambie los valores que desee.
      9. Analiza las unidades asignadas.

      Parámetros de línea de comandos disponibles en esta herramienta:
      /NOFIXSHARE: desactiva la reparación del recurso compartido (el uso de este parámetro no es recomendable).
      /NOFIXREG: desactiva la reparación del registro (el uso de este parámetro no es recomendable).
      /SILENT, /S: Activa el modo silencioso.
      /LOG=<ruta de acceso> - Crea un archivo de registro en el que <ruta de acceso> es la ubicación en que se almacenan los resultados de la herramienta.
      /RWPWD=<contraseña>: aplica esta contraseña a los recursos compartidos de lectura y escritura Win9x.
      /RWPWD=<contraseña>: aplica esta contraseña a los recursos compartidos de sólo lectura Win9x.
      /MAPPED: analiza las unidades de red asignadas.

      ADVERTENCIA: Una vez que un equipo resulta atacado por W32.Nimda.E@mm, es posible que se produzcan accesos remotos al sistema por parte usuarios no autorizados. Por este motivo, resulta imposible garantizar la integridad del sistema tras la infección. El usuario remoto podría haber efectuado cambios en el sistema que pueden resumirse, a título orientativo pero no exhaustivo, en los siguientes:
      · Robo o cambio de contraseñas o archivos de contraseñas.
      · Instalación de un host de conexión remota, conocido también como puerta trasera.
      · Instalación de software de registro de teclas presionadas
      · Configuración de normas de firewall
      · Robo de números de tarjetas de crédito, información bancaria, datos personales, etc.
      · Eliminación o modificación de archivos.
      · Envío de material inadecuado o incriminatorio desde la cuenta de correo electrónico de un cliente.
      · Modificación de los derechos de acceso en archivos o cuentas de usuario
      · Eliminación de información de archivos de registro para ocultar tales actividades

      Si desea garantizar la seguridad de la organización al completo, deberá reinstalar para ello el sistema operativo, restaurar los archivos desde una copia de respaldo anterior a la infección y cambiar todas las contraseñas que hubiese en los equipos infectados o a las que pudiese accederse desde ellos. Ésta es la única forma de garantizar la seguridad de dichos sistemas informáticos. Si desea obtener más información sobre la seguridad en la organización, póngase en contacto con su administrador de sistema.

      Para obtener y ejecutar la herramienta:
      NOTA: Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT, Windows 2000 o Windows XP.

      IMPORTANTE: Por favor, lea esto:
      Si se encuentra en una o ambas situaciones:
      · Después de ejecutar la herramienta, ya no funcionan programas tales como Microsoft Word.
      · Cuando ejecuta la herramienta, aparece un mensaje similar a "El archivo "not" está infectado y *$#&#$*#@ reparado???".
      el virus ha dañado al archivo Riched20.dll de Microsoft Windows. Tendrá que reemplazar este archivo y, en muchos casos, también tendrá que volver a instalar Word u Office. Consulte la sección Cómo extraer Riched20.dll, casi al final de este documento.

      ADVERTENCIA: Antes de continuar, por favor, lea esto: Antes de descargar la herramienta en un equipo, Symantec Security Response recomienda insistentemente que desconecte el equipo de la red. Si fuera posible, debe ser un equipo que no esté infectado. Este equipo debe tener instalados todos los parches de seguridad. Además, de ser posible, deben copiarse la herramienta y los parches en un soporte extraíble, que servirá para limpiar y actualizar los equipos infectados.
      1. Descargue el archivo FxNimdaE.com de http://securityresponse.symantec.com/avcenter/FxNimdaE.com (este recurso se encuentra en inglés). Guarde el archivo en una ubicación adecuada, por ejemplo, una carpeta de archivos descargados ubicada en el Escritorio de Windows (o bien en un medio de almacenamiento extraíble que, a ser posible, esté libre de infecciones).
      2. Para comprobar la autenticidad de la firma digital, consulte la sección La firma digital.
      3. Cierre todos los programas antes de ejecutar la herramienta.
      4. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red y de la conexión a Internet. Desactive el uso compartido de los archivos o protéjalos con una contraseña antes de volver a conectar los equipos a la red o a Internet. Puesto que este gusano se propaga usando carpetas compartidas en equipos en red, para asegurarse de que el gusano no vuelva a infectar otro equipo después de eliminarlo, Symantec sugiere compartir con acceso de sólo lectura o utilizando una contraseña como protección. Si desea más instrucciones sobre cómo hacerlo, consulte la documentación de Windows o el documento How to configure shared Windows folders for maximum network protection. (Este recurso se encuentra en inglés.)
      5. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Consulte la sección Opción Restaurar sistema de Windows Me/XP si desea obtener más detalles al respecto.

