Rilevato: 19 de Agosto de 2003
Aggiornato: 13 de Febbraio de 2007 11:34:55 AM
Tipo: Removal Information
Strumento di rimozione di W32.Dumaru@mm
Symantec Security Response ha sviluppato uno strumento di rimozione per ripulire le infezioni causate da W32.Dumaru@mm.
Operazioni svolte dallo strumento
Lo strumento di rimozione di W32.Dumaru@mm svolge le seguenti operazioni:
- Termina i processi virali di W32.Dumaru@mm.
- Elimina i file W32.Dumaru@mm.
- Elimina i file rilasciati nel sistema.
- Elimina i valori di registro aggiunti dal worm.
Opzioni della riga di comando disponibili per lo strumento
Opzione | Descrizione |
| /HELP, /H, /? | Visualizza il messaggio di guida. |
| /NOFIXREG | Disattiva la riparazione del registro. L'utilizzo di questa opzione è sconsigliato. |
| /SILENT, /S | Attiva la modalità invisibile. |
| /LOG=<nome percorso> | Crea un file di registro in cui <nome percorso> è la posizione su cui memorizzare l’output dello strumento. Per impostazione predefinita, il file di registro FxDumaru.log viene creato nella stessa cartella da cui è stato eseguito lo strumento. |
| /MAPPED | Esegue la scansione delle unità di rete mappate. L'utilizzo di questa opzione è sconsigliato. Vedere la Nota di seguito. |
| /START | Impone allo strumento di avviare immediatamente la scansione. |
| /EXCLUDE=<percorso> | Esclude il <percorso> specificato dalla scansione. L'utilizzo di questa opzione è sconsigliato. |
Nota: l’opzione /MAPPED non garantisce la completa rimozione del virus sul computer remoto per le seguenti ragioni:
- La scansione delle unità mappate esamina solo le cartelle mappate. Questo potrebbe non comprendere tutte le cartelle presenti sul computer remoto, comportando il rischio del mancato rilevamento di altre infezioni.
- Se viene rilevato un file del virus sull’unità mappata e il computer remoto lo sta utilizzando, la rimozione non riuscirà.
Di conseguenza, è opportuno eseguire lo strumento su ciascun computer.
Acquisizione ed esecuzione dello strumento
Nota: se lo strumento viene eseguito su Windows NT 4.0, Windows 2000 o Windows XP è necessario disporre dei diritti di amministratore.
- Scaricare il file FxDumaru.exe da: http://www.symantec.com/avcenter/FxDumaru.exe.
- Salvare il file su un percorso a scelta quale la cartella di download o il desktop di Windows (o un supporto rimovibile di cui si ha la certezza che non è infetto).
- Per controllare l'autenticità della firma digitale, fare riferimento alla sezione "Firma digitale" più avanti in questo articolo.
- Se si utilizza Windows Me o Windows XP disattivare Ripristino configurazione di sistema. Per ulteriori dettagli fare riferimento alla sezione "Opzione Ripristino configurazione di sistema in Me/XP" più avanti in questo articolo.
ATTENZIONE: se viene utilizzato Windows Me/XP, si consiglia di non saltare questo passaggio.
- Fare doppio clic sul file FxDumaru.exe per avviare lo strumento di rimozione.
- Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.
- Riavviare il computer.
- Eseguire di nuovo lo strumento di rimozione per assicurarsi che il sistema sia privo di infezioni.
- Se si utilizza Windows Me/XP, riattivare Ripristino configurazione di sistema.
- Eseguire LiveUpdate per assicurarsi di disporre delle definizioni dei virus più recenti.
Nota: la procedura di rimozione potrebbe non riuscire se Ripristino configurazione di sistema di Windows Me/XP non viene disattivata come è stato indicato in precedenza in quanto Windows impedisce la modifica di questa opzione da parte di programmi esterni.
