Virus PE Ninda E, JS NINDA.A.GEN
Tenia mi Pc dividida en tres particiones
Ayer colapso mi win XP estoy trabajando ahora con Win 2000 advance. No he podido instalar Norton profesional 2003 porque este es un windows server y no es un simple sistema operativo. Antes el virus no me dejo instalarlo en el XP.
Deje mucho tiempo el virus en la pc por eso me destrozo la memoria creo.
La razón que le escribo es que me gustaría que me informara en donde encuentro el antivirus para remover el
Que le estoy poniéndolo en el titulo.
Disculpe la molestia pero me gustaría tener con ud. Una mayor comunicación, para ver si de alguna forma podemos desarrollar una buena relación profesional.
Ayer colapso mi win XP estoy trabajando ahora con Win 2000 advance. No he podido instalar Norton profesional 2003 porque este es un windows server y no es un simple sistema operativo. Antes el virus no me dejo instalarlo en el XP.
Deje mucho tiempo el virus en la pc por eso me destrozo la memoria creo.
La razón que le escribo es que me gustaría que me informara en donde encuentro el antivirus para remover el
Que le estoy poniéndolo en el titulo.
Disculpe la molestia pero me gustaría tener con ud. Una mayor comunicación, para ver si de alguna forma podemos desarrollar una buena relación profesional.
1 Respuesta
Respuesta de kuerti
1
1
kuerti, Auditor informático certificado CISA (Certified Information...
A mi lo que me gusta es pc-cillin. Lo podés conseguir de http://www.trendmicro-la.com/download/index.html y lo que dice de este bicho es lo siguiente (http://www.trendmicro-la.com/vinfo/PE_NIMDA_E.html):
PE_NIMDA. E es un gusano de internet e infector de archivos de veloz propagación que llega por medio de correo electrónico, como un archivo adjunto llamado SAMPLE.EXE. Utiliza varios mecanismos de infección y abusa de varias vulnerabilidades conocidas. SImilar a su variante original, PE_NIMDA.A, tiene cuatro modos de propagación: a través de correo electrónico, a través de unidades de disco compartidas en una red, a través de servidores IIS no actualizados, y a través de archivos infectados.
La principal diferencia entre esta variante y su original PE NIMDA.A, son los nombres de los tres archivos que deja. Sin embargo, similar a su variante original, los nombres de estos archivos ejecutables pertenecen a archivos de sistema.
Solución:
Este gusano compromete la seguridad de los sistemas de archivos al compartir las unidades locales en la red, por favor controle y deje de compartirlas siguiendo las instrucciones siguientes. Usted puede deshabilitar o limitar todas las unidades compartidas para dar acceso de solo lectura a los usuarios puesto que este gusano puede infiltrarse continuamente en su sistema a través de las unidades compartidas.
Sistemas Windows9x/NT
Haga click con el botón derecho de su ratón en el icono Entorno de red/Mis sitios de red/ en el escritorio.
Elija la opción "Buscar PC" en el menú desplegable.
En la ventana Buscar PC escriba el nombre de la estación de trabajo en la que quiera revisar las carpetas compartidas.
Haga doble click en la computadora encontrada.
Las carpetas que estén contenidas en la nueva ventana que se depliegue serán las carpetas compartidas en la estación de trabajo. Anote los nombres de las carpetas.
Busque manualmente cada carpeta en el sistema o haga click en el menú Inicio>Buscar>Archivos o Carpetas; escriba el nombre de la carpeta en la sección "Nombre" de la ventana "Buscar todos los archivos".
Cuando encuentre la carpeta compartida (una carpeta con un icono de una mano sosteniendo el icono de la carpeta) haga clic sobre ella con el botón derecho y elija la opción Compartir en la caja de diálogo.
En la pestaña "Compartir" de las propiedades de la carpeta, elija el botón circular con la opción no compartir y haga click en "Aplicar"; esto descompartirá la carpeta.
Repita este proceso en cada carpeta que esté compartida, hasta que todas dejen de estarlo.
