Come ottenere e utilizzare lo strumento di rimozione di Wscript.KakWorm
Per utilizzare lo strumento, si consiglia di scaricare il file Fixkak.exe sul desktop di Windows o su una cartella nel disco rigido. Terminato lo scaricamento del file, seguire queste istruzioni:
Chiudere tutti i programmi.
Fare doppio clic su Fixkak.exe per eseguirlo. Verrà visualizzata una finestra di dialogo dello strumento di rimozione.
Fare clic su Rimuovi. Dopo avere fatto clic su Remove verrà visualizzato uno dei seguenti tre messaggi:
"Your computer is not infected" (il sistema è sicuro e non è necessario fare altro).
"Your computer has been successfully restored" (il worm è stato rimosso e il sistema ora è libero dai danni causati).
"An error occurred during execution of this program" (lo strumento di rimozione ha incontrato un problema che non è in grado di riparare. Sarà necessario rimuovere il virus manualmente. Per le istruzioni sulla rimozione manuale consultare questa pagina).
Operazioni svolte dallo strumento
Lo strumento di rimozione Wscript.KakWorm apporta le seguenti modifiche al sistema:
Cerca il file Kak.hta che è stato inserito dal worm nella cartella Esecuzione automatica. Se il file è presente e il valore CRC (Cyclic Redundancy Check) corrisponde, lo elimina. Un valore CRC è un numero derivato da un blocco di dati che rileva eventuali alterazioni durante la trasmissione dei dati.
Controlla il valore cAgOu nella seguente chiave di registro:
dove <sottochiavi> rappresenta tutte le possibili sottochiavi di HKEY_CURRENT_USER\Identities
Cerca il valore Default Signature nella chiave Signatures di Outlook Express 5.0. Se è presente, il valore viene eliminato.
Cerca ed elimina Kak.htm dalla cartella di Windows.
Ripristina il file Autoexec.bat originale.
Se è presente, lo strumento eliminerà la sottochiave \00000000 creata dal virus in: HKEY_CURRENT_USER\Identities\???\Software\Microsoft\Outlook Express\5.0\Signatures\00000000
NOTA: poiché il worm non salva queste informazioni, lo strumento non può ripristinare l'eventuale firma predefinita di Outlook Express presente prima dell'infezione.
Informazioni su Chktrust
Per verificare la firma digitale di Fixkak.exe utilizzando chktrust.exe:
Scaricare e salvare Chktrust.exe nella stessa cartella in cui è stato salvato Fixkak.exe.
Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
Accedere alla posizione in cui sono memorizzati Fixkak.exe e Chktrust.exe. Ad esempio, se i file sono stati salvati sul desktop di Windows, digitare:
cd \windows\desktop
Digitare il comando seguente per controllare l'autenticità della firma digitale di Fixkak.exe:
chktrust -i fixkak.exe
Se la firma digitale è valida, verrà visualizzato il seguente messaggio:
Installare ed eseguire "Fix Kak Utility" firmato il 28/07/00 17.38 e distribuito da Symantec Corporation
NOTE:
La data e l'ora che vengono visualizzate in questa finestra di dialogo saranno regolate sul fuso orario locale.
Se è attiva l'ora legale, l'ora visualizzata sarà anticipata esattamente di un'ora.
Se questa finestra di dialogo non viene visualizzata, le ragioni possibile sono due:
Lo strumento non è di Symantec. A meno che non si abbia la certezza che lo strumento è legittimo ed è stato scaricato dal sito Web ufficiale di Symantec, la sua esecuzione è sconsigliata.
Lo strumento è di Symantec ed è legittimo. Tuttavia, il sistema operativo è stato precedentemente istruito di considerare sempre attendibile i contenuti di Symantec. Per informazioni a tal proposito e per visualizzare di nuovo la finestra di dialogo di conferma, consultare il documento in inglese How to restore the Publisher Authenticity confirmation dialog box.
Fare clic su Sì per chiudere la finestra di dialogo di Chktrust.
