W32.Klez Removal Tool

Symantec mette a disposizione uno strumento per eliminare tutte le varianti note di W32.Klez@mm e di W32.Elkern.

Per assistere a una dimostrazione in linea su come scaricare ed eseguire questo e altri strumenti di rimozione, fare clic qui.

Nota sul rilevamento di W32.Klez.gen@mm:
W32.Klez.gen@mm indica un rilevamento di virus generico, che individua le varianti di W32.Klez. È molto probabile che i computer infettati da W32.Klez.gen@mm siano stati colpiti da W32.Klez.E@mm o da W32.Klez.H@mm. Se viene rilevato che il computer è infettato da W32.Klez.gen@mm, scaricare ed eseguire lo strumento di rimozione. Nella maggior parte dei casi sarà così possibile rimuovere l’infezione.

Cosa fa lo strumento di rimozione
Lo strumento di rimozione per W32.Klez:

• Interrompe tutti i processi associati a W32.Klez@mm o W32. Elkern.
• Elimina tutti i servizi di W32.Klez@mm.
• Rimuove le voci di registro create da W32.Klez@mm.
• Rileva tutti i tipi di infezioni provocate da W32.Klez@mm e W32.ElKern, e ripara i file che possono essere riparati.
• Immunizza tutti i file riparati da infezioni con W32.Elkern.4926, in modo che non possano essere colpiti nuovamente.

NOTE:

• Un file infetto da W32.Klez.E@mm o da W32.Klez.H@mm include un collegamento al file host criptato. Se facendo clic sul collegamento non si trova il file criptato, lo strumento di rimozione elimina il file infetto, dal momento che questo non è riparabile. Il file criptato non viene ripristinato.
• Lo strumento di riparazione per W32.ElKern elimina dal file il codice virale, ma non è possibile garantire che un file infetto da W32.ElKern e poi riparato sia eseguibile, poiché tale virus spesso danneggia i file.
  

Opzioni della riga di comando disponibili per questo strumento

Parametro	Descrizione
/HELP, /H, /?	Visualizza il messaggio di aiuto.
/NOFIXREG	Disattiva le operazioni di riparazione del registro (si sconsiglia l’uso di questo parametro).
/SILENT, /S	Attiva la modalità invisibile.
/LOG=<nome percorso>	Crea un file di registro in cui <nome percorso> è la posizione su cui viene salvato il risultato dello strumento di rimozione. Per impostazione predefinita, il file di registro FixKlez.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.
/MAPPED	Sottopone a scansione unità di rete mappate (si sconsiglia l’uso di questo parametro - vedere note successive).
/START	Impone allo strumento di rimozione di avviare una scansione immediata.
/EXCLUDE=<percorso>	Esclude dalla scansione il <percorso> specificato (si sconsiglia l’uso di questo parametro).

NOTA: l’uso dell’opzione /MAPPED non garantisce la completa rimozione del virus sul computer remoto, poiché:

• La scansione delle unità di rete viene effettuata solo sulle cartelle di rete. Ciò significa che non tutte le cartelle presenti sul computer remoto vengono sottoposte a scansione, il che può comportare il mancato rilevamento di un’infezione.
• Se viene individuato un file virale sull’unità di rete, ma tale file è eseguito da un programma nel computer remoto, non sarà possibile eseguirne la rimozione.
• È possibile che la riparazione di un file infetto da W32.Klez@mm fallisca, se tale file si trova sull’unità di rete. Ciò può accadere perché il percorso per il file host criptato originale è un percorso locale.

Per tutti questi motivi si consiglia di eseguire lo strumento di rimozione su ogni singola macchina.

Come ottenere ed eseguire lo strumento di rimozione

NOTA: se lo si esegue su Windows NT 4.0, Windows 2000 o Windows XP è necessario collegarsi con privilegi di amministratore.

1. Scaricare il file FixKlez.com da http://securityresponse.symantec.com/avcenter/FixKlez.com.
2. Salvarlo su una posizione di uso pratico, quale la cartella download o il desktop (oppure, se possibile, su un supporto rimovibile che si sappia con certezza non essere infetto).
3. Per informazioni su come verificare l’autenticità della firma digitale consultare la sezione del documento intitolata Firma digitale.
4. Chiudere tutti i programmi.
5. Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet scollegare la macchina dalla rete e da Internet.
6. Se si utilizza Windows Me o Windows XP disattivare Ripristino configurazione di sistema. A tale proposito consultare più avanti la sezione di questo stesso documento intitolata Opzione Ripristino configurazione di sistema in Windows Me/XP.
   
   NOTA: se si utilizza Windows Me/XP consigliamo vivamente di non saltare questo passaggio.
   
7. Spegnere il computer e staccare l'alimentazione. Attendere 30 secondi. Non saltare questo passaggio.
8. Riavviare il computer in Modalità provvisoria. Tutti i sistemi operativi Windows a 32 bit, ad eccezione di Windows NT, possono essere avviati in Modalità provvisoria. Per istruzioni sulla procedura da seguire consultare il documento Come avviare il computer in Modalità provvisoria.
9. Fare doppio clic sul file FixKlez.com, per avviare lo strumento di rimozione.
10. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento stesso.
11. Riavviare il computer normalmente.
12. Se si utilizza un prodotto antivirus Symantec, è necessario reinstallarlo.
    • Per prodotti consumer quali NAV 2000/2001/2002/2003, seguire le istruzioni del documento Come ripristinare Norton AntiVirus dopo avere eliminato un virus.
    • Per prodotti Enterprise, invece, rivolgersi al proprio amministratore del sistema.
13. Eseguire LiveUpdate per accertarsi di disporre delle definizioni dei virus più recenti, ed eseguire nuovamente una scansione del computer. Se il proprio AntiVirus Symantec rileva file infetti che non è in grado di riparare, eliminare tali file.
14. In Windows Me/XP, riattivare Ripristino configurazione di sistema.

