||||
Symantec.com > Security Response > W32.Welchia.Worm Removal Tool

W32.Welchia.Worm Removal Tool

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 18 de Agosto de 2003
Aggiornato: 13 de Febbraio de 2007 11:34:54 AM
Tipo: Removal Information



Symantec Security Response ha sviluppato uno strumento di rimozione per ripulire le infezioni causate da W32.Welchia.Worm e W32.Welchia.B.Worm, W32.Welchia.C.Worm, e W32.Welchia.D.Worm.

Operazioni svolte dallo strumento

Lo strumento di rimozione di W32.Welchia.Worm svolge le seguenti operazioni:
  1. Termina i processi virali di W32.Welchia.Worm (o W32.Welchia.B / W32.Welchia.C / W32.Welchia.D).
  2. Elimina i file aggiunti dal worm.
  3. Elimina i valori di registro aggiunti dal worm.
    Nota: l'eliminazione avverrà solo se il sistema operativo non ha già rimosso questi valori terminando i processi virali, come menzionato al punto 1.
  4. Elimina i servizi creati da W32.Welchia.Worm.

Opzioni della riga di comando disponibili per lo strumento


Opzione

Descrizione

/HELP, /H, /?
Visualizza il messaggio di guida.

/NOFIXREG
Disattiva la riparazione del registro. L'utilizzo di questa opzione è sconsigliato.

/SILENT, /S
Attiva la modalità invisibile.

/LOG=<nome percorso>
Crea un file di registro in cui <nome percorso> è la posizione su cui memorizzare l’output dello strumento. Per impostazione predefinita, il file di registro FixWelch.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.

/MAPPED
Esegue la scansione delle unità di rete mappate. L'utilizzo di questa opzione è sconsigliato. Vedere la Nota di seguito.

/START
Impone allo strumento di avviare immediatamente la scansione.

/EXCLUDE=<percorso>
Esclude il <percorso> specificato dalla scansione. L'utilizzo di questa opzione è sconsigliato.

/NOFILESCAN
Esegue la scansione della cartella %System%\Wins unicamente alla ricerca di Dllhost.exe e Svchost.exe.

Nota: l’opzione /MAPPED non garantisce la completa rimozione del virus sul computer remoto per le seguenti ragioni:
  • La scansione delle unità mappate esamina solo le cartelle mappate. Questo potrebbe non comprendere tutte le cartelle presenti sul computer remoto, comportando il rischio del mancato rilevamento di altre infezioni.
  • Se viene rilevato un file del virus sull’unità mappata e il computer remoto lo sta utilizzando, la rimozione non riuscirà.

Di conseguenza, è opportuno eseguire lo strumento su ciascun computer.

Acquisizione ed esecuzione dello strumento

Nota: se lo strumento viene eseguito su Windows NT 4.0, Windows 2000 o Windows XP è necessario disporre dei diritti di amministratore.

ATTENZIONE: per gli amministratori di rete: se si esegue MS Exchange 2000 Server, si raccomanda di escludere l'unità M dalla scansione eseguendo lo strumento da una riga di comando con il parametro Exclude. Per maggiori informazioni, consultare l'articolo del Knowledge Base di Microsoft (in inglese) "XADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Articolo 298924).
  1. Scaricare il file FixWelch.exe dall'indirizzo: http://www.symantec.com/avcenter/FixWelch.exe.
  2. Salvare il file su un percorso a scelta quale la cartella di download o il desktop di Windows (o un supporto rimovibile di cui si ha la certezza che non è infetto).
  3. Per controllare l'autenticità della firma digitale, fare riferimento alla sezione "Firma digitale" più avanti in questo articolo.
  4. Chiudere tutti i programmi in esecuzione prima di eseguire lo strumento.
  5. Se si è connessi a una rete o si dispone di una connessione a Internet sempre attiva, disconnettere il computer dalla rete e da Internet.
  6. Se si utilizza Windows Me o Windows XP disattivare Ripristino configurazione di sistema. Per ulteriori dettagli fare riferimento alla sezione "Opzione Ripristino configurazione di sistema in Me/XP" più avanti in questo articolo.

    ATTENZIONE: se viene utilizzato Windows Me/XP, si consiglia di non saltare questo passaggio.
  7. Fare doppio clic sul file FixWelch.exe per avviare lo strumento di rimozione.
  8. Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.

    Se si verificano dei problemi durante l'esecuzione dello strumento
    Se l'esecuzione dello strumento non riesce o se compare un messaggio che informa che non è stato possibile eliminare tutti i file o terminare tutti I processi, eseguire di nuovo lo strumento in modalità provvisoria. In questo caso, spegnere il computer, attendere 30 secondi, quindi riavviare il computer in modalità provvisoria (Windows 95/98/Me/2000/XP), ed eseguire nuovamente lo strumento. Per istruzioni sulla procedura di riavvio del computer in modalità provvisoria, consultare il documento, "Come avviare il computer in modalità provvisoria".

