W32.Korgo.F - Rimozione

Prima di iniziare:
Se si esegue Windows 2000 o XP, e ancora non si è applicato l'aggironamento per la vulnerabilità descitta in Microsoft Security Bulletin MS04-011 provvedere immediatamente. Se non si compuie questa operazione è molto probabile che il computer continuerà ad essere infettato.

Rimozione mediante lo strumento di rimozione di W32.Korgo
Symantec Security Response ha reso disponibile uno strumento di rimozione per pulire le infezioni causate da W32.Korgo.F. Trattandosi del metodo più semplice per rimuovere questa minaccia, è quello che dovrebbe essere provato per primo.

Rimozione manuale
Le presenti istruzioni sono valide per tutti gli antivirus Symantec più recenti, compresi i prodotti delle linee Symantec AntiVirus e Norton AntiVirus.

1. Disattivare Opzione Ripristino configurazione di sistema (Windows Me/XP).
2. Aggiornare le definizioni dei virus.
3. Operare una scansione completa del sistema ed eliminare tutti i file rilevati come W32.Korgo.F.
4. Eliminare il valore aggiunto dal worm al Registro di sistema.
   

Proseguire nella lettura per ottenere istruzioni dettagliate su come procedere.

1. Disattivazione di Ripristino configurazione di sistema (Windows Me/XP)
Se si utilizza Windows Me o Windows XP, disattivare temporaneamente Ripristino configurazione di sistema. Questa funzionalità, attivata per impostazione predefinita, viene utilizzata da Windows Me/XP per ripristinare sul computer file che sono stati danneggiati. Quando una macchina contrae un virus, un worm o un cavallo di Troia, è possibile che Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi sul computer.

Per impostazione predefinita Windows impedisce che Ripristino configurazione di sistema venga modificato da programmi esterni, compresi gli antivirus. Pertanto, i programmi antivirus o gli strumenti di rimozione non sono in grado di rimuovere alcun elemento dalla cartella Ripristino configurazione di sistema. Ripristino configurazione di sistema potrebbe quindi ripristinare un file infetto sul computer anche dopo che sono stati eliminati i file infetti da tutte le altre posizioni.

La scansione alla ricerca di virus potrebbe inoltre rilevare la minaccia nella cartella Ripristino configurazione di sistema anche dopo avere eseguito la rimozione del codice nocivo.

Per istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti documenti:

• "Come disattivare o attivare Ripristino configurazione di sistema in Windows Me"
• "Come disattivare o attivare Ripristino configurazione di sistema in Windows XP"

---

Nota: Al termine della procedura di rimozione, quando si è certi di avere rimosso la minaccia virale, riattivare Ripristino della configurazione di sistema seguendo le istruzioni contenute nei documenti precedentemente indicati.

---

Se si desiderano ulteriori informazioni o se non si intende disattivare Ripristino configurazione di sistema di Windows Me consultare il documento (in inglese) del Knowledge Base Microsoft "Impossibile ripulire i file infatti nella cartella _Restore con lo strumento antivirus", numero: Q263455.

2. Aggiornamento delle definizioni dei virus
Symantec Security Response esegue controlli e test accurati sulla qualità delle definizioni dei virus prima di renderli disponibili sui server Symantec. È possibile ottenere le definizioni dei virus più aggiornate in due modi:

• Il metodo più semplice per ottenere le definizioni dei virus è tramite LiveUpdate. Tali definizioni vengono pubblicate sui server di LiveUpdate una volta la settimana (normalmente di mercoledì), tranne in caso di epidemie virali di particolare rilevanza. Per verificare se sono disponibili definizioni per LiveUpdate contro tale minaccia, controllare la riga Definizioni dei virus (LiveUpdate).
• Scaricare le definizioni mediante Intelligent Updater. Le definizioni dei virus per Intelligent Updater vengono pubblicate quotidianamente, nei giorni lavorativi statunitensi (dal lunedì al venerdì). Tali definizioni devono essere scaricate e installate manualmente dal sito Internet di Symantec Security Response. Per verificare se sono disponibili definizioni per Intelligent Updater contro tale minaccia, controllare la riga Definizioni dei virus (Intelligent Updater).

Le definizioni dei virus per Intelligent Updater sono disponibili qui. Per istruzioni precise sulla procedura da seguire, consultare il documento Come aggiornare i file delle definizioni dei virus mediante Intelligent Updater.

3. Riavvio del computer in Modalità provvisoria o VGA

Spegnere il computer e togliere l'alimentazione. Attendere almeno 30 secondi, quindi riavviare il computer in modalità provvisoria o VGA.

• Windows 95, 98, Me, 2000 o XP: riavviare il computer in Modalità provvisoria. Per istruzioni sulla procedura da seguire, consultare il documento Come avviare il computer in Modalità provvisoria.
• Windows NT 4: riavviare il computer in modalità VGA.

4. Scansione e rimozione dei file infetti

1. Avviare il proprio antivirus Symantec e accertarsi che sia configurato per sottoporre a scansione tutti i file.
   • Prodotti Norton AntiVirus consumer: consultare il documento Come configurare Norton AntiVirus per effettuare una scansione di tutti i file.
   • Prodotti Symantec antivirus Enterprise: consultare il documento Come verificare che il prodotto antivirus Symantec Corporate sia impostato per eseguire la scansione di tutti i file.
2. Eseguire una scansione completa del sistema.
3. Se vengono rilevati file infetti da W32.Korgo.F@mm, fare clic su Elimina.

5. Rimozione del valore dal Registro di sistema

---

ATTENZIONE: Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le chiavi specificate. A questo proposito, consultare il documento Come eseguire il backup del Registro di sistema di Windows.

---

1. Fare clic su Start, quindi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
2. Digitare regedit
   
   Fare clic su OK. (Si apre l'Editor del Registro di sistema).
   
3. Individuare la chiave:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
4. Eliminare il seguente valore nel riquadro di destra:
   
   "Disk Defragmenter"="%System%\<nome file casuale>.exe"
   
5. Andare alla chiave:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
   
6. Nel riquadro sinistro, eliminare il valore:
   
   "Client"="1"
   
7. Uscire dall'Editor del Registro di sistema.
   
8. Riavviare il computer in modalità normale. Per istruzioni, consultare la sezione che spiega come ritornare alla modalità normale nel documento "Come avviare il computer in Modalità provvisoria".

DETTAGLI TECNICI