      NOTA: recomendamos insistentemente que no omita este paso, si ejecuta Windows Me/XP.

      6. Haga doble clic en el archivo FxNimdaE.com para iniciar la herramienta de eliminación.

      ADVERTENCIA: Si está en red, debe aplicar la herramienta de reparación a todos los equipos, servidores incluidos.

      7. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
      8. IMPORTANTE: Symantec recomienda ejecutar la herramienta varias veces hasta que ésta indique que ya no hay más infecciones en el sistema.
      9. Si fuera necesario, descargue los parches adecuados de Microsoft para reparar los sistemas vulnerables. Los encontrará en los siguientes sitios de Microsoft:
      o http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
      o http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
      o http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
      10. Reinicie el equipo.
      11. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
      12. Instale los parches de Microsoft necesarios para reparar los puntos vulnerables conocidos.
      13. Vuelva a conectar el sistema limpio a la red o vuelva a activar la conexión permanente a Internet.
      14. Si está utilizando Windows Me/XP, tendrá que volver a activar Restaurar sistema.
      15. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

          NOTA: el procedimiento de eliminación podría no funcionar si Restaurar sistema de Windows Me/XP no se desactiva como se ha especificado arriba, ya que Windows impide que otros programas modifiquen la función Restaurar sistema. Por este motivo, la eliminación podría no llevarse a cabo correctamente.

      Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo está infectado por W32.Nimda.E@mm. En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
      · El número total de archivos analizados.
      · El número de archivos eliminados.
      · El número de archivos reparados.
      · El número de procesos víricos terminados.

      La firma digital
      Fixnimdae.com está firmado digitalmente. Symantec recomienda utilizar únicamente copias de Fixnimdae.com descargadas directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
      1. Vaya a http://www.wmsoftware.com/free.htm.
      2. Descargue y guarde el archivo chktrust.exe en la carpeta en la que guardó Fixnimdae.com (por ejemplo, C:\Descargas).
      3. Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
      4. Cambie a la carpeta donde almacenó los archivos FxNimdaE.com y Chktrust.exe y escriba:

      chktrust -i FxNimdaE.com

      Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los siguientes comandos:

      cd\
      cd descargas
      chktrust -i FxNimdaE.com

      Presione INTRO después de cada comando.

      5. Si la firma digital es válida, aparecerá lo siguiente:

      "Se pide su aprobación para instalar y ejecutar 'FxNimdaE.com' firmada el 11/2/2001 3:37 PM 15:37:00 y distribuida por Symantec Corporation."

      NOTAS:
      o La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a su zona horaria, siempre que el equipo no esté configurado según la zona horaria del Pacífico.
      o Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
      o Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      § La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la haya descargado del verdadero sitio Web de Symantec.
      § La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte el documento How to restore the Publisher Authenticity confirmation dialog box. (Este recurso se encuentra en inglés.)
          6. Haga clic en Sí para cerrar el cuadro de diálogo.
          7. Escriba exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.


      La función Restaurar sistema de Windows ME/XP
      Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
      · Cómo deshabilitar y habilitar Restaurar sistema en Windows Me.
      · Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.

      Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.


      Cómo extraer Riched20.dll
      Si aparecen mensajes de error al iniciar programas como Microsoft Word o éstos no se inician, deberá extraer el archivo Riched20.dll. (Otra posibilidad consiste en reinstalar el sistema operativo y los programas afectados.)

      Consulte las instrucciones que correspondan a su sistema operativo.

      NOTA: Estas instrucciones se proporcionan para su comodidad y funcionan en la mayoría de los equipos. Si desea obtener información adicional sobre la extracción de archivos, incluidos otros archivos de Windows que hayan podido resultar dañados, consulte un documento de los siguientes:
      · Si utiliza Microsoft Outlook 2002 o Microsoft Office 2002, existe una forma más sencilla de hacerlo. Estos programas incorporan la posibilidad de reemplazar el archivo Riched20.dll si se cambia su nombre antes. Si desea obtener instrucciones sobre cómo hacerlo, consulte el artículo OL2002: Outlook Stops Responding with Riched20.dll Error Messages, de la base de información de Microsoft y cuyo ID es: Q291651. (Este recurso se encuentra en inglés.)
      · Si desea saber cómo extraer archivos en Windows 9x y Windows Me, consulte el artículo How to Extract Original Compressed Windows Files de la base de información de Microsoft, cuyo ID es: Q129605. (Este recurso se encuentra en inglés.)

