-----Mensaje original-----
De: Soporte Técnico [mailto:soporte@pandasoftware.es]
Enviado el: jueves, 10 de diciembre de 1998 16:09
Para: 'Daniel Villalba'
Asunto: RE: Virus nuevo
----------------------------------------
Estimado Sr. :
Nos complace informarle que hemos conseguido analizar en toda su profundidad el virus y crear las correspondientes rutinas de detección y de desinfección.
Se ha convertido en una larga y tediosa tarea, ya que como le comentabamos inicialmente el virus era bastante complicado por las variadas formas de que dispone para infectarse y de las complicaciones que para su desinfección supone el que éste sea polimórfico y afecte a entornos distintos (Boot, COM y EXE).
Para poder reproducir las distintas situaciones en las que un usuario
infectado se puede encontrar se ha debido de infectar un parque amplio de ordenadores de pruebas con varios sistemas operativos (DOS, Win95/98, NT) y comprobar qué infectaba y de qué forma lo hacía, para así obrar en consecuencia y poder crear las rutinas adecuadas a cada situación.
Nos hemos encontrado con el caso de que la infección de ficheros depende mucho de que el usuario afectado disponga de un entorno "amigable" para el virus, realizando una infección u otra dependiendo de este entorno. Le podemos anticipar que si no hubiera tenido activada la memoria EMS en su ordenador, no se le hubiera infectado el fichero que nos mandó, ya que es un requisito para infectar los ficheros con extensión COM.
Como ve, el virus que su máquina alberga y que esperamos elimine pronto con Panda Antivirus, es un especimen de cuidado, que nos ha traido de cabeza al Laboratorio de Virus de Panda.
También podemos informarle, ya con seguridad, que el virus en si mismo no es peligroso en sus efectos: únicamente el efecto que usted ha experimentado (Nieve sobre el texto [Ithaqua] virus by Wintermute/29A).
Con la finalidad de limpiar sus 2 PCs (el suyo y el de su hernano) le
adjuntamos los siguientes ficheros:
<<PAVCL.ZIP>> <<PAV.SIG>> <<PAVDLL.DLL>>
1.- PAVCL.ZIP que incluye los ficheros PAVCL.EXE, PAVSIG.CMP, PANDA.CHP y PAVCL.MSG. Por favor copie estos ficheros en un disquette libre de virus.
2.- PAV.SIG: fichero de firmas de virus, que ya incluye al virus Ithaqua.
3.- PAVDLL.DLL para actualizar completamemte su Panda Antivirus Platinum, y no verse afectado nuevamente por ese virus.
Le aconsejamos siga el siguiente procedimiento para desinfectar ambas
máquinas. Al tratarse de un virus residente necesitaremos dos discos,
uno de arranque capaz de gestionar la memoria alta, y otro de
desinfección para eliminar el virus una vez iniciado el PC sin virus
en memoria.
Seguidamente le indicamos las operaciones necesarias para conseguir un disco de arranque, si usted no dispone de uno:
1- En un ordenador libre de virus y encendido se introduce
un disquete limpio.
2- Teclee lo siguiente:
FORMAT A: /S (Intro).
3- A continuación vaya al directorio DOS
(C:\>CD DOS)
o al directorio WINDOWS
(C:\>CD WINDOWS) (Intro).
4- Dentro de este directorio teclee:
COPY HIMEM.SYS A: (Intro)
5- Después escriba:
COPY SMARTDRV.EXE A: (Intro).
6- A continuación:
EDIT A:\CONFIG.SYS (Intro).
7- Dentro de la pantalla que nos ha aparecido escribiremos:
DEVICE=HIMEM.SYS
DOS=HIGH
8- Salve el fichero
(ARCHIVO --> SALIR --> GUARDAR).
9- Por último escribiremos:
EDIT A:\AUTOEXEC.BAT (Intro).
10- Dentro de esta pantalla tecleamos:
SMARTDRV.EXE
11- Salve el fichero
(ARCHIVO --> GUARDAR-->SALIR).
Con esto ya tendremos el disco de arranque.
Para limpiar el virus:
1- Arranque con el disquette que ha creado.
2- Una vez hecho esto, inserte el disquette en el que ha copiado los ficheros que le remitimos en el PAVCL.ZIP: PAVSIG.CMP, PANDA.CHP, PAVCL.EXE y PAVCL.MSG
3- Teclee: PAVCL /ALL /AEX /CLV /CMP(Intro).
Es posible que le pida el "command.com". En ese caso, introduzca el disco de arranque y escriba:
COMMAND.COM
Al finalizar el análisis su máquina habrá quedado completamente limpia de virus. Reinicie su máquina en modo MS-DOS, inserte el disquette con el PAV.SIG y PAVDLL.DLL y siga las siguientes intrucciones:
1.- Copie la PAVDLL.DLL y el PAV.SIG que le enviamos en el directorio
donde se encuentra instalado el Panda Antivirus Platinum, por defecto
el directorio es el siguiente:
C:\Archivos de Programa\Panda Software\Panda Antivirus 6.0
(copy a:\PAV.SIG C:\archiv~1\pandas~1\pandaa~1.0)
(copy a:\PAVDLL.DLL C:\archiv~1\pandas~1\pandaa~1.0)
2.- Copie el PAV.SIG en el directorio SYSTEM de Windows.
(copy a:\PAV.SIG C:\windows\system)
3.- Reinicie su equipo y tendrá su Panda Antivirus Platinum completamente actualizado.
Le rogamos nos haga saber si ha conseguido desinfectar adecuadamente o no sus PCs y en cualquier caso no dude en volver a contactar con nosotros para cualquier duda o incidencia.
Gracias por confiar en Panda.
Michael Buckley
Tech Support (S.O.S.Virus)
Panda Software International
Almda. Mazarredo, 18 Bis, Dpto.1
48009 BILBAO - SPAIN
Phone: +34 94 424 47 19 Fax: +34 94 424 46 97
MailTo:support@pandasoftware.es , mbuckley@pandasoftware.es
WEB: http://www.pandasoftware.com
"The only antivirus company in the world that provides you
with worldwide technical support personnel 24 hours a day, 365
days a year and daily updates"
|
