Istruzioni per la disinfezione di W32/Apology-B
Sophos Anti-Virus ha rilevato il virus W32/Apology-B sul mio computer. Cosa devo fare?
Se il file in questione è un allegato e-mail che non è ancora stato aperto, eliminare l'e-mail.L'analisi virus include un elenco dei nomi file utilizzati dal virus.
Eseguire una scansione utilizzando Sophos Anti-Virus per assicurarsi che il virus non si sia diffuso.
Se si è verificata questa evenienza, sarà necessario utilizzare il programma di disinfezione SWAPOL.
Come ottenere SWAPOL
SWAPOL è un'utilità per la disinfezione della famiglia di virus W32/Apology.
Se non si dispone del CD Sophos Anti-Virus sarà necessario scaricare:
- L'autoestraente SWAPOL e salvarlo nella directory (principale) C:\.
- L'autoestraente Emergency SAV Distribution (DOS) e salvarlo nella directory (principale) C:\.
Il metodo di rimozione è diverso per Windows 95/98/Me e Windows NT/Windows 2000.
Rimozione di W32/Apology-B in Windows 95/98/Me
Utilizzo dei file autoestraenti
È possibile utilizzare i file autoestraenti in Windows senza rischi, ma per assicurare il massimo della sicurezza, dovrebbero essere estratti nella directory C:\SOPHTEMP in modalità 16 bit (DOS).
Sul desktop di Windows, cliccare due volte su Risorse del computer, quindi su C:. I programmi APOLSFX.EXE e ESDZ.EXE dovrebbero essere visibili nella cartella C:\.
Cliccare due volte su APOLSFX.EXE e su ESDZ.EXE per estrarli nella directory C:\SOPHTEMP.
Sarà necessario riavviare il computer in modalità 16 bit (DOS).
La cosa migliore è riavviare il computer con un disco di avvio in grado di riconoscere l'unità CD utilizzata.Se si sta utilizzando Windows Me, sarà necessario riavviare a freddo il computer da un disco di ripristino o dal CD di sistema.
In Windows 95/98, se il disco di avvio non è disponibile, andare sul menu "Chiudi sessione..." (tramite il pulsante "Start" sulla barra delle applicazioni) e selezionare l'opzione "Riavviare il computer in modalità MS-DOS".
Nota: È necessario riavviare il computer in modalità MS-DOS, non è sufficiente aprire una finestra del Prompt dei comandi MS-DOS (una "DOS Box").
Il computer si riavvierà al Prompt dei comandi.
Andare alla directory C:\SOPHTEMP
È ora possibile utilizzare SWAPOL dal Prompt dei comandi.
Copia dei file dal CD Sophos Anti-Virus
Riavviare il computer in modalità 16 bit (DOS).
La cosa migliore è riavviare il computer con un disco di avvio in grado di riconoscere l'unità CD utilizzata.
Se il disco di avvio non è disponibile, andare sul menu "Chiudi sessione..." di Windows 95/98 (tramite il pulsante "Start" sulla barra delle applicazioni) e selezionare l'opzione "Riavviare il computer in modalità MS-DOS".
Nota: È necessario riavviare il computer in modalità MS-DOS, non è sufficiente aprire una finestra del Prompt dei comandi MS-DOS (una "DOS Box").
Il computer si riavvierà al Prompt dei comandi.
Verificare che il computer sia in grado di accedere all'unità CD in modalità 16 bit (alcune versioni di Windows 95 non lo sono). Se questo è il caso, tornare in Windows, creare la cartella e copiare i file al suo interno. Questa soluzione è meno sicura, ma dovrebbe risolvere il problema.
Creare una directory di lavoro al Prompt dei comandi
MD C:\SOPHTEMP
CD C:\SOPHTEMP
quindi copiare SWEEP.EXE, VDL.DAT e DOS4GW.EXE dalla directory \DOS e APOLSFX.EXE dalla directory \TOOLS\UTILS nella directory C:\SOPHTEMP
COPY D:\DOS\DOS4GW.EXE
COPY D:\DOS\VDL.DAT
COPY D:\TOOLS\UTILS\APOLSFX.EXE
APOLSFX.EXE
dove D: è l'unità CD. È ora possibile utilizzare SWAPOL dal Prompt dei comandi.