Sistemas Windows ME/2000
Haga click con el botón derecho en el icono Mis sitios de red en el escritorio
Elija la opción "Buscar PC" en el menú desplegable.
En la ventana Buscar PC escriba el nombre de la estación de trabajo en la que quiera revisar las carpetas compartidas.
Haga doble click en la computadora localizada.
Las carpetas que estén contenidas en la nueva ventana que se depliegue serán las carpetas compartidas en la estación de trabajo. Anote los nombres de las carpetas.
Busque manualmente cada carpeta en el sistema o haga click en el menú Inicio>Buscar>Archivos o Carpetas; escriba el nombre de la carpeta en la sección "Nombre" de la ventana "Buscar todos los archivos".
Cuando encuentre la carpeta compartida (una carpeta con un icono de una mano sosteniendo el icono de la carpeta) haga clic sobre ella con el botón derecho y elija la opción Compartir en la caja de diálogo.
En la pestaña "Compartir" de las propiedades de la carpeta, elija el botón circular con la opción no compartir y haga click en "Aplicar"; esto descompartirá la carpeta.
Repita este proceso en cada carpeta que esté compartida, hasta que todas dejen de estarlo.
Más Instrucciones
Haga click en Inicio>Ejecutar, teclee SYSTEM.INI y presione la tecla ENTER.
Busque la línea "Shell =" y modifique lo siguiente:
Para:
Shell = explorer.exe load.exe -dontrunold
Cambie a:
Shell = explorer.exe
Salve y cierre SYSTEM.INI.
Abra el Explorador de Windows y localize "Opciones de Carpeta" que se encuentra en distintos lugares, dependiendo de su versión de Windows:
Windows 9x - Ver | Opciones de Carpeta
Windows ME, NT, 2000 - Herramientas | Opciones de Carpeta
Dé un click en la pestaña VER de la ventana Opciones.
Bajo "Archivos y Carpetas", en la sección de "Configuración Avanzada", marque la casilla "Mostrar todos los archivos".
Haga click en Inicio>Ejecutar y teclee WININIT.INI y presione la tecla ENTER.
Borre el contenido de WININIT.INI y guarde el archivo.
Salve y cierre el archivo WININIT.INI.
Examine su sistema con un antivirus de Trend Micro y borre todos los archivos detectados como PE_NIMDA.E y JS_NIMDA.D. Para hacer esto, los clientes de Trend Micro deberán descargar el patrón de virus más nuevo y examinar sus sistemas. Otros usuarios que tengan correo electrónico, pueden usar HouseCall, el antivirus gratuito de Trend Micro. Algunos archivos infectados pueden estar corruptos o contener una sencilla línea de código del virus. Borre esos archivos.
Asegúrese de haber instalado las siguientes actualizaciones disponibles:
Actualice a Internet Explorer 5.01 SP2
Actualice a Internet Explorer 5.5 SP2
Actualice a Internet Explorer 6.0
Si esto no es posible, por favor descargue esta actualización.
Usuarios de NT 4
Descarguen e instalen el Service Pack (6a)
Paquete Security Fix Rollup
Parche de seguridad IIS
Service Pack 2 para IIS 5.0 (Windows 2000 Server)
Este gusano usa la debilidad "Microsoft IE MIME Header Attachment Execution ". Lea una explicación de ella y descargue la actualización necesaria aquí.
Para usuarios IIS, el gusano también utiliza la vulnerabilidad 'Microsoft Web Server Folder Traversal". Lea una explicación de esto y descargue la actualización necesaria aquí.