NOTA: è possibile che la procedura di rimozione fallisca se Ripristino configurazione di sistema di Windows Me/XP non viene disattivato come sopra indicato, poiché Windows impedisce la modifica di Ripristino configurazione di sistema da parte di programmi di terzi. In tal caso è possibile che lo strumento di rimozione non funzioni. Nella maggior parte dei casi, se W32.Klez.gen@mm era attivato prima dell’esecuzione dello strumento di rimozione, non sarà possibile avviare Norton AntiVirus (NAV). Le istruzioni su come eseguire NAV dalla riga di comando e su come reinstallarlo sono contenute nella sezione rimozione del documento W32.Klez.E@mm.

Una volta eseguito lo strumento di rimozione, comparirà un messaggio che indica se il computer è stato infettato da varianti di W32.Klez@mm e/o di W32.ElKern. Se è stata eliminata un’infezione verranno inoltre visualizzate le seguenti informazioni:

• Il numero complessivo di file sottoposti a scansione
• Il numero di file eliminati
• Il numero di file riparati
• Il numero di processi virali interrotti
• Il numero di servizi virali eliminati
• Il numero di voci di registro riparate

Firma digitale
FixKlez.com dispone di una firma digitale. Symantec raccomanda l’utilizzo di copie di FixKlez.com scaricate esclusivamente dal sito Internet del Symantec Security Response. Per verificare l’autenticità della firma digitale procedere nel modo seguente:

1. Accedere a http://www.wmsoftware.com/free.htm.
2. Scaricare il file Chktrust.exe e salvarlo nella stessa cartella su cui è stato salvato FixKlez.com (ad esempio, la cartella C:\Downloads).
3. Svolgere una delle seguenti operazioni, in base alla propria versione di Windows:
   • Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
   • Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi fare clic su Prompt dei comandi.
   • Accedere alla cartella contenente i file FixKlez.com e Chktrust.exe e digitare:
     
     chktrust -i FixKlez.com
     
     Ad esempio, se il file si trova nella cartella C:\Downloads, digitare i seguenti comandi:
     
     cd\
     cd downloads
     chktrust -i FixKlez.com
     
     Premere Invio dopo ciascun comando. Se la firma digitale è valida verrà visualizzato il seguente messaggio:
     
     Si desidera installare ed eseguire "W32.Klez Fix Tool", firmato 9/10/2002 7:11PM e distribuito da Symantec Corporation?
     
     NOTE:
     • Se il computer non è impostato sul fuso orario americano della costa pacifica la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
     • Nel caso sia in vigore l’ora legale, l’orario apparirà spostato indietro esattamente di un’ora.
     • Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
       • Lo strumento in questione non è uno strumento Symantec. Se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile eseguirlo.
       • Lo strumento in questione è di Symantec ed è legittimo. Si è in precedenza dato istruzione al proprio sistema operativo di accettare sempre qualsiasi contenuto proveniente da Symantec. Per informazioni in merito e per fare apparire nuovamente la finestra di dialogo di conferma consultare il documento in inglese How to restore the Publisher Authenticity confirmation dialog box.
4. Fare clic su Sì per chiudere la finestra di dialogo.
5. Digitare exit e premere Invio per terminare la sessione di MS-DOS.

Opzione Ripristino configurazione di sistema in Windows Me/XP
Si consigliano gli utenti di Windows Me e Windows XP di disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Tale funzione, che per impostazione predefinita è sempre attivata, viene utilizzata da Windows Me/XP per ripristinare file sul computer in caso siano stati danneggiati. Quando una macchina contrae un virus, un worm o un cavallo di Troia, è possibile che l’opzione Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi. Per impostazione predefinita, Windows impedisce che Ripristino configurazione d10i sistema possa venire modificato da altri programmi. Esiste quindi la possibilità che il file infetto venga ripristinato per errore, oppure che l’esecuzione di una scansione in linea rilevi la minaccia presente sul computer. Se si necessitano istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la propria documentazione di Windows o uno dei seguenti documenti:

• Come disattivare o attivare Ripristino configurazione di sistema in Windows Me
• Come disattivare o attivare Ripristino configurazione di sistema in Windows XP

Se si desiderano ulteriori informazioni o se non si intende disattivare Ripristino configurazione di sistema di Windows Me consultare il documento (in inglese) del Knowledge Base Microsoft Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, numero: Q263455.

Come eseguire lo strumento di rimozione a partire da un disco floppy

1. Inserire nell’unità floppy il disco contenente il file FixKlez.com.
2. Fare clic su Start e poi su Esegui.
3. Digitare quanto segue:
   
   a:\fixklez.com
   
   quindi fare clic su OK
   
   NOTE:
   • Non digitare spazi nel comando a:\fixklez.com
   • Se si utilizza Windows Me e non si disattiva Ripristino configurazione di sistema viene visualizzato un avviso. È possibile scegliere se eseguire lo strumento di rimozione mantenendo attivata l’opzione Ripristino configurazione di sistema oppure abbandonare lo strumento di rimozione.
     
4. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
5. Se si utilizza Windows Me, riattivare Ripristino configurazione di sistema.

NOTA: con Norton AntiVirus (NAV) 2000/2001/2002, è generalmente necessario disinstallare e reinstallare il programma dopo avere eliminato il virus. Per informazioni sulla procedura da seguire consultare il documento Come ripristinare Norton AntiVirus dopo avere eliminato un virus.