In questa sezione

• Home
• Supporto
• Rimozione virus

Supporto online

• Supporto
• Knowledge base
• Rimozione virus

Manutenzione prodotti

• Download e aggiornamenti
• Centro upgrade
• Documentazione
• Ciclo di vita del software

Contattate il supporto tecnico

• Contattate gli esperti
• Inviate un campione
• Inviate un'e-mail

Servizi di supporto

• Panoramica
• Supporto tecnico
• Servizi professionali
• Formazione tecnica

Risorse

• Endpoint
• Cifratura
• E-mail
• Web
• Small Business Solutions

• 
• 

Istruzioni per la rimozione di W32/ElKern-C e W32/Klez-H

W32/Klez-H è un worm Win32 che include una copia compressa del virus W32/ElKern-C, trasmessa e avviata quando viene eseguito il worm. Il rilevamento di W32/Klez-G comprende W32/Klez-H e altre varianti. Queste note possono essere utilizzate per rimuovere le varianti W32/Klez-E, -F, -G e -H, oltre a W32/ElKern-A, -B e -C.

W32/ElKern-C è un virus all'interno di un file eseguibile che funziona solo in Windows 98, Windows Me, Windows 2000 e Windows XP.

W32/Klez-H corrompe tutte le installazioni di Sophos Anti-Virus che rileva, perciò deve essere rimosso con DOS SWEEP o SAV32CLI prima di installare una nuova versione.

Disconnessione dalla rete

Sophos consiglia di sconnettere i computer infetti dalla rete in modo da evitare che il virus si diffonda ulteriormente durante le procedure preliminari.

Se si sta disinfettando un computer Windows NT/2000/XP consultare la relativa sezione.

Windows 95/98/Me

Disinfezione con DOS SWEEP

• direttamente dalla cartella DOS del CD Sophos Anti-Virus
• scaricare l'applicazione ed estrarla nella cartella C:\Sophtemp
• se il virus non ha corrotto l'installazione di Sophos Anti-Virus, è possibile utilizzare la copia di DOS SWEEP in C:\Program files\Sophos SWEEP.

È necessario eseguire la disinfezione in modalità 16 bit (MS-DOS), non su un prompt dei comandi ("DOS box").

• Windows 95/98. Riavviare il computer in modalità MS-DOS.Selezionare Start/Avvio|Chiudi sessione, quindi "Riavvia il sistema in modalità MS-DOS".
• Windows Me. Creare un disco di ripristino e riavviare il computer da questa posizione. Selezionare Start|Impostazioni|Pannello di controllo. Cliccare su "Installazione applicazioni", selezionare la scheda "Disco di ripristino" e infine "Crea disco". Una volta creato il disco di ripristino, proteggerlo da scrittura e avviare il computer da questa posizione.

Andare nella directory che contiene DOS SWEEP

• Se si sta utilizzando un CD nell'unità E: digitare
  E:
  CD \DOS
• se i file sono stati estratti in C:\Sophtemp, digitare
  CD \
  CD SOPHTEMP
• se la copia di DOS SWEEP è ancora presente in Program files\Sophos SWEEP utilizzare:
  CD \
  CD PROGRA~1
  CD SOPHOS~1

È ora possibile avviare DOS SWEEP

SWEEP C: -PB -DIPE -P=ELKLOGC.TXT

Viene eseguita la scansione del computer.I file infetti vengono disinfettati e viene elaborato un report. I file corrotti e i file worm non possono essere disinfettati, ma devono essere eliminati.

SWEEP C: -PB -REMOVEF -P=KLEZLOGC.TXT

Il file log KLEZLOGC.TXT serve a identificare i file utili.

Nota: rimuovere unicamente i file W32/Klez o W32/ElKern. Trattare separatamente i file infettati da altri virus.

Ripetere la procedura per gli altri hard disk, ad es. l'unità D:

SWEEP D: -PB -DIPE -P=ELKLOGD.TXT

e

SWEEP D: -PB -REMOVEF -P=KLEZLOGD.TXT

I file eliminati devono essere ripristinati da una copia sicura di backup o dal CD originale.