Restablezca el archivo RICHED20.DLL haciendo lo siguiente:
Usando el CD de instalación de Windows 98 SE, dé un click en Inicio>Ejecutar. En la ventana que aparece, teclee:
extract /a <%drive%>:\win98\setup\win98_37.cab riched20.dll /L c:\windows\system
Usando el CD de instalación de Windows ME, dé un click en Inicio>Ejecutar. En la ventana que aparece, teclee:
extract /a :\win9x\win_14.cab riched20.dll /L c:\windows\system
Usando el CD de Office 2000 Premium Edition, dé un click en Inicio>Ejecutar. En la ventana que aparece, teclee:
extract /a <%drive%>:\office1.cab riched20.dll /L c:\windows\system
Nota: Cambie la entrada <%drive%> con la letra de unidad que tiene su CD-ROM
Instrucciones para Windows ME
NOTA: Windows ME respalda automáticamente archivos seleccionados a la carpeta C:\_Restore. Esto significa que un archivo infectado pudo haber sido guardado allí como un respaldo, y no sera limpiado cuando se examine el sistema. Para eliminar los archivos infectados que se encuentren en la carpeta C:\_Restore, por favor siga las instrucciones:
1. Dé un click con el botón derecho del mouse en el icono "Mi PC" en el escritorio, y seleccione "Propiedades".
2. Dé un click sobre el botón "Desempeño" (Performance) en "Sistema de Archivos".
3. Dé un click en la pestaña "Solución de Problemas" (Troubleshooting).
4. Marque la casilla "Deshabilitar Restauración del Sistema" (Disable System Restore).
5. Dé Click en Aplicar>Cerrar>Cerrar.
6. Dé un Click en "Si" cuando el sistema le pregunte si desea reiniciar. Entonces la utilidad de restaurar estará deshabilitada.
7. Reinicie su computadora en modo A Prueba de Fallos (Safe Mode).
8. Examine su equipo y borre los archivos detectados como PE_NIMDA.A, o navegue en la carpeta C:\_Restore y borre los archivos que allí encuentre.
9. Después de eliminar los archivos, reinicie su computadora en el modo normal.
10. Restablezca la utilidad de restauración del sistema (Restore Utility) y repita los pasos 1-3.
11. Quite la marca en la casilla "Deshabilitar Restauración del Sistema" (Disable System Restore) en el paso 4.
12. Continúe con los pasos 5 y 6. La restauración del sistema quedará activa de nuevo.
Te convendría linkear en esta página, porque te da los links de las herramientas que te dice aquí.
Saludos, y no te olvides de puntuar la respuesta; y Alberto, no es molestia. Preguntá lo que quieras cuando qiueras que si puedo, veré de ayudarte.
PE_NIMDA. E es un gusano de internet e infector de archivos de veloz propagación que llega por medio de correo electrónico, como un archivo adjunto llamado SAMPLE.EXE. Utiliza varios mecanismos de infección y abusa de varias vulnerabilidades conocidas. SImilar a su variante original, PE_NIMDA.A, tiene cuatro modos de propagación: a través de correo electrónico, a través de unidades de disco compartidas en una red, a través de servidores IIS no actualizados, y a través de archivos infectados.
La principal diferencia entre esta variante y su original PE NIMDA.A, son los nombres de los tres archivos que deja. Sin embargo, similar a su variante original, los nombres de estos archivos ejecutables pertenecen a archivos de sistema.
Solución:
Este gusano compromete la seguridad de los sistemas de archivos al compartir las unidades locales en la red, por favor controle y deje de compartirlas siguiendo las instrucciones siguientes. Usted puede deshabilitar o limitar todas las unidades compartidas para dar acceso de solo lectura a los usuarios puesto que este gusano puede infiltrarse continuamente en su sistema a través de las unidades compartidas.
Sistemas Windows9x/NT
Haga click con el botón derecho de su ratón en el icono Entorno de red/Mis sitios de red/ en el escritorio.
Elija la opción "Buscar PC" en el menú desplegable.
En la ventana Buscar PC escriba el nombre de la estación de trabajo en la que quiera revisar las carpetas compartidas.
Haga doble click en la computadora encontrada.
Las carpetas que estén contenidas en la nueva ventana que se depliegue serán las carpetas compartidas en la estación de trabajo. Anote los nombres de las carpetas.
Busque manualmente cada carpeta en el sistema o haga click en el menú Inicio>Buscar>Archivos o Carpetas; escriba el nombre de la carpeta en la sección "Nombre" de la ventana "Buscar todos los archivos".
