1. /
  2. Security Response/
  3. Trojan.Vundo Removal Tool
  4. Trojan.Vundo Removal Tool
  5. Trojan.Vundo Removal Tool
  • Aggiungi

Trojan.Vundo Removal Tool

Rilevato:
20 de Novembre de 2004
Aggiornato:
13 de Febbraio de 2007 11:35:39 AM
Tipo:
Removal Information

Questo strumento è stato progettato per eliminare le infezioni create da Trojan.Vundo.

Importante:
  • Se si è collegati in rete o si ha un collegamento a tempo pieno ad Internet, quale un modem via cavo o DSL, scollegare il computer dalla rete e da Internet. Disattivare o proteggere con password la condivisione file, o impostare i file condivisi su Solo lettura prima di ricollegare il computer alla rete o a Internet. Questo worm si propaga tramite cartelle condivise su computer collegati in rete. Per evitare che l’infezione si diffonda nuovamente dopo essere stata rimossa è consigliabile rendere i file o le cartelle condivisi accessibili in sola lettura oppure proteggerli con password.

    Per istruzioni su questa operazione, fare riferimento alla documentazione di Windows, " How to configure shared Windows folders for maximum network protection."
  • Se si sta eliminando un'infezione da una rete, in primo luogo assicurarsi che tutte le condivisioni siano disattivate o impostate su Solo lettura.
  • Questo strumento non è progettato per l'esecuzione sui server Novell NetWare. Per eliminare questa minaccia da un server NetWare, in primo luogo assicurare di avere le definizioni dei virus correnti, quindi eseguire una scansione del sistema completa con i prodotti antivirus Symantec.


Come scaricare ed eseguire lo strumento di rimozione

Importante: per eseguire lo strumento su Windows NT 4.0, Windows 2000 o Windows XP è necessario collegarsi con privilegi di amministratore.

Nota per gli amministratori di rete: Se MS Exchange 2000 Server è in esecuzione, si raccomanda di escludere l'unità M dalla scansione eseguendo lo strumento dalla riga di comando con il parametro Exclude. Per ulteriori informazioni, consultare l'articolo del Microsoft knowledge base, "XADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Articolo 298924).

Seguire questi passaggi per scaricare ed eseguire lo strumento:
  1. Scaricare il file di FixVundo.exe da: http://securityresponse.symantec.com/avcenter/FixVundo.exe
  2. Salvare file in una posizione conveniente, quale il desktop di Windows.
  3. Facoltativo: Per informazioni su come verificare l’autenticità della firma digitale consultare la sezione del documento intitolata "Firma digitale".

    Nota: Se si è sicuri di stare scaricando questo strumento dal sito Web site Security Response, è possibile saltare questo punto. Se non si è sicuri, o si è un amministratore di rete e si ha la necessità di autenticare i file prima della distribuzione, seguire i passaggi della sezione “Firma digitale" prima di continuare con punto 4.
  4. Chiudere tutti i programmi in esecuzione.
  5. Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet scollegare la macchina dalla rete e da Internet.
  6. Se si utilizza Windows Me o Windows XP disattivare Ripristino configurazione di sistema. Per istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti documenti:
  7. Individuare il file appena scaricato.
  8. Fare doppio clic sul file FixVundo.exe per avviare lo strumento di rimozione.
  9. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.

    Importante:Non avviare nessuna nuova applicazione mentre lo strumento è in esecuzione.

  10. Riavviare il computer.
  11. Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni.
  12. Se si utilizza Windows Me/XP riattivare Ripristino configurazione di sistema.
  13. Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet scollegare il computer dalla rete e da Internet.
  14. Eseguire LiveUpdate per accertarsi di disporre delle definizioni dei virus più recenti.

Una volta eseguito lo strumento di rimozione, viene visualizzato un messaggio che indica se il computer è stato infettato da Trojan.Vundo. Lo strumento visualizza i risultati nel modo seguente:
  • Numero totale di file sottoposti a scansione
  • Numero di file eliminati
  • Numero di processi virali interrotti
  • Numero dei thread virali terminati
  • Numero di voci di registro riparate

Cosa fa lo strumento di rimozione

Lo strumento di rimozione di Trojan.Vundo effettua le operazioni seguenti:
  1. Termina i processi di Trojan.Vundo
  2. Elimina i file di Trojan.Vundo
  3. Elimina i valori di registro aggiunti dal cavallo di Troia


Parametri

I seguenti parametri sono progettati ad uso degli amministratori di rete:

Parametro

Descrizione

/HELP, /H, /?

Visualizza il messaggio di aiuto

/NOFIXREG

Disattiva la riparazione del registro (l'uso di questo parametro è sconsigliato).

/SILENT, /S

Attiva la modalità invisibile.

