Tratto dal
sito della Symantec per la rimozione del worm.
Strumento di rimozione di
W32.Blaster.Worm
Scoperto in data: August 11, 2003
Ultimo aggiornamento in data: December 9, 2003 10.20.42
Symantec Security Response ha sviluppato uno strumento di rimozione per ripulire le infezioni causate da W32.Blaster.Worm.
Informazioni
W32.Blaster.Worm sfrutta la vulnerabilita' DCOM RPC descritta in Microsoft Security Bulletin MS03-026, dove e' anche disponibile una patch che va scaricata e installata. In molti casi, sara' necessario svolgere questa operazione prima di proseguire con le istruzioni per la rimozione. Se non e' possibile rimuovere l'infezione o impedire che questa si ripeta utilizzando le istruzioni fornite di seguito, scaricare e installare prima la patch.
Operazioni svolte dallo strumento
Lo strumento di rimozione di W32.Blaster.WormMagistr svolge le seguenti operazioni:
Termina il processo virale di W32.Blaster.Worm.
Elimina i file di W32.Blaster.Worm.
Elimina i file rilasciati nel sistema.
Elimina i valori di registro aggiunti dal worm.
Eseguire lo strumento su ogni computer.
NOTA: se lo strumento viene eseguito su Windows 2000 o Windows XP e' necessario disporre dei diritti di amministratore.
Procedura
Scaricare il
file FixBlast.exe (132 Kb).
Salvare il file su un percorso a scelta quale la cartella di download o il desktop di Windows (o un supporto rimovibile di cui si ha la certezza che non e' infetto).
Chiudere tutti programmi prima di eseguire lo strumento.
Se si esegue Windows Me o Windows XP, disattivare Ripristino configurazione di sistema.
ATTENZIONE: si raccomanda di non saltare questo passaggio soprattutto per Windows XP. La procedura di rimozione potrebbe infatti non riuscire se Ripristino configurazione di sistema di Windows XPnon viene disattivato perche' Windows ne impedisce la modifica da parte di programmi esterni.
Fare doppio clic sul
file FixBlast.exe per avviare lo strumento di rimozione.
Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.
NOTA: se, quando si esegue lo strumento viene visualizzato un messaggio indicante che non e' stato possibile rimuovere uno o piu' file, ripetere l'esecuzione in modalita' provvisoria. Arrestare e spegnere il computer, quindi attendere 30 secondi. Riavviare il computer in modalita' provvisoria ed eseguire di nuovo lo strumento. Tutti i sistemi operativi Windows a 32 bit, tranne Windows NT, possono essere riavviati in modalita' provvisoria.
Riavviare il computer.
Eseguire di nuovo lo strumento di rimozione per assicurarsi che il sistema sia privo di infezioni.
Se si esegue Windows XP, riattivare Ripristino configurazione di sistema.
Eseguire LiveUpdate per assicurarsi di disporre delle definizioni dei virus piu' recenti.
Quando lo strumento ha terminato l'esecuzione, verra' visualizzato un messaggio per indicare se il computer era infettato da W32.Blaster.Worm. Nel caso di una rimozione del worm, il programma visualizza i seguenti risultati:
Numero totale di file esaminati
Numero di file eliminati
Numero di processi virali terminati
Numero di voci ci registro corrette
Perche' rimuovere l'opzione Ripristino configurazione di sistema in Windows Me/XP
Gli utenti di Windows Me e Windows XP devono disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Questa funzionalita', che e' attivata in modo predefinito, viene utilizzata da Windows Me/XP per ripristinare i file sul computer nel caso vengano danneggiati. Se un virus, worm o Trojan infetta un computer, Ripristino configurazione di sistema potrebbe eseguirne il backup.
Windows impedisce che programmi esterni, compresi i programmi antivirus, modifichino Ripristino configurazione di sistema. Di conseguenza, i programmi o gli strumenti antivirus non possono rimuovere eventuali minacce presenti nella cartella Restore del sistema. Il risultato e' che Ripristino configurazione di sistema puo' potenzialmente ripristinare un file infetto sul computer, anche se tutti i file infetti sono stati rimossi dalle altre posizioni.
Inoltre, in alcuni casi, i programmi di scansione on-line potrebbero rilevare una minaccia nella cartella Restore del sistema anche se il computer e' stato esaminato con un programma antivirus e non sono stati trovati file infetti.
Come eseguire lo strumento da un disco floppy
Inserire il disco floppy che contiene il
file FixBlast.exe nell'unita' floppy.
Fare clic su Start, quindi fare clic su Esegui.
Digitare quanto segue:
a:\FixBlast.exe
quindi fare clic su OK.
NOTE:
Il comando
a:\FixBlast.exe non contiene spazi.
Se si utilizza Windows Me e non si disattiva Ripristino configurazione di sistema viene visualizzato un avviso. È possibile scegliere di eseguire lo strumento di rimozione con l'opzione Ripristino configurazione di sistema attivata o uscire.
Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.
Se si utilizza Windows Me, riattivare Ripristino configurazione di sistema.