Una volta eseguita la disinfezione riavviare il computer in Windows e passare alla sezione Ripristino di seguito.

Windows NT/2000/XP

Rimuovere W32/Klez su Windows NT/2000/XP con SAV32CLI.

• È possibile eseguire SAV32CLI direttamente dalla cartella WIN32\I386\SAV32CLI sul CD Sophos Anti-Virus.
• In alternativa, utilizzare il download di emergenza SAV32CLI in sav32sfx.exe. Su un computer Windows non infetto, aprire questo file per estrarne il contenuto in una cartella SAV32CLI su un supporto che è possibile proteggere da scrittura (ad es. un CD) ed eseguire questa procedura (su un CD/R o CD/RW, chiudere la sessione).

Prima di eseguire SAV32CLI, è necessario assicurarsi che W32/ElKern non sia presente in memoria. In Windows 2000 e Windows XP è necessario utilizzare la Modalità provvisoria. Poiché W32/ElKern-C non infetta i file di Windows NT, è possibile utilizzare un prompt dei comandi.

• Windows NT. Chiudere tutti i programmi. Andare su Start|Esegui e digitare Command.
• Windows 2000. Andare su Start|Chiudi sessione, selezionare Riavvia il sistema dall'elenco a discesa e cliccare su OK.Windows si riavvia.
  Premere F8 quando al fondo dello schermo viene visualizzato il messaggio "Per la risoluzione problemi e le opzioni avanzate di Windows, premere F8". Nel menu delle Opzioni avanzate di Windows 2000 selezionare la prima opzione, "Modalità provvisoria". Quando viene richiesto, effettuare l'accesso come amministratore locale.
  Quando la Modalità provvisoria si è avviata selezionare Start|Impostazioni|Pannello di controllo|Strumenti di amministrazione e cliccare due volte su Servizi. Tra i servizi ve ne sarà uno chiamato Wink*, dove * rappresenta caratteri casuali. Se è in esecuzione, utilizzare il pulsante Interrompi per arrestare il servizio Wink*. Chiudere tutte le finestre.
  Andare su Start|Esegui e digitare Command.
• Windows XP. Andare su Start|Spegni computer, selezionare Riavvia dall'elenco a discesa e cliccare su OK. Windows si riavvia.
  Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows. Selezionare la prima opzione, "Modalità provvisoria", quindi selezionare Windows XP. Quando viene richiesto, effettuare l'accesso come amministratore locale.
  Quando la Modalità provvisoria si è avviata selezionare Start|Impostazioni|Pannello di controllo|Strumenti di amministrazione e cliccare due volte su Servizi. Tra i servizi ve ne sarà uno chiamato Wink*, dove * rappresenta caratteri casuali. Utilizzare il pulsante Interrompi per arrestare il servizio Wink*. Chiudere tutte le finestre.
  Andare su Start|Esegui e digitare "Cmd".

Inserire il disco protetto da scrittura che contiene SAV32CLI. Al prompt dei comandi digitare
E:
dove E: è l'unità in cui è stato inserito il disco.

• Se si sta utilizzando il CD Sophos Anti-Virus, digitare:
  CD WIN32\I386\SAV32CLI
• Se si sta utilizzando un disco SAV32CLI, digitare:
  CD SAV32CLI

Quindi:

SAV32CLI -DI -P=C:\ELKLOGC.TXT

per disinfettare tutte le unità fisse.

SAV32CLI esegue la scansione del computer. I file infetti vengono disinfettati e viene elaborato un report. I file corrotti e i file worm non possono essere disinfettati, ma devono essere eliminati.

SAV32CLI -REMOVE -P=C:\KLEZLOGC.TXT

Il file log KLEZLOGC.TXT può servire a identificare i file utili.

Nota: rimuovere unicamente i file W32/Klez o W32/ElKern. Trattare separatamente i file infettati da altri virus.