Utilizzo di SWAPOL dal Prompt dei comandi
Dal Prompt dei comandi DOS, eseguire SWEEP.EXE per creare un file di report relativo a SWAPOL.
Utilizzare il comando
SWEEP *: -ALL -F -LANG=ENG -P=C:\SOPHTEMP\INFECTED.REP
SWEEP.EXE scriverà il report nel file INFECTED.REP nella directory C:\SOPHTEMP.
Utilizzo del file di report
Inserire il file di report in SWAPOL con il comando
SWAPOL chiederà la conferma per disinfettare ciascun file infetto.
Se si preme "Y" per "Sì", SWAPOL tenterà la disinfezione. Sarà visualizzato
Tale programma è ora disinfettato e il virus è stato eliminato con successo.
Una volta concluse le operazioni di SWAPOL, riavviare SWEEP.EXE dalla riga di comando per identificare i file che non è stato possibile disinfettare.
Se sono ancora presenti file infetti, eliminarli e sostituirli con versioni pulite provenienti dai supporti originali o da un computer sicuro.
Rimozione di W32/Apology-B in Windows NT/Windows 2000
W32/Apology-B non infetta rapidamente le piattaforme Windows NT/Windows 2000, tuttavia potrebbero essere presenti file client infetti e il componente di tipo backdoor MTX_.EXE.
Per rimuovere MTX_.EXE, è necessario innanzitutto arrestarlo: premere contemporaneamente i tasti Ctrl, Alt e Canc, cliccare su Task Manager, selezionare la scheda Processi, evidenziare MTX_ e cliccare su Termina processo. In questo modo MTX_.EXE viene sbloccato. Chiudere Task Manager.
Eliminare MTX_.EXE.
I client Windows 95/98/Me infetti clients devono essere disinfettati in modalità 16 bit utilizzando le precedenti istruzioni. Mentre i computer Windows 95/98/Me non sono connessi al server e i file infetti su Windows NT/Windows 2000 sono sbloccati, avviare SWAPOL sul server stesso.
Esecuzione di SWAPOL in Windows NT/Windows 2000
In Windows NT/Windows 2000, SWAPOL può essere avviato da una finestra del Prompt dei comandi.
Poiché SWEEP funziona su un solo hard disk alla volta, ogni unità deve essere scansita separatamente.
Dal Prompt dei comandi, eseguire SWEEP.EXE per creare un file di report relativo a SWAPOL.
Dove C: è l'hard disk; utilizzare il comando
SWEEP C: -ALL -F -LANG=ENG -P=C:\SOPHTEMP\INFECTC.REP
SWEEP.EXE scriverà il report nel file INFECTC.REP nella directory C:\SOPHTEMP.
Per l'unità D: utilizzare la stessa riga di comando sostituendo C: con D: e INFECTC con INFECTD. Il report verrà scritto nel file INFECTD.REP.
Utilizzo del file di report
Inserire il file di report in SWAPOL con il comando
SWAPOL chiederà la conferma per disinfettare ciascun file infetto.
Se si preme "Y" per "Sì", SWAPOL tenterà la disinfezione. Sarà visualizzato
Tale programma è ora disinfettato e il virus è stato eliminato con successo.
Ripetere l'operazione per il file INFECTD.REP e per i file relativi agli altri hard disk.
Una volta concluse le operazioni di SWAPOL, riavviare SWEEP.EXE per ciascun hard disk dalla riga di comando per identificare i file che non è stato possibile disinfettare.
Se sono ancora presenti file infetti, eliminarli e sostituirli con versioni pulite provenienti dai supporti originali o da un computer sicuro.
Ulteriori informazioni
Per ulteriori informazioni sul processo di disinfezione, leggere READSWAP.TXT.
