||||
Symantec.com > Security Response > W32.Sober Removal Tool

W32.Sober Removal Tool

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 29 de Ottobre de 2003
Aggiornato: 13 de Febbraio de 2007 11:35:00 AM
Tipo: Removal Information



Symantec Security Response ha sviluppato uno strumento di rimozione per pulire le infezioni delle seguenti varianti di W32.Sober:
W32.Sober@mm
W32.Sober.B@mm
W32.Sober.C@mm
W32.Sober.D@mm
W32.Sober@mm.enc
W32.Sober.gen
W32.Sober.E@mm
W32.Sober.F@mm
W32.Sober.G@mm
W32.Sober.I@mm
W32.Sober.L@mm
W32.Sober.N@mm
W32.Sober.O@mm
W32.Sober.Q@mm
W32.Sober.V@mm
W32.Sober.W@mm
W32.Sober.X@mm

Nota: W32.Sober.gen è un rilevamento generico delle varianti di W32.Sober. Se viene rilevato che il computer è stato infettato da W32.Sober.gen, scaricare ed eseguire lo strumento. Nella maggior parte dei casi, lo strumento sarà in grado di rimuovere l'infezione.

Cosa fa lo strumento di rimozione

Lo strumento di rimozione di W32.Sober esegue le operazioni seguenti:
  1. Interrompe i processi virali di W32.Sober.
  2. Elimina i file di W32.Sober.
  3. Elimina i file rilasciati.
  4. Elimina le voci del Registro di sistema create dal worm.

Parametri della riga di comando utilizzabili con lo strumento di rimozione

Parametro
Descrizione
/HELP, /H, /?Visualizza il messaggio di aiuto.
/NOFIXREGDisattiva la riparazione del registro (l'uso di questo parametro è sconsigliato).
/SILENT, /SAttiva la modalità invisibile.
/LOG=[NOME PERCORSO]Crea un file di registro in cui [NOME PERCORSO] è la posizione su cui viene salvato il risultato dello strumento di rimozione. Per impostazione predefinita, il file di registro FixSober.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.
/MAPPEDEsegue la scansione delle unità di rete mappate (l'uso di questo parametro è sconsigliato). Consultare la Nota seguente).
/STARTImpone allo strumento di rimozione di avviare immediatamente una scansione.
/EXCLUDE=[PERCORSO]Esclude il [PERCORSO] specificato dalla scansione (l'uso di questo parametro è sconsigliato). Consultare la Nota seguente).
/NOFILESCANImpedisce al scansione del file system.


Note:
  • Symantec Security Response consiglia vivamente di non utilizzare il parametro /NOFIXREG durante l'esecuzione dello strumento di rimozione per la prima volta. Se lo strumento di rimozione viene eseguito utilizzando questo parametro, non sarà possibile rimuovere le chiavi di registro associate a questo worm quando si esegue di nuovo lo strumento.
  • l’uso del parametro /MAPPED non garantisce la completa rimozione del virus sul computer remoto, per i motivi elencati di seguito.
    • La scansione delle unità di rete viene effettuata solo sulle cartelle di rete. Ciò significa che non necessariamente tutte le cartelle presenti sul computer remoto vengono sottoposte a scansione, il che può comportare il mancato rilevamento di un’infezione.
    • Se viene individuato un file infetto sull’unità di rete, ma tale file è utilizzato da un programma sul computer remoto, non sarà possibile eseguirne la rimozione.
    • Per tutti questi motivi si consiglia di eseguire lo strumento di rimozione su ogni singolo computer.

Come ottenere ed eseguire lo strumento

Nota: per eseguire lo strumento su Windows NT 4.0, Windows 2000 o Windows XP è necessario collegarsi con privilegi di amministratore.
ATTENZIONE: Per gli amministratori di rete. Se MS Exchange 2000 Server è in esecuzione, si raccomanda di escludere l'unità M dalla scansione eseguendo lo strumento dalla riga di comando con il parametro Exclude. Per ulteriori informazioni, consultare l'articolo del knowledge base Microsoft, "XADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Articolo 298924, in inglese).