      Windows 95/98
      Necesita utilizar el comando Extract en la línea de comandos de DOS. Siga estos pasos para hacerlo utilizando las instrucciones relativas a su sistema operativo.
        NOTAS:
        o Necesita un disco de inicio de Windows 98/ME. (En el caso de Windows 95, también necesita uno que haya sido creado en un equipo con Windows 98/Me.) Si desea obtener instrucciones acerca de cómo crear uno, consulte el documento How to create a Windows Startup disk. (Este recurso se encuentra en inglés.)
        o Tenga el CD de instalación de Windows a mano.
        o Cuando escriba el comando, sustituya la letra x por la letra que designa su unidad de CD-ROM. Por ejemplo, si está usando Windows 98 y la unidad de CD-ROM es la D, deberá escribir:

        o extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
        o Si Windows se encuentra instalado en una carpeta distinta de C:\Windows, sustituya la ruta o el nombre de carpeta correspondientes en la última parte del comando, que se refiere a la carpeta \Windows.
        o Si desea obtener instrucciones más detalladas sobre cómo utilizar el comando Extract, consulte el documento de Microsoft How to Extract Original Compressed Windows Files, cuyo ID de artículo es: Q129605. (Este recurso se encuentra en inglés.)
        o Como alternativa a este procedimiento, existe otro más sencillo todavía si trabaja con Windows 98, en el que puede emplear el Comprobador de archivos de sistema para restaurar el archivo. Si desea obtener información sobre cómo hacerlo, consulte la documentación de Windows.
          1. Apague el equipo y desconéctelo de la corriente. Cuando esté apagado, inserte el disco de inicio de Windows 98/ME en la unidad correspondiente y encienda de nuevo el equipo. En el menú, seleccione "Iniciar equipo con compatibilidad de CD-ROM".
          2. Escriba el comando correspondiente a su sistema operativo:
          o En Windows 98, escriba lo siguiente y presione INTRO:
          o
          o extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
          o En Windows 95, escriba lo siguiente y presione INTRO:
          o
          o extract /a win95_10.cab riched20.dll /L c:\windows\system
            NOTA: si aparece un mensaje de error de cualquier tipo, repita el paso 2 asegurándose de que escribe el comando correspondiente a su sistema operativo y que lo hace exactamente como se ha indicado. En caso contrario, escriba exit y presione INTRO.

          Windows NT 4.0
          1. Asegúrese de que Windows esté configurado para mostrar todos los archivos.
          2. Busque y elimine todos los archivos Riched20.dll.
          3. Vuelva a aplicar la versión de Service Pack más reciente. Service Pack reemplazará el archivo con una copia.
          4. Si, después de reemplazar el archivo Riched20.dll, los programas como Microsoft Word u Office ya no funcionan o aparecen mensajes de error al iniciarlos, es posible que tenga que volver a instalar Microsoft Office.

          Windows 2000
          En Windows 2000, un programa integrado localiza y reemplaza los archivos de sistema que faltan o han sufrido daños. Para reemplazar la versión dañada de Riched20.dll, lleve a cabo los pasos que se describen a continuación:
          1. Asegúrese de que el Comprobador de archivos de sistema se encuentra activado:
          a. Haga clic en Inicio y, después, en Ejecutar.
          b. Escriba cmd y haga clic en Aceptar.
          c. Escriba lo siguiente y presione INTRO:
              sfc /enable
          d. Escriba exit y presione INTRO.
          2. Asegúrese de que Windows esté configurado para mostrar todos los archivos:
          a. Inicie el Explorador de Windows.
          b. Haga clic en el menú Herramientas y, a continuación, en Opciones de carpeta.
          c. Haga clic en la pestaña Ver.
          d. Desactive la opción Ocultar las extensiones para tipos conocidos de archivo.
          e. Desactive la opción "Ocultar archivos protegidos del sistema operativo" y, debajo de la carpeta "Archivos y carpetas ocultos", marque la opción "Mostrar todos los archivos y carpetas ocultos".
          f. Haga clic en Aplicar y, a continuación, en Aceptar.
          3. Busque el archivo Riched20.dll:
          a. Haga clic en Inicio, coloque el puntero sobre Buscar y, a continuación, haga clic en Archivos o carpetas.
          b. Asegúrese de que la unidad seleccionada en la opción Buscar en sea (C:) y que la opción Incluir subcarpetas esté marcada.
          c. En el cuadro Nombre o Con el texto del cuadro de diálogo, escriba (o copie y pegue) el siguiente nombre de archivo:

          riched20.dll

          d. Haga clic en Buscar ahora.
          e. Elimine los archivos mostrados.
          4. Reinicie el equipo.
          5. El Comprobador de archivos de sistema reemplazará cualquier versión de Riched20.dll que falte. Si, una vez hecho esto, los programas como Microsoft Word u Office ya no funcionan o aparecen mensajes de error al iniciarlos, puede que tenga que volver a instalar Microsoft Office.


        Resumen