Quando lo strumento ha terminato l'esecuzione, verrà visualizzato un messaggio per indicare se il computer era infettato da W32.Dumaru@mm. Nel caso di una rimozione del worm, il programma visualizza i seguenti risultati:
- Numero totale di file esaminati.
- Numero di file eliminati.
- Numero di processi virali terminati.
- Numero di voci ci registro corrette.
Firma digitale
FxDumaru.exe viene fornito con firma digitale. Symantec consiglia di utilizzare solo copie di FxDumaru.exe che sono state scaricate direttamente dal sito Web di Symantec Security Response. Per controllare l'autenticità della firma digitale, seguire queste istruzioni:
- Accedere all'indirizzo http://www.wmsoftware.com/free.htm.
- Scaricare e salvare il file Chktrust.exe nella stessa cartella in cui è stato salvato FxDumaru.exe, ad esempio, C:\Download.
- A seconda del sistema operativo, svolgere una delle seguenti operazioni:
- Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
- Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi fare clic su Prompt dei comandi.
- Selezionare la cartella in cui sono memorizzati FxDumaru.exe e Chktrust.exe, quindi digitare: chktrust -i FxDumaru.exe.
Ad esempio, se il file è stato salvato nella cartella C:\Download, i comandi da immettere sarebbero i seguenti:
cd\
cd download
chktrust -i FxDumaru.exe
Premere Invio dopo avere digitato ciascun comando. Se la firma digitale è valida, verrà visualizzato il seguente messaggio:
"Installare ed eseguire "W32.Dumaru@mm Removal Tool", firmato il 03/08/03 2.52 e distribuito da Symantec Corporation?"
Nota:
- la data e l'ora visualizzate in questa finestra di dialogo saranno regolate sul fuso orario locale.
- Se è attiva l'ora legale, l'ora visualizzata sarà anticipata esattamente di un'ora.
- Se questa finestra di dialogo non viene visualizzata, le ragioni possibili sono due:
- Lo strumento non è di Symantec. A meno che non si abbia la certezza che lo strumento è legittimo ed è stato scaricato dal sito Web ufficiale di Symantec, la sua esecuzione è sconsigliata.
- Lo strumento è di Symantec ed è legittimo. Tuttavia, il sistema operativo è stato precedentemente istruito di considerare sempre attendibili i contenuti di Symantec. Per informazioni a tal proposito e per visualizzare di nuovo la finestra di dialogo di conferma, consultare il documento "How to restore the Publisher Authenticity confirmation dialog box".
- Fare clic su Sì per chiudere la finestra di dialogo.
- Digitare exit, quindi premere Invio. La sessione MS-DOS verrà chiusa.
Opzione Ripristino configurazione di sistema in Windows Me/XP
Gli utenti di Windows Me e Windows XP devono disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Questa funzionalità, che è attivata in modo predefinito, viene utilizzata da Windows Me/XP per ripristinare i file sul computer nel caso vengano danneggiati. Se un computer viene infettato da un virus, worm o Trojan, è possibile che Ripristino configurazione di sistema ne abbia eseguito il backup.
Windows impedisce che programmi esterni, compresi i programmi antivirus, modifichino Ripristino configurazione di sistema. Di conseguenza, i programmi o gli strumenti antivirus non possono rimuovere eventuali minacce presenti nella cartella Restore del sistema. Il risultato è che Ripristino configurazione di sistema può potenzialmente ripristinare un file infetto sul computer, anche se tutti i file infetti sono stati rimossi dalle altre posizioni.
Inoltre, in alcuni casi, i programmi di scansione on-line potrebbero rilevare una minaccia nella cartella Restore del sistema anche se il computer è stato esaminato con un programma antivirus e non sono stati trovati file infetti.
Per istruzioni sulla disattivazione di Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti articoli:
Per ulteriori informazioni e un'alternativa alla disattivazione di Ripristino configurazione di sistema in Windows Me consultare il documento del Knowledge Base di Microsoft
Impossibile ripulire i file infetti nella cartella _Restore con lo strumento antivirus numero: I263455.