Cuando encuentre la carpeta compartida (una carpeta con un icono de una mano sosteniendo el icono de la carpeta) haga clic sobre ella con el botón derecho y elija la opción Compartir en la caja de diálogo.
En la pestaña "Compartir" de las propiedades de la carpeta, elija el botón circular con la opción no compartir y haga click en "Aplicar"; esto descompartirá la carpeta.
Repita este proceso en cada carpeta que esté compartida, hasta que todas dejen de estarlo.
Sistemas Windows ME/2000
Haga click con el botón derecho en el icono Mis sitios de red en el escritorio
Elija la opción "Buscar PC" en el menú desplegable.
En la ventana Buscar PC escriba el nombre de la estación de trabajo en la que quiera revisar las carpetas compartidas.
Haga doble click en la computadora localizada.
Las carpetas que estén contenidas en la nueva ventana que se depliegue serán las carpetas compartidas en la estación de trabajo. Anote los nombres de las carpetas.
Busque manualmente cada carpeta en el sistema o haga click en el menú Inicio>Buscar>Archivos o Carpetas; escriba el nombre de la carpeta en la sección "Nombre" de la ventana "Buscar todos los archivos".
Cuando encuentre la carpeta compartida (una carpeta con un icono de una mano sosteniendo el icono de la carpeta) haga clic sobre ella con el botón derecho y elija la opción Compartir en la caja de diálogo.
En la pestaña "Compartir" de las propiedades de la carpeta, elija el botón circular con la opción no compartir y haga click en "Aplicar"; esto descompartirá la carpeta.
Repita este proceso en cada carpeta que esté compartida, hasta que todas dejen de estarlo.
Más Instrucciones
Haga click en Inicio>Ejecutar, teclee SYSTEM.INI y presione la tecla ENTER.
Busque la línea "Shell =" y modifique lo siguiente:
Para:
Shell = explorer.exe load.exe -dontrunold
Cambie a:
Shell = explorer.exe
Salve y cierre SYSTEM.INI.
Abra el Explorador de Windows y localize "Opciones de Carpeta" que se encuentra en distintos lugares, dependiendo de su versión de Windows:
Windows 9x - Ver | Opciones de Carpeta
Windows ME, NT, 2000 - Herramientas | Opciones de Carpeta
Dé un click en la pestaña VER de la ventana Opciones.
Bajo "Archivos y Carpetas", en la sección de "Configuración Avanzada", marque la casilla "Mostrar todos los archivos".
Haga click en Inicio>Ejecutar y teclee WININIT.INI y presione la tecla ENTER.
Borre el contenido de WININIT.INI y guarde el archivo.
Salve y cierre el archivo WININIT.INI.
Examine su sistema con un antivirus de Trend Micro y borre todos los archivos detectados como PE_NIMDA.E y JS_NIMDA.D. Para hacer esto, los clientes de Trend Micro deberán descargar el patrón de virus más nuevo y examinar sus sistemas. Otros usuarios que tengan correo electrónico, pueden usar HouseCall, el antivirus gratuito de Trend Micro. Algunos archivos infectados pueden estar corruptos o contener una sencilla línea de código del virus. Borre esos archivos.
Asegúrese de haber instalado las siguientes actualizaciones disponibles:
Actualice a Internet Explorer 5.01 SP2
Actualice a Internet Explorer 5.5 SP2
Actualice a Internet Explorer 6.0
Si esto no es posible, por favor descargue esta actualización.
Usuarios de NT 4
Descarguen e instalen el Service Pack (6a)
Paquete Security Fix Rollup
Parche de seguridad IIS
Service Pack 2 para IIS 5.0 (Windows 2000 Server)
Este gusano usa la debilidad "Microsoft IE MIME Header Attachment Execution ". Lea una explicación de ella y descargue la actualización necesaria aquí.