/LOG=[NOME PERCORSO]

Crea un file di registro in cui [NOME PERCORSO] è la posizione su cui viene salvato il risultato dello strumento di rimozione. Per impostazione predefinita, il file di registro FixVundo.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.

/MAPPED

Esegue la scansione delle unità di rete (l'uso di questo parametro è sconsigliato. Consultare la Nota seguente).

/START

Impone allo strumento di rimozione di avviare immediatamente una scansione.

/EXCLUDE =[PERCORSO]

Esclude dalla scansione il [PERCORSO] specificato (l'uso di questo parametro è sconsigliato. Consultare la Nota seguente).

/NOFILESCAN

Impedisce l'esame del file system.


Importante: l’uso del parametro /MAPPED non garantisce la completa rimozione del virus sul computer remoto, per i motivi elencati di seguito:
    • La scansione delle unità di rete viene effettuata solo sulle cartelle di rete. Ciò significa che non necessariamente tutte le cartelle presenti sul computer remoto vengono sottoposte a scansione, il che può comportare il mancato rilevamento di un’infezione.
    • Se viene individuato un file infetto sull’unità di rete, ma tale file è utilizzato da un programma sul computer remoto, non sarà possibile eseguirne la rimozione.

Per tutti questi motivi si consiglia di eseguire lo strumento di rimozione su ogni singola macchina.

Il parametro /EXCLUDE funzionerà per un solo percorso non più percorsi. In alternativa utilizzare il parametro /NOFILESCAN seguito da una scansione manuale con AntiVirus. Ciò permetterà allo strumento di alterare il registro. Successivamente, eseguire una scansione del computer tramite AntiVirus con le definizioni dei virus correnti. Seguendo questi passaggi, dovrebbe essere possibile ripulire il file system.

Di seguito viene indicata una riga di comando da utilizzare per escludere una singola unità:

"C:\Documents and Settings\user1\Desktop\FixVundo.exe" /EXCLUDE=M:\ /LOG=c:\Vundo.txt

In alternativa, la riga di comando qui sotto permette di saltare la scansione del file system riparando però le modifiche al registro. Quindi, eseguire una scansione normale del sistema con le esclusioni adeguate:

"C:\Documents and Settings\user1\Desktop\FixVundo.exe" /NOFILESCAN /LOG=c:\Vundo.txt

Nota: Dare al file di registro qualsiasi nome e salvarlo in qualunque posizione.



Firma digitale

A scopo di sicurezza, FixVundo.exe dispone di una firma digitale. Symantec consiglia l’utilizzo di copie di FixVundo.exe scaricate esclusivamente dal sito Internet Symantec Security Response.

Se non si è sicuri, o come amministratore di rete si ha la necessità di autenticare i file prima della distribuzione, controllare l'autenticità della firma digitale.

Procedere come segue:
  1. Andare su http://www.wmsoftware.com/free.htm.
  2. Scaricare e salvare il file Chktrust.exe nella stessa cartella in cui è salvato FixVundo.exe.

    Nota: La maggior parte di seguenti passaggi sono eseguiti in un Prompt dei comandi. Se si è scaricato lo strumento di rimozione sul desktop di Windows, sarà più facile se in primo luogo si sposta lo strumento nell'unità C. Quindi salvare il file Chktrust.exe nell'unità C principale.

    (Punto 3 suppone che entrambi lo strumento di rimozione e Chktrust.exe si trovino sull'unità C.)

  3. Fare clic su Start > Esegui.
  4. Digitare quanto segue:
    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. Fare clic su OK.
  6. Nella finestra dei comandi, digitare quanto segue e premere Invio dopo ogni riga:

    cd\
    cd downloads
    chktrust -i
    FixVundo.exe

    Viene visualizzato il messaggio:

    Do you want to install and run " Trojan.Vundo Removal Tool " signed on 11/25/2004 10:01 AM and distributed by Symantec Corporation?

    Nota
    • Se il computer non è impostato sul fuso orario americano della costa pacifica, la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
    • Se si utilizza l’ora legale, l’orario apparirà spostato in avanti esattamente di un’ora.
    • Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
      • Lo strumento in questione non viene da Symantec: se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile eseguirlo.
      • Lo strumento in questione è di Symantec ed è legittimo: si è in precedenza dato istruzione al proprio sistema operativo di accettare sempre qualsiasi contenuto proveniente da Symantec. Per informazioni su questo e su come visualizzare di nuovo la finestra di conferma, leggere il documento, " How to restore the Publisher Authenticity confirmation dialog box."

  7. Fare clic su per chiudere la finestra di dialogo.
  8. Digitare exit, quindi premere Invio. Viene così chiusa la sessione di MS-DOS.


Riepilogo