    Una volta eseguito lo strumento in modalità provvisoria,
    andare al punto 9.
  9. Riavviare il computer.
  10. Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni.
  11. Se si utilizza Windows Me/XP riattivare Ripristino configurazione di sistema.
  12. Eseguire LiveUpdate per accertarsi di disporre delle definizioni dei virus più recenti.

Nota: la procedura di rimozione potrebbe non riuscire se Ripristino configurazione di sistema di Windows Me/XP non viene disattivata come è stato indicato in precedenza in quanto Windows impedisce la modifica di questa opzione da parte di programmi esterni.

Quando lo strumento ha terminato l'esecuzione, verrà visualizzato un messaggio per indicare se il computer era infettato da W32.Welchia.Worm. Nel caso di una rimozione del worm, il programma visualizza i seguenti risultati:
  • Numero totale di file esaminati.
  • Numero di file eliminati.
  • Numero di processi virali terminati.
  • Numero di voci ci registro corrette.

Firma digitale
FixWelch.exe è fornito di firma digitale. Symantec consiglia di utilizzare solo copie di FixWelch.exe che sono state scaricate direttamente dal sito Web di Symantec Security Response. Per controllare l'autenticità della firma digitale, seguire queste istruzioni:
  1. Accedere all'indirizzo http://www.wmsoftware.com/free.htm.
  2. Scaricare e salvare il file Chktrust.exe nella stessa cartella in cui è stato salvato FixWelch.exe, ad esempio, C:\Download.
  3. A seconda del sistema operativo, svolgere una delle seguenti operazioni:
    • Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
    • Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi fare clic su Prompt dei comandi.

  4. Selezionare la cartella in cui sono memorizzati FixWelch.exe e Chktrust.exe, quindi digitare:

    chktrust -i FixWelch.exe

    Ad esempio, se il file è stato salvato nella cartella C:\Download, i comandi da immettere sarebbero i seguenti:

    cd\
    cd downloads
    chktrust -i FixWelch.exe

    Premere Invio dopo avere digitato ciascun comando. Se la firma digitale è valida, verrà visualizzato il seguente messaggio:

    Si desidera installare ed eseguire "W32.Welchia Removal Tool", firmato il 3/25/2004 8:37 PM e distribuito da Symantec Corporation?

    Note:
    • La data e l'ora che sono visualizzate in questa finestra di dialogo saranno regolate sul fuso orario locale.
    • Se è attiva l'ora legale, l'ora visualizzata sarà anticipata esattamente di un'ora.
    • Se questa finestra di dialogo non viene visualizzata, le ragioni possibile sono due:
      • Lo strumento non è di Symantec. A meno che non si abbia la certezza che lo strumento è legittimo ed è stato scaricato dal sito Web ufficiale di Symantec, la sua esecuzione è sconsigliata.
      • Lo strumento non è di Symantec. A meno che non si abbia la certezza che lo strumento è legittimo ed è stato scaricato dal sito Web ufficiale di Symantec, la sua esecuzione è sconsigliata. A tale proposito, consultare il documento in inglese How to restore the Publisher Authenticity confirmation dialog box.

  5. Fare clic su Sì per chiudere la finestra di dialogo.
  6. Digitare Exit, quindi premere Invio. La sessione MS-DOS verrà chiusa.

Opzione Ripristino configurazione di sistema in Windows Me/XP
Gli utenti di Windows Me e Windows XP devono disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Questa funzionalità, che è attivata in modo predefinito, viene utilizzata da Windows Me/XP per ripristinare i file sul computer nel caso vengano danneggiati. Se un virus, worm o Trojan infetta un computer, Ripristino configurazione di sistema potrebbe eseguirne il backup.

Windows impedisce che programmi esterni, compresi i programmi antivirus, modifichino Ripristino configurazione di sistema. Di conseguenza, i programmi o gli strumenti antivirus non possono rimuovere eventuali minacce presenti nella cartella Restore del sistema. Il risultato è che Ripristino configurazione di sistema può potenzialmente ripristinare un file infetto sul computer, anche se tutti i file infetti sono stati rimossi dalle altre posizioni.

Inoltre, in alcuni casi, i programmi di scansione on-line potrebbero rilevare una minaccia nella cartella Restore del sistema anche se il computer è stato esaminato con un programma antivirus e non sono stati trovati file infetti.

Per istruzioni sulla disattivazione di Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti articoli:


Per ulteriori informazioni e un’alternativa alla disattivazione di Ripristino configurazione di sistema in Windows Me, consultare l’articolo del Knowledge Base di Microsoft, "Impossibile ripulire i file infetti nella cartella _Restore con lo strumento antivirus (Q263455)."

STAMPA QUESTA PAGINA
Ricerca per nome
Esempio: W32.Beagle.AG@mm
Norton 360: Versione 2.0.
Purchase Client Security
©1995 - 2008 Symantec Corporation
Indice del sito |
Note legali |
Trattamento dei dati riservati |
Contattaci |
Siti globali |
Contratti di licenza