Rilevato: 12 de Maggio de 2003
Aggiornato: 13 de Febbraio de 2007 11:34:32 AM
Tipo: Removal Information
Symantec Security Response ha reso disponibile uno strumento di rimozione per rimuovere le infezioni causate da W32.HLLW.Fizzer@mm. Lo strumento elimina efficacemente le infezioni in base alle definizioni di W32.HLLW.Fizzer@mm del 12 maggio 2003.
Cosa fa lo strumento di rimozione
Lo strumento di rimozione per
W32.HLLW.Fizzer@mm esegue le seguenti operazioni:
- Interrompe tutti i processi di W32.HLLW.Fizzer@mm
- Elimina i file di W32.HLLW.Fizzer@mm
- Elimina i file rilasciati dal worm
NOTA: se si elimina il file ISERVC.DLL, potrebbe essere necessario riavviare il sistema.
- Elimina le voci del Registro di sistema create dal worm
- Ripara i file infetti
Parametri della riga di comando utilizzabili con lo strumento di rimozione
Parametro |
Descrizione |
/HELP, /H, /? |
Visualizza il messaggio di aiuto. |
/NOFIXREG |
Disattiva la riparazione del registro (l'uso di questo parametro è sconsigliato). |
/SILENT, /S |
Attiva la modalità invisibile. |
/LOG=<nome percorso> |
Crea un file di registro in cui <nome percorso> è la posizione su cui viene salvato il risultato dello strumento di rimozione. Per impostazione predefinita, il file di registro degli eventi FixFiz.log viene creato nella stessa cartella da cui è stato eseguito lo strumento. |
/MAPPED |
Esegue la scansione delle unità di rete (l'uso di questo parametro è sconsigliato. Fare riferimento alle note riportate di seguito). |
/START |
Impone allo strumento di rimozione di avviare immediatamente una scansione. |
/EXCLUDE=<percorso> |
Esclude dalla scansione il <percorso> specificato (l'uso di questo parametro è sconsigliato). |
NOTA: l’uso del parametro /MAPPED non garantisce la completa rimozione del virus sul computer remoto, per i motivi elencati di seguito.
- La scansione delle unità di rete viene eseguita solo sulle cartelle di rete. Pertanto, non tutte le cartelle presenti sul computer remoto vengono sottoposte a scansione, il che può comportare il mancato rilevamento di un’infezione.
- Se viene individuato un file infetto sull’unità di rete, ma tale file è utilizzato da un programma sul computer remoto, non sarà possibile eseguirne la rimozione.
Per tutti questi motivi, si consiglia di eseguire lo strumento di rimozione su ogni singola macchina.
Come ottenere ed eseguire lo strumento
NOTA: per eseguire lo strumento su Windows NT 4.0, Windows 2000 o Windows XP è necessario collegarsi con privilegi di amministratore.
- Scaricare il file FixFiz.exe dal sito:
http://securityresponse.symantec.com/avcenter/FixFiz.exe
- Salvarlo su una posizione di uso pratico, quale la cartella download o il desktop (oppure, se possibile, su un supporto rimovibile che si sappia con certezza non essere infetto).
- Per informazioni su come verificare l’autenticità della firma digitale, consultare la sezione del documento intitolata Firma digitale.
- Chiudere tutti programmi in esecuzione prima di eseguire lo strumento.
- Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet, scollegare la macchina dalla rete e da Internet.
- Se si utilizza Windows Me o Windows XP, disattivare Ripristino configurazione di sistema. A tale proposito, consultare più avanti la sezione di questo stesso documento intitolata Opzione Ripristino configurazione di sistema in Windows Me/XP.
ATTENZIONE: se si utilizza Windows Me/XP, consigliamo vivamente di non saltare questo passaggio. È possibile che la procedura di rimozione fallisca se Ripristino configurazione di sistema di Windows Me/XP non viene disattivato come sopra indicato, poiché Windows impedisce la modifica di Ripristino configurazione di sistema da parte di programmi di terzi.
- Fare doppio clic sul file FixFiz.exe per avviare lo strumento di rimozione.
- Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
NOTA: se all'esecuzione dello strumento viene visualizzato il messaggio che è impossibile rimuovere uno o più file, riavviare il computer in Modalità provvisoria ed eseguirlo nuovamente. Spegnere il computer, togliere l'alimentazione e attendere 30 secondi. Riavviare quindi il computer in Modalità provvisoria ed eseguire nuovamente la scansione. Tutti i sistemi operativi Windows a 32 bit, ad eccezione di Windows NT, possono essere riavviati in Modalità provvisoria. Per istruzioni in merito consultare il documento Come avviare il computer in Modalità provvisoria.
- Riavviare il computer.
- Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni.