  1. Scaricare il file FixSbr.exe da: http://securityresponse.symantec.com/avcenter/FixSbr.exe
  2. Salvare il file su una posizione di uso pratico, quale la cartella download o il desktop di Windows oppure ancora su un supporto rimovibile che si sappia con certezza non essere infetto.
  3. Per informazioni su come verificare l’autenticità della firma digitale consultare la sezione del documento intitolata "Firma digitale".
  4. Chiudere tutti programmi in esecuzione prima di eseguire lo strumento.
  5. Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet scollegare la macchina dalla rete e da Internet.
  6. Se si utilizza Windows Me o Windows XP, disattivare Ripristino configurazione di sistema. A tale proposito consultare la sezione del documento intitolata "Opzione Ripristino configurazione di sistema in Windows Me/XP".

    Attenzione: È possibile che la procedura di rimozione fallisca se Ripristino configurazione di sistema di Windows Me/XP non viene disattivato come sopra indicato, poiché Windows impedisce la modifica di Ripristino configurazione di sistema da parte di programmi di terzi.
  7. Fare doppio clic sul file FixSbr.exe, per avviare lo strumento di rimozione.
  8. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.

    Nota:     se all'esecuzione dello strumento viene visualizzato il messaggio che è impossibile rimuovere uno o più file, riavviare il computer in Modalità provvisoria ed eseguirlo nuovamente. Spegnere il computer, togliere l'alimentazione e attendere 30 secondi. Riavviare quindi il computer in Modalità provvisoria ed eseguire nuovamente la scansione. Tutti i sistemi operativi Windows a 32 bit, ad eccezione di Windows NT, possono essere riavviati in Modalità provvisoria. Per istruzioni sulla procedura di riavvio del computer in modalità provvisoria, consultare il documento, "Come avviare il computer in modalità provvisoria".
  9. Riavviare il computer.
  10. Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni.
  11. In Windows Me/XP, riattivare Ripristino configurazione di sistema.

    Nota:     Prima di proseguire con il passaggio successivo, può essere necessario reinstallare LiveUpdate, in quanto alcune varianti del virus, come W32.Sober.O@mm, sprendono di mira specificamente Symantec LiveUpdate e tentano di eliminare o sovrascrivere vari file associati a questo prodotto. Per reinstallare LiveUpdate, attenersi alle istruzioni seguenti:

    Per reinstallare la versione corrente di LiveUpdate
    1. Fare clic su download LiveUpdate.

      Nota: se si sta leggendo questa pagina Web su un computer diverso da quello dove si è ricevuto l'avviso di errore, l'idnirizzo per scaricare il file è il seguente:

      http://www.symantec.com/region/it/techsupp/files/lu/lu_files.html

      Se necessario, digitare questo indirizzo nella barra indirizzi del computer infetto. Eventuali modifiche al file Hosts non impediranno di accedere a questo sito..

    2. Salvare il file sul desktop di Windows.
    3. Fare doppio clic sull'icona lusetup.exe sul desktop per installare LiveUpdate.
  12. Eseguire LiveUpdate per accertarsi di disporre delle definizioni dei virus più recenti.


Al termine dell'esecuzione viene visualizzato un messaggio che indica se la macchina era stata infettata da W32.Sober. In caso di avvenuta rimozione del worm il programma visualizza i seguenti risultati:
  • Numero totale di file sottoposti a scansione
  • Numero di file eliminati
  • Numero di file riparati
  • Numero di processi virali interrotti.
  • Numero di voci di registro riparate.

Firma digitale
FixSbr.exe dispone di una firma digitale. Symantec consiglia l’utilizzo di copie di FixSbr.exe scaricate esclusivamente dal sito Internet Symantec Security Response. Per controllare l’autenticità della firma digitale, procedere nel modo seguente:
  1. Accedere a http://www.wmsoftware.com/free.htm.
  2. Scaricare il file chktrust.exe e salvarlo nella stessa cartella su cui è stato salvato lo strumento di rimozione.

    Nota: La maggior parte dei passaggi vengono eseguiti nel prompt di comando. Se si è scaricato lo strumento di rimozione sul desktop di Windows, spostare per prima cosa lo strumento nella directory principale C per semplificare la procedura. Salvare quindi anche il file Chktrust.exe nella directory C.

    (Per il passaggio 3 si presuppone che sia lo strumento di rimozione sia il file Chktrust.exe si trovino nella directory principale dell'unità C).

