Come agisce il virus “sircam” e come eliminarlo

115
379

Il SIRCAM è un VIRUS worm che si trasmette via e-mail, e infetta tutti i contatti presenti in rubrica. SirCam, si copia in Scam32.exe e sirc32.exe, si sposta nel cestino con gli attributi nascosti. Sostituisce il rundll32.exe (rinominando l’originale in run32.exe) e aggiunge questa linea:

@win nell’AUTOEXEC.BAT.

Si carica da solo all’avvio, tramite la seguente key del registro di windows: HKEY_LOCAL_MACHINE

Il Sircam modifica inoltre la seguente chaive di registro: HKEY_CLASSES_ROOT .

Quando entra in azione, cancella un po di roba e trasmette via e-mail i dati confidenziali, unitamente ad un allegato “infetto”, a tutti gli indirizzi in rubrica.

Procedura per eliminare il SIRCAM

1 Operazioni preliminari

1.1 – Chiudere il collegamento internet (se attivo).

1.2 – Rinominare REGEDIT.EXE in REGEDIT.COM.

(questa modifica non permette al virus di “difendersi” dalle modifiche che apporteremo in seguito al registro di Windows)

2 Agire sul Registro di Windows

2.1 – Avviate REGEDIT (da Start=>Esegui).

2.2 – Portatevi sulla seguente Chiave di registro:

HKEY_LOCAL_MACHINE2.3 – Cercate ed ELIMINATE (sulla finestra di destra) la chiave:

Driver32

2.4 – Portatevi quindi sulla seguente chiave ed ELIMINATELA:

HKEY_LOCAL_MACHINE

2.5 – Portatevi ora sulla seguente chiave:

HKEY_CLASSES_ROOT le

2.6 – Qui troverete all’interno della voce (DEFAULT) la seguente stringa:

“C:

2.6 – Modificate questa stringa come segue (eliminando il link a SirC32):

“%1″%*

3 Rimozione dei Virus file

3.1 – Portatevi all’interno della cartella di sistema “C: ” (o C: ) e togliere tutte le protezioni dal file del virus, con il seguente comando DOS:

ATTRIB -r -h -s SCAM32.EXE

3.2 – ELIMINATE il file con il seguente comando DOS:

DEL SCAM32.EXE

3.3 – Portatevi all’interno della cartella del Cestino “C: ” e togliere tutte le protezioni dal file del virus, con il seguente comando DOS:

ATTRIB -r -h -s SIRC32.EXE

3.4 – ELIMINATE il file con il seguente comando DOS:

DEL SIRC32.EXE

4 Ripristino di RUNDLL32.EXE

4.1 – Portatevi all’interno della cartella di Windows “C: ” e cercate il file RUN32.EXE

4.2 – Se trovate il file, vuol dire che il virus ha ricreato il file Rundll32.exe rinominando l’originale in Run32.exe.

4.3 – ELIMINATE quindi il file RUNDLL32.EXE e RINOMINATE il file RUN32.EXE in RUNDLL32.EXE.

5 Normalizzare l’AUTOEXEC.BAT

5.1 – Aprite il file AUTOEXEC.BAT con NOTEPAD.

5.2 – Cercate ed ELIMINATE la seguente riga:

@win Ecco Fatto!! Riavviate il sistema…. Il SIRCAM è stato completamente rimosso dal vostro PC.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here