- Se si utilizza Windows Me/XP, riattivare Ripristino configurazione di sistema.
- Eseguire LiveUpdate per accertarsi di disporre delle definizioni dei virus più recenti.
Una volta eseguito lo strumento di rimozione, viene visualizzato un messaggio che indica se il computer è stato infettato da W32.HLLW.Fizzer@mm. Se dal computer è stato rimosso un worm, vengono visualizzati i seguenti dati:
- Numero totale di file sottoposti a scansione.
- Numero di file eliminati.
- Numero di processi virali interrotti.
- Numero di voci di registro riparate.
Firma digitale
FixFiz.exe dispone di una firma digitale. Symantec consiglia l’utilizzo di copie di FixFiz.exe scaricate esclusivamente dal sito Internet di Symantec Security Response. Per controllare l’autenticità della firma digitale, procedere nel modo seguente:
- Accedere a http://www.wmsoftware.com/free.htm.
- Scaricare il file Chktrust.exe e salvarlo nella stessa cartella su cui è stato salvato FixFiz.exe (ad esempio, la cartella C:\Download).
- In base al proprio sistema operativo, svolgere una delle seguenti operazioni:
- Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
- Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi fare clic su Prompt dei comandi.
- Accedere alla cartella in cui sono stati salvati i file FixFiz.exe e Chktrust.exe, quindi digitare:
chktrust -i FixFiz.exe
Ad esempio, se il file si trova nella cartella C:\Downloads, digitare i seguenti comandi:
cd\
cd downloads
chktrust -i FixFiz.exe
Premere Invio dopo ciascun comando. Se la firma digitale è valida verrà visualizzato il seguente messaggio:
Si desidera installare ed eseguire "W32.HLLW.Fizzer@mm Removal Tool", firmato 16/5/2003 10:15 AM e distribuito da Symantec Corporation?
NOTE:
- Se il computer non è impostato sul fuso orario americano della costa pacifica, la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
- Se si utilizza l’ora legale, l’orario apparirà spostato in avanti esattamente di un’ora.
- Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
- Lo strumento in questione non è un prodotto Symantec: se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile eseguirlo.
- Lo strumento è di Symantec ed è legittimo: si è in precedenza dato istruzione al proprio sistema operativo di considerare sempre attendibile il contenuto di Symantec Corporation. Per informazioni in merito e per fare apparire nuovamente la finestra di dialogo di conferma, consultare il documento (in inglese) How to restore the Publisher Authenticity confirmation dialog box.
- Fare clic su Sì per chiudere la finestra di dialogo.
- Digitare Exit, quindi premere Invio. Viene così chiusa la sessione di MS-DOS.
Opzione Ripristino configurazione di sistema in Windows Me/XP
Si consigliano gli utenti di Windows Me e Windows XP di disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Questa funzionalità, attivata per impostazione predefinita, viene utilizzata da Windows Me/XP per ripristinare file sul computer nel caso siano stati danneggiati. Quando una macchina contrae un virus, un worm o un cavallo di Troia, è possibile che Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi sul computer.
Per impostazione predefinita Windows impedisce che Ripristino configurazione di sistema venga modificato da programmi esterni, compresi gli antivirus. Pertanto, i programmi antivirus o gli strumenti di rimozione non sono in grado di rimuovere alcun elemento dalla cartella Ripristino configurazione di sistema. Ripristino configurazione di sistema potrebbe quindi ripristinare un file infetto sul computer anche dopo che sono stati eliminati i file infetti da tutte le altre posizioni.
Talvolta, la funzione di scansione in linea rileva una minaccia nella cartella Ripristino configurazione di sistema anche quando il proprio programma antivirus non ha rilevato alcun file infetto.
Per istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti documenti:
Se si desiderano ulteriori informazioni o se non si intende disattivare Ripristino configurazione di sistema di Windows Me, consultare il documento del Knowledge Base Microsoft
AImpossibile ripulire i file infetti nella cartella _Restore con lo strumento antivirus (I263455).
Come eseguire lo strumento di rimozione a partire da un disco floppy
- Inserire nell’unità floppy il disco contenente il file FixFiz.exe.
- Fare clic su Start e poi su Esegui.
- Digitare quanto segue:
a:\FixFiz.exe
e fare clic su OK.
NOTE:
- Non digitare spazi nel comando a:\FixFiz.exe.
- Se si utilizza Windows Me, e non si disattiva Ripristino configurazione di sistema, viene visualizzato un avviso. È possibile scegliere di eseguire lo strumento di rimozione mantenendo attiva l’opzione Ripristino configurazione di sistema oppure abbandonare l’operazione in corso.
- Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
- Se si utilizza Windows Me, riattivare Ripristino configurazione di sistema.