Una volta completata la disinfezione, eseguire una seconda scansione per assicurarsi che tutti i virus siano stati rimossi. Se così non è o se si verificano dei problemi, contattare il Supporto tecnico di Sophos.

Riavviare Windows e passare alla sezione Ripristino di seguito.

Ripristino

1. Ripristino configurazione di sistema
   In Windows Me e Windows XP è necessario cancellare il Ripristino configurazione di sistema.
2. Reinstallare Sophos Anti-Virus ed eseguire la scansione del computer in Windows
   Reinstallare Sophos Anti-Virus come descritto nella relativa Guida all'installazione, quindi eseguire una scansione per controllare le directory il cui nome non può essere riconosciuto in DOS (ad es. quelle contenenti caratteri non ammessi come "!" e "?"). Avviare Sophos Anti-Virus. Cliccare con il pulsante destro del mouse sull'hard disk e selezionare Tutti i file dal menu a comparsa. Assicurarsi che "Sottocartelle" sia selezionato.Eseguire una scansione. Una volta conclusa l'operazione, cliccare nuovamente con il pulsante destro del mouse e selezionare Eseguibili.
3. Riparazione del registro
   Potrebbe essere necessario eliminare le voci di registro relative a file e servizi infetti. Leggere l'avviso relativo alla modifica del registro. Il file infetto sarà elencato in KLEZLOGC.TXT (controllare in SOPHTEMP, Sophos SWEEP e nella directory principale dell'unità C: ). Cliccare due volte su KLEZLOGC.TXT per aprirlo in Blocco note e cercare la parola "virus" per identificare i nomi dei file infetti. Lasciarlo aperto per eseguire la ricerca mentre si modifica il registro.
   Sulla barra delle applicazioni, cliccare su Avvia|Esegui. Digitare "Regedit" e premere Invio. Sarà visualizzato l'Editor del Registro di sistema.
   Prima di modificare il registro, eseguire un backup. Sul menu "Registro di sistema", cliccare su "Esporta file del Registro di sistema/Esporta file del Registro di configurazione". Sul pannello "Intervallo di esportazione" cliccare su "Tutti", quindi salvare il registro come Backup.
   Individuare la voce HKEY_LOCAL_MACHINE:
   
   HKLM\Software\Microsoft\Windows
   \CurrentVersion\Run\"infected file"
   
   dove "infected file" è uno dei file infetti nel log. Eliminare questa voce.
   Potrebbe inoltre essere necessario rimuovere la voce del servizio Wink*. Individuare
   
   HKLM\System\CurrentControlSet\Services\Wink*
   
   dove "*" rappresenta caratteri casuali. Eliminare questa voce.
   Chiudere l'Editor del Registro di sistema.
4. Sostituzione di file disinfettati
   I file infetti non vengono sempre riportati al loro stato originale. Tale danno non è automaticamente reversibile senza una copia del file originale. Sarà quindi necessario sostituire tutti i file che sono stati infettati con copie dai backup, da nuovi supporti o da un computer sicuro. Utilizzare KLEZLOGC.TXT per identificare tali file.
5. Utilizzo della patch Microsoft
   W32/Klez-H sfrutta una vulnerabilità MIME in alcune versioni di Microsoft Outlook, Microsoft Outlook Express e Internet Explorer, che consente a un file di aprirsi automaticamente senza che l'utente clicchi due volte sull'allegato.
   Scaricare la patch realizzata da Microsoft per sopperire a tale vulnerabilità.
6. Individuazione dei file rinominati
   W32/Klez-H rinomina e nasconde copie di alcuni file sovrascritti nella directory originale. Il nome del file viene mantenuto, ma l'estensione è casuale e gli attributi vengono modificati. Se non sono disponibili dai backup, questi file possono essere rinominati.

Altre piattaforme

Se vengono rilevati file infetti su piattaforme diverse da Windows 95/98/Me e Windows NT/2000/XP, rimuovere W32/ElKern-C utilizzando le istruzioni per la disinfezione degli eseguibili PE e rimuovere le varianti W32/Klez seguendo quelle per la rimozione dei file eseguibili infetti.