  3. Fare clic su Start > Esegui.
  4. Digitare quanto segue in base al sistema operativo:
    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. Fare clic su OK.
  6. Neall finestra "command", digitare quanto segue premendo Invio dopo ciascuna riga:

    cd\
    cd downloads
    chktrust -i     FixSbr.exe

  7. Viene visualizzato il messaggio seguente in base al sistema operativo:
    • Windows XP SP2:
      The Trust Validation Utility window will appear.

      Sotto Publisher, fare clic sul collegamento Symantec Corporation. Viene visualizzato Digital Signature Details.
      Verificare il contenuto dei campi seguenti per assicurare che lo strumento sia autentico:

      Name: Symantec Corporation
      Signing Time: Monday, May 02, 2005 5:45:06 PM
    • Tutti gli altri sistemi operativi:
      Viene visualizzato il messaggio seguente:

      Si desidera installare ed eseguire lo strumento di rimozione W32.Sober , firmatoil 5/6/2005 4:06:56 AM e distribuito da Symantec Corporation?

      Note:
    • Se il computer non è impostato sul fuso orario americano della costa pacifica, la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
    • Se si utilizza l’ora legale, l’orario apparirà spostato in avanti esattamente di un’ora.
    • Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
      • Lo strumento in questione non viene da Symantec: se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile eseguirlo.
      • Lo strumento in questione è di Symantec ed è legittimo: si è in precedenza dato istruzione al proprio sistema operativo di accettare sempre qualsiasi contenuto proveniente da Symantec. Per informazioni in merito e per fare apparire nuovamente la finestra di dialogo di conferma consultare il documento How to restore the Publisher Authenticity confirmation dialog box.
  8. Fare clic su per chiudere la finestra di dialogo.
  9. Digitare exit, quindi premere Invio. Viene così chiusa la sessione di MS-DOS.

Opzione Ripristino configurazione di sistema in Windows Me/XP
Si consigliano gli utenti di Windows Me e Windows XP di disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Questa funzionalità, attivata per impostazione predefinita, viene utilizzata da Windows Me/XP per ripristinare sul computer file che sono stati danneggiati. Quando una macchina contrae un virus, un worm o un cavallo di Troia, è possibile che Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi sul computer.

Per impostazione predefinita Windows impedisce che Ripristino configurazione di sistema venga modificato da programmi esterni, compresi gli antivirus. Pertanto, i programmi antivirus o gli strumenti di rimozione non sono in grado di rimuovere alcun elemento dalla cartella Ripristino configurazione di sistema. Ripristino configurazione di sistema potrebbe quindi ripristinare un file infetto sul computer anche dopo che sono stati eliminati i file infetti da tutte le altre posizioni.

La scansione alla ricerca di virus potrebbe inoltre rilevare la minaccia nella cartella Ripristino configurazione di sistema anche dopo avere eseguito la rimozione del codice nocivo.


Per istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti documenti: Se si desiderano ulteriori informazioni o se non si intende disattivare Ripristino configurazione di sistema di Windows Me consultare il documento (in inglese) del Knowledge Base Microsoft Impossibile ripulire i file infetti nella cartella _Restore con lo strumento antivirus, numero: I263455.


Come eseguire lo strumento dal dischetto floppy
  1. Inserire il dischetto floppy, che contiene il file FixSbr.exe nell'unità dischetto floppy.
  2. Fare clic su Start, quindi su Esegui.
  3. Digitare la riga seguente:

    a:\FixSbr.exe

    quindi fare clic su OK:

    NOTE:
    • Non ci sono spazi nel comando a:\FixSbr.exe.
    • Se si utilizza Windows Me e Ripristino configurazione di sistema rimane abilitato, verrà visualizzato un messaggio di avviso. È possibile scegliere tra eseguire lo strumento di rimozione con l'opzione Ripristino configurazione di sistema abilitata oppure uscire dallo strumento di rimozione.

  4. Fare clic su Start per iniziare il processo quindi eseguire lo strumento.
  5. Se si utilizza Windows Me, riabilitare la funzione Ripristino configurazione di sistema.


STAMPA QUESTA PAGINA
Ricerca per nome
Esempio: W32.Beagle.AG@mm
Norton 360: Versione 2.0.
Purchase Client Security
©1995 - 2008 Symantec Corporation
Indice del sito |
Note legali |
Trattamento dei dati riservati |
Contattaci |
Siti globali |
Contratti di licenza