Backdoor.Agent.B Removal Tool

Symantec Security Response ha sviluppato uno strumento di rimozione per pulire le seguenti infezioni:

Backdoor.Agent.B

Scaricare lo strumento da: http://securityresponse.symantec.com/avcenter/FxAgentB.exe


Importante:

• Se si è collegati in rete o si ha un collegamento a tempo pieno ad Internet, quale un modem via cavo o DSL, scollegare il computer dalla rete e da Internet. Disattivare o proteggere con password la condivisione file, o impostare i file condivisi su Solo lettura prima di ricollegare il computer alla rete o a Internet. Questo worm si propaga tramite cartelle condivise su computer collegati in rete. Per evitare che l’infezione si diffonda nuovamente dopo essere stata rimossa è consigliabile rendere i file o le cartelle condivisi accessibili in sola lettura oppure proteggerli con password.
  
  Per istruzioni su questa operazione, fare riferimento alla documentazione di Windows o al documento (in inglese) "How to configure shared Windows folders for maximum network protection."
• Se si sta eliminando un'infezione da una rete, in primo luogo assicurarsi che tutte le condivisioni siano disattivate o impostate su Solo lettura.
• Questo strumento non è progettato per l'esecuzione sui server Novell NetWare. Per eliminare questa minaccia da un server NetWare, in primo luogo assicurare di avere le definizioni dei virus correnti, quindi eseguire una scansione del sistema completa con i prodotti antivirus Symantec.

Come scaricare ed eseguire lo strumento di rimozione

Importante: per eseguire lo strumento su Windows NT 4.0, Windows 2000 o Windows XP è necessario collegarsi con privilegi di amministratore.

Nota per gli amministratori di rete: Se MS Exchange 2000 Server è in esecuzione, si raccomanda di escludere l'unità M dalla scansione eseguendo lo strumento dalla riga di comando con il parametro Exclude. Per ulteriori informazioni, consultare l'articolo del Microsoft knowledge base, "XADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Articolo 298924).

Seguire questi passaggi per scaricare ed eseguire lo strumento:

1. Scaricare il file FxAgentB.exe da: http://securityresponse.symantec.com/avcenter/FxAgentB.exe
2. Salvare file in una posizione conveniente, quale il desktop di Windows.
3. Facoltativo: Per informazioni su come verificare l’autenticità della firma digitale consultare la sezione del documento intitolata "Firma digitale".
   
   Nota: Se si è sicuri di stare scaricando questo strumento dal sito Web Security Response, saltare questo passaggio. Se non si è sicuri, o si è un amministratore di rete e si ha la necessità di autenticare i file prima della distribuzione, seguire i passaggi della sezione “Firma digitale" prima di continuare con punto 4.
   
4. Chiudere tutti i programmi in esecuzione.
5. Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet scollegare la macchina dalla rete e da Internet.
6. Se si utilizza Windows Me o Windows XP disattivare Ripristino configurazione di sistema. Per istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti documenti:
   
   • "Come disattivare o attivare Ripristino configurazione di sistema in Windows Me".
   • "Come disattivare o attivare Ripristino configurazione di sistema in Windows XP".
     
7. Individuare il file appena scaricato.
8. Fare doppio clic sul file FxAgentB.exe per avviare lo strumento di rimozione.
9. Quando viene visualizzato il messaggio seguente, fare clic su OK:
   
   Non avviare nessun altra applicazione finché lo strumento di rimozione non è terminato e il computer è stato riavviato.
   
   Facendo così si può provocare una nuova reinfezione.
   
10. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
11. Riavviare il computer.
12. Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni.
13. Se si utilizza Windows Me/XP riattivare Ripristino configurazione di sistema.
14. Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet scollegare il computer dalla rete e da Internet.
15. Eseguire LiveUpdate per accertarsi di disporre delle definizioni dei virus più recenti.