Para usuarios IIS, el gusano también utiliza la vulnerabilidad 'Microsoft Web Server Folder Traversal". Lea una explicación de esto y descargue la actualización necesaria aquí.
Restablezca el archivo RICHED20.DLL haciendo lo siguiente:
Usando el CD de instalación de Windows 98 SE, dé un click en Inicio>Ejecutar. En la ventana que aparece, teclee:
extract /a <%drive%>:\win98\setup\win98_37.cab riched20.dll /L c:\windows\system
Usando el CD de instalación de Windows ME, dé un click en Inicio>Ejecutar. En la ventana que aparece, teclee:
extract /a :\win9x\win_14.cab riched20.dll /L c:\windows\system
Usando el CD de Office 2000 Premium Edition, dé un click en Inicio>Ejecutar. En la ventana que aparece, teclee:
extract /a <%drive%>:\office1.cab riched20.dll /L c:\windows\system
Nota: Cambie la entrada <%drive%> con la letra de unidad que tiene su CD-ROM
Instrucciones para Windows ME
NOTA: Windows ME respalda automáticamente archivos seleccionados a la carpeta C:\_Restore. Esto significa que un archivo infectado pudo haber sido guardado allí como un respaldo, y no sera limpiado cuando se examine el sistema. Para eliminar los archivos infectados que se encuentren en la carpeta C:\_Restore, por favor siga las instrucciones:
1. Dé un click con el botón derecho del mouse en el icono "Mi PC" en el escritorio, y seleccione "Propiedades".
2. Dé un click sobre el botón "Desempeño" (Performance) en "Sistema de Archivos".
3. Dé un click en la pestaña "Solución de Problemas" (Troubleshooting).
4. Marque la casilla "Deshabilitar Restauración del Sistema" (Disable System Restore).
5. Dé Click en Aplicar>Cerrar>Cerrar.
6. Dé un Click en "Si" cuando el sistema le pregunte si desea reiniciar. Entonces la utilidad de restaurar estará deshabilitada.
7. Reinicie su computadora en modo A Prueba de Fallos (Safe Mode).
8. Examine su equipo y borre los archivos detectados como PE_NIMDA.A, o navegue en la carpeta C:\_Restore y borre los archivos que allí encuentre.
9. Después de eliminar los archivos, reinicie su computadora en el modo normal.
10. Restablezca la utilidad de restauración del sistema (Restore Utility) y repita los pasos 1-3.
11. Quite la marca en la casilla "Deshabilitar Restauración del Sistema" (Disable System Restore) en el paso 4.
12. Continúe con los pasos 5 y 6. La restauración del sistema quedará activa de nuevo.
Te convendría linkear en esta página, porque te da los links de las herramientas que te dice aquí.
Saludos, y no te olvides de puntuar la respuesta; y Alberto, no es molestia. Preguntá lo que quieras cuando qiueras que si puedo, veré de ayudarte.
Muchas gracias profesor, disculpe la demora aquí en California tuvimos thanksgiving y aproveche para viajar a visitar a unos amigos en Georgia. Por eso no pude contestarle a tiempo. Muchas gracias por su repuesta fue muy profesional y acertada. No pude entrar al enlance: http://www.trendmicro-la.com/download/index.html sera porque vivo en USA.
Sin embargo me gustaría seguir conversando con Ud. Le adelanto que en el mes de Junio posiblemente visite Argentina. Tengo algunos amigos en su país.
Yo arregle mi PC de la manera más fácil formatee todo el disco duro, salvando solamente lo que me interesaba. Su repuesta fue muy profesional y excelente.
Gracias otra vez.
Atentamente
Alberto Ponce
Sin embargo me gustaría seguir conversando con Ud. Le adelanto que en el mes de Junio posiblemente visite Argentina. Tengo algunos amigos en su país.
Yo arregle mi PC de la manera más fácil formatee todo el disco duro, salvando solamente lo que me interesaba. Su repuesta fue muy profesional y excelente.
Gracias otra vez.
Atentamente
Alberto Ponce
- Compartir respuesta
- Anónimo
ahora mismo