Come "debellare" il virus SIRCAM

Candidato a virus dell'anno dalle maggiori software house del settore, il Sircam, in tutte le sue "evoluzioni" (A,B e C) miete vittime in tutto il mondo. Viste le numerose segnalazioni in merito, vi proponiamo una procedura (consigliata da Trend Micro) per eliminare ogni residuo del temutissimo virus..

Cosa fare??

 

Premesse

COME AGISCE IL VIRUS SIRCAM?

Il SIRCAM è un VIRUS worm che si trasmette via e-mail, e infetta tutti i contatti presenti in rubrica. SirCam, si copia in Scam32.exe e sirc32.exe, si sposta nel cestino con gli attributi nascosti. Sostituisce il rundll32.exe (rinominando l'originale in run32.exe) e aggiunge questa linea: 

@win \recycled\SirC32.exe nell'AUTOEXEC.BAT. 

Si carica da solo all'avvio, tramite la seguente key del registro di windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\RunSevices\Driver32. 

Il Sircam modifica inoltre la seguente chaive di registro: HKEY_CLASSES_ROOT\exefile\shell\open\command. 

Quando entra in azione, cancella un po di roba e trasmette via e-mail i dati confidenziali, unitamente ad un allegato "infetto", a tutti gli indirizzi in rubrica.

 

Procedura per eliminare il SIRCAM

(Suggerita da Trend Micro)

 

 1  Operazioni preliminari

 

1.1 - Chiudere il collegamento internet (se attivo).

 

1.2 - Rinominare REGEDIT.EXE in REGEDIT.COM.

(questa modifica non permette al virus di "difendersi" dalle modifiche che apporteremo in seguito al registro di Windows)

 

 

 2  Agire sul Registro di Windows

 

2.1 - Avviate REGEDIT (da Start=>Esegui).

 

2.2 - Portatevi sulla seguente Chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\RunSevices

 

2.3 - Cercate ed ELIMINATE (sulla finestra di destra) la chiave:

   Driver32

 

2.4 - Portatevi quindi sulla seguente chiave ed ELIMINATELA:

   HKEY_LOCAL_MACHINE\SOFTWARE\SirCam

 

2.5 - Portatevi ora sulla seguente chiave:

   HKEY_CLASSES_ROOT\exefile\shell\open\command

 

2.6 - Qui troverete all'interno della voce (DEFAULT) la seguente stringa:

   "C:\Recycled\SirC32.exe""%1"%*

 

2.6 - Modificate questa stringa come segue (eliminando il link a SirC32):

   "%1"%*

 

 3  Rimozione dei Virus file

 

3.1 - Portatevi all'interno della cartella di sistema "C:\Windows\System" (o C:\Winnt\System32) e togliere tutte le protezioni dal file del virus, con il seguente comando DOS:

   ATTRIB -r -h -s SCAM32.EXE

 

3.2 - ELIMINATE il file con il seguente comando DOS:

   DEL SCAM32.EXE

 

3.3 - Portatevi all'interno della cartella del Cestino "C:\Recycled" e togliere tutte le protezioni dal file del virus, con il seguente comando DOS:

   ATTRIB -r -h -s SIRC32.EXE

 

3.4 - ELIMINATE il file con il seguente comando DOS:

   DEL SIRC32.EXE

 

 4  Ripristino di RUNDLL32.EXE

 

4.1 - Portatevi all'interno della cartella di Windows "C:\Windows" e cercate il file RUN32.EXE 

 

4.2 - Se trovate il file, vuol dire che il virus ha ricreato il file Rundll32.exe rinominando l'originale in Run32.exe.

 

4.3 - ELIMINATE quindi il file RUNDLL32.EXE e RINOMINATE il file RUN32.EXE in RUNDLL32.EXE.

 

 5  Normalizzare l'AUTOEXEC.BAT

 

5.1 - Aprite il file AUTOEXEC.BAT con NOTEPAD.

 

5.2 - Cercate ed ELIMINATE la seguente riga:

@win \recycled\SirC32.exe

 

 

Ecco Fatto!! Riavviate il sistema.... Il SIRCAM è stato completamente rimosso dal vostro PC.

 

 

-----------

Per eventuali chiarimenti scrivete:   sergio@pcalmeglio.com

Per maggiori informazioni e/o suggerimenti: info@pcalmeglio.com

-----------

 

 

Note e Raccomandazioni

Tutti i dati e le informazioni riportate sono derivanti da esperienze pratiche, pertanto, data la vastità di componenti hardware oggi in commercio, possono avere esiti diversi ed imprevedibili. Si consiglia pertanto di procedere con cautela. In ogni caso decliniamo ogni responsabilità per eventuali danni e/o malfunzionamenti, su hardware e software, derivanti dall'applicazione dei consigli e/o di tutto ciò che è riportato nella presente pagina.