Una volta eseguito lo strumento di rimozione, viene visualizzato un messaggio che indica se il computer è stato infettato da Backdoor.Agent.B. Lo strumento visualizza i risultati nel modo seguente:

• Numero totale di file sottoposti a scansione
• Numero di file eliminati
• Numero di file riparati
• Numero di processi virali interrotti
• Numero dei thread virali terminati
• Numero di voci di registro riparate

Cosa fa lo strumento di rimozione

Lo strumento di rimozione di Backdoor.Agent.B esegue le seguenti operazioni:

1. Termina i thread di Backdoor.Agent.B
2. Elimina i file di Backdoor.Agent.B
3. Elimina i valori di registro aggiunti da Backdoor.Agent.B

Parametri:

I seguenti parametri sono progettati ad uso degli amministratori di rete:

Parametro	Descrizione
/HELP, /H, /?	Visualizza il messaggio di aiuto
/SILENT, /S	Attiva la modalità invisibile.
/LOG=<nome percorso>	Crea un file di registro in cui <nome percorso> è la posizione su cui viene salvato il risultato dello strumento di rimozione. Per impostazione predefinita, il file di registro FxAgentB.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.
/START	Impone allo strumento di rimozione di avviare immediatamente una scansione.
/EXCLUDE=<percorso>	Esclude dalla scansione il <percorso> specificato (l'uso di questo parametro è sconsigliato. Consultare la Nota seguente).

Il parametro /EXCLUDE funzionerà per un solo percorso non più percorsi. Di seguito viene indicata una riga di comando da utilizzare per escludere una singola unità:

"C:\Documents and Settings\user1\Desktop\FxAgentB.exe" /EXCLUDE=M:\ /LOG=c:\FxAgentB.txt

Nota: Dare al file di registro qualsiasi nome e salvarlo in qualunque posizione.



Firma digitale
A scopo di sicurezza, FxAgentB.exe dispone di una firma digitale. Symantec consiglia l’utilizzo di copie di FxAgentB.exe scaricate esclusivamente dal sito Internet Symantec Security Response.

Se non si è sicuri, o come amministratore di rete si ha la necessità di autenticare i file prima della distribuzione, controllare l'autenticità della firma digitale.

Procedere come segue:

1. Andare su http://www.wmsoftware.com/free.htm.
2. Scaricare e salvare il file Chktrust.exe nella stessa cartella in cui è salvato FxAgentB.exe .
   
   Nota: La maggior parte dei seguenti passaggi viene eseguita nel Prompt dei comandi. Se si è scaricato lo strumento di rimozione sul desktop di Windows, sarà più facile se in primo luogo si sposta lo strumento nell'unità C. Quindi salvare il file Chktrust.exe nell'unità C principale.
   
   (Punto 3 suppone che entrambi lo strumento di rimozione e Chktrust.exe si trovino sull'unità C.)
   
3. Fare clic su Start > Esegui.
4. Digitare quanto segue:
   
   • Windows 95/98/Me:
     
     command
     
   • Windows NT/2000/XP:
     
     cmd
     
5. Fare clic su OK.
6. Nella finestra dei comandi, digitare quanto segue e premere Inviodopo ogni riga:
   
   cd\
   cd downloads
   chktrust -i FxAgentB.exe
   
   Viene visualizzato il messaggio:
   
   "Do you want to install and run "Backdoor.Agent.B Removal Tool" signed on 08/19/2004 2:26pm and distributed by Symantec Corporation?"
   
   Note:
   • Se il computer non è impostato sul fuso orario americano della costa pacifica, la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
   • Se si utilizza l’ora legale, l’orario apparirà spostato in avanti esattamente di un’ora.
   • Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
     
     • Lo strumento in questione non viene da Symantec: se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile eseguirlo.
     • Lo strumento in questione è di Symantec ed è legittimo: si è in precedenza dato istruzione al proprio sistema operativo di accettare sempre qualsiasi contenuto proveniente da Symantec. Per informazioni su questo e su come visualizzare di nuovo la finestra di conferma, leggere il documento (in inglese) "How to restore the Publisher Authenticity confirmation dialog box."
       
       
7. Fare clic su Sì per chiudere la finestra di dialogo.
8. Digitare exit, quindi premere Invio. Viene così chiusa la sessione di MS-DOS.