||||
Symantec.com > Security Response > W32.Welchia.Worm
STAMPA QUESTA PAGINA

W32.Welchia.Worm - Rimozione

Livello di rischio 2: Basso

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 18 de Agosto de 2003
Aggiornato: 13 de Febbraio de 2007 12:09:50 PM
Conosciuto anche come: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Tipo: Worm
Lunghezza dell’infezione: 10,240 bytes
Sistemi operativi minacciati: Microsoft IIS, Windows 2000, Windows XP
Riferimenti CVE: CAN-2003-0109 CAN-2003-0352


Rimozione utilizzando lo strumento di rimozione di W32.Welchia.Worm
Symantec Security Response ha sviluppato uno strumento per ripulire le infezioni di W32.Welchia.Worm. Si tratta del metodo più semplice a disposizione ed è quello da provare per primo. Per ottenere lo strumento di rimozione di W32.Welchia.Worm, leggere il documento "Strumento di rimozione di W32.Welchia.Worm".

Rimozione manuale
Come alternativa all'utilizzo dello strumento di rimozione, è possibile rimuovere questa minaccia manualmente. Le istruzioni seguenti riguardano tutti i prodotti antivirus di Symantec attuali e recenti, comprese le linee di prodotti Symantec AntiVirus e Norton AntiVirus.
  1. Disattivare Ripristino configurazione di sistema (Windows XP).
  2. Aggiornare le definizioni dei virus.
  3. Riavviare il computer o terminare il processo del worm.
  4. Eseguire una scansione completa del sistema ed eliminare tutti i file rilevati come W32.Welchia.Worm.
  5. Eliminare i valori dal registro.
  6. Eliminare il file Svchost.exe.

Per dettagli su ciascuno di questi passaggi, leggere le seguenti istruzioni.

1. Disattivazione di Ripristino configurazione di sistema (Windows XP).
Se viene eseguito Windows XP, si consiglia di disattivare temporaneamente Ripristino configurazione di sistema. Questa funzionalità, che è attivata in modo predefinito, viene utilizzata da Windows XP per ripristinare i file sul computer nel caso vengano danneggiati. Se un virus, worm o Trojan infetta un computer, Ripristino configurazione di sistema potrebbe eseguirne il backup.

Windows impedisce che programmi esterni, compresi i programmi antivirus, modifichino Ripristino configurazione di sistema. Di conseguenza, i programmi o gli strumenti antivirus non possono rimuovere eventuali minacce presenti nella cartella Restore del sistema. Il risultato è che Ripristino configurazione di sistema può potenzialmente ripristinare un file infetto sul computer, anche se tutti i file infetti sono stati rimossi dalle altre posizioni.

Inoltre, una scansione virus potrebbe rilevare una minaccia nella cartella Restore del sistema anche se la minaccia è stata rimossa.

Per istruzioni sulla disattivazione di Ripristino di sistema, consultare la documentazione Windows o uno degli articoli seguenti:
Per ulteriori informazioni e un'alternativa alla disattivazione di Ripristino configurazione di sistema in Windows Me consultare il documento del Knowledge Base di Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder numero: Q263455.

2. Aggiornamento delle definizioni dei virus
Prima di pubblicare le definizioni dei virus sui nostri server, Symantec Security Response ne effettua test approfonditi per certificarne la qualità. Per ottenere le definizioni dei virus più recenti sono disponibili due metodi:
3. Riavvio del computer in modalità provvisoria o terminazione dei servizi del worm
    Windows 95/98/Me
    Riavviare il computer in modalità provvisoria. Tutti i sistemi operativi Windows a 32 bit, tranne Windows NT, possono essere riavviati in modalità provvisoria. Per informazioni sulla procedura, consultare il documento Come avviare il computer in modalità provvisoria.

    Windows NT/2000/XP
    Per interrompere i servizi del Worm:
    1. Aprire Servizi in Strumenti di amministrazione situato nel Pannello di controllo.
    2. Scorrere la lista nel riquadro di destra e cercare i nomi seguenti:
      • Network Connections Sharing
      • WINS Client
    3. Se si trovano questi servizi, fare clic con il tasto destro del mouse su di essi, quindi fare clic su Interrompi.
    4. Uscire da Servizi.
4. Scansione ed eliminazione dei file infetti
  1. Avviare il programma antivirus Symantec in uso, quindi controllare che sia configurato per eseguire la scansione di tutti i file.
  2. Eseguire una scansione completa del sistema.
  3. Se vengono rilevati file infettati con W32.Welchia.Worm, fare clic su Elimina.

5. Eliminazione dei valori dal registro

ATTENZIONE: Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le chiavi specificate. A questo proposito, consultare il documento Come eseguire il backup del Registro di sistema di Windows.
  1. Fare clic su Start, quindi su Esegui. (Viene visualizzata la finestra di dialogo Esegui).
  2. Digitare regedit

    Quindi fare clic su OK. (Si pare l'Editor di registro).

  3. Andare alla chiave:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  4. Eliminare le sottochiavi:

    RpcPatch

    e:

    RpcTftpd

  5. Uscire dall'Editor di registro.
6. Eliminazione del file Svchost.exe
Accedere alla cartella %System%\Wins ed eliminare il file Svchost.exe.

Documento di: Frederic Perriot
Risparmia il 20% con un abbonomento di 2 anni!
©1995 - 2009 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza