Enterprise Console: rimozione dei virus su una rete

In Enterprise Console, le azioni di disinfezione e rimozione dei virus vengono eseguite per gruppo o per singolo computer. La presenza di virus, trojan, worm, spyware o altra minaccia, sarà indicata nella colonna Allarmi ed errori di Enterprise Console. Altri articoli riguardano:

• rimozione di virus a livello locale in Windows
• rimozione di virus attraverso scanner di emergenza a linea di comando.

Procedura

1. Valutazione del problema

Prima di rimuovere i virus e le altre minacce, verificare se sono in grado di

• effettuare modifiche alle impostazioni o ai documenti del computer
• diffondersi attraverso le condivisioni all'interno della rete
• acquisire privilegi di amministratore o danneggiare in altro modo la vostra rete.

Innanzitutto, da Enterprise Console scoprire quali oggetti sono presenti sul computer

1. Cliccare col tasto destro sul nome del computer.
2. Selezionare "Visualizza dettagli del computer".
3. Scorrere fino a "Oggetti rilevati" (o "Virus rilevati").
   • La colonna "Tipo" (o "Nome virus) elenca i nomi degli oggetti rilevati.
   • La colonna "Dettagli" (o "File infetti") elenca il percorso degli oggetti nel computer.
4. Cliccare sul nome dell'oggetto per leggere la sua descrizione sul sito web di Sophos.

La descrizione dà informazioni sul modo in cui il virus, o altro programma, si diffonde e sui suoi effetti.

2. Infezioni minori

È possibile trattare infezioni minori dalla console utilizzando scansione completa del sistema con Enterprise Console versione 3 e Sophos Anti-Virus per Windows 2000 e successivo, versione 7.

Se sono interessati pochi computer, procedere come segue.

1. Aprire Enterprise Console.
2. Selezionare i computer o gruppi in questione (tenere premuto il tasto "Ctrl" durante la selezione).
3. Cliccare con il tasto destro del mouse sugli oggetti selezionati.
4. Cliccare su "Scansione completa del sistema".
5. Cliccare su "OK" per eseguire la scansione. Possono essere necessari alcuni minuti.
6. Al termine della scansione, cliccare di nuovo con il tasto destro del mouse sugli oggetti selezionati.
7. Cliccare su "Rimuovi oggetti rilevati".
8. Selezionare i virus, ecc., che si desidera rimuovere.
9. Cliccare su "OK" per avviare la disinfezione.
10. Dopo una breve pausa, controllare nuovamente nella console i computer interessati (cliccare con il tasto destro del mouse e selezionare "Visualizza dati computer").
    • Se il numero di computer colpiti è in continuo aumento, andare alla sezione 3 "Prevenzione di ulteriori infezioni, e considerare l'infezione come grave.
    • Altrimenti, trattare con i residui dell'infezione.
11. Se la prima volta non sono stati rimossi tutti gli oggetti, (ad es. non tutti i componenti sono stati trovati), può essere necessario eseguire una seconda scansione completa del sistema dei computer interessati e ripetere la disinfezione.
12. Occasionalmente potrebbe essere necessario trattare gli oggetti residui nel computer locale.
13. Per rimuovere eventuali allarmi rimasti in sospeso (es. virus segnalati nelle condivisione su altri computer), cliccare con il tasto destro del mouse sul computer in Enterprise Console, cliccare su "Cancella allarmi ed errori", selezionare gli allarmi rimasti in sospeso e cliccare su "OK" per cancellarli.

In questo modo l'infezione minore dovrebbe essere risolta.

N.B.: la disinfezione automatica dei virus riguarderà sia i virus delle macro che i virus dei programmi. Alcuni virus delle macro possono alterare le informazioni presenti nei documenti. Leggere l'analisi del virus (inglese) per sapere se ciò può accadere e, dopo la disinfezione, sostituire con le copie di backup ogni documento colpito.

Per trattare un'infezione grave, seguire le istruzioni nelle sezioni seguenti.

3. Prevenzione di ulteriori infezioni

• Condivisioni di rete
  Se un virus che si diffonde attraverso risorse di rete condivise viene segnalato in posizioni diverse da un'e-mail o dalla cartella cache di Internet, tenere abilitata la scansione in scrittura finché non si è sicuri che il virus non si sta diffondendo internamente.

Se possibile, ripetere ora la scansione completa del sistema sui computer interessati (v. sezione 2).

Dopo l'infezione, ripristinare i criteri antivirus preesistenti. Il controllo aggiuntivo che queste opzioni comportano può rallentare la rete e non è necessario in circostanze normali.

N.B.: la disinfezione automatica dei virus riguarderà sia i virus delle macro che i virus dei programmi. Alcuni macro virus possono alterare le informazioni presenti nei documenti. Leggere l'analisi del virus (inglese) per sapere se ciò può accadere e, dopo la disinfezione, sostituire con le copie di backup ogni documento colpito.

4. Problemi a livello locale

Alcuni worm e virus modificano i sistemi operativi dei computer in modo tale che se il virus viene rimosso senza che questi cambiamenti siano ripristinati, il computer non potrà più essere usato. Sophos Anti-Virus per Windows 2000 e successivo, versione 6 e superiore, è in grado di disinfettare la maggior parte di queste minacce tramite Enterprise Console.

• Controllare nelle istruzioni di ripristino dell'analisi del virus se il virus può essere disinfettato con Sophos Anti-Virus per Windows 2000 e successivo, versione 6 e superiore.
• Controllare la data nel campo dell'analisi del virus "Protection available since" (Protezione disponibile da). È precedente al giugno 2006?

Se una delle due opzioni sopra citate è vera, è possibile disinfettare qualsiasi computer con sistema operativo Windows 2000/XP/2003/Vista avviando Sophos Anti-Virus versione 6 e superiore da Enterprise Console. Altrimenti disinfettarli a livello locale.

Se si possiedono computer Windows NT oppure si utilizza una versione precedente di Sophos Anti-Virus, i computer colpiti dai virus in cui il registro è stato modificato in modo che il virus venga eseguito prima di tutti i file eseguibili (ad es. W32/Yaha-T), devono essere disinfettati a livello locale.

Eseguire la disinfezione con uno strumento Resolve, laddove esista. Altrimenti seguire le istruzioni di ripristino nell'analisi della minaccia.

Gli strumenti Resolve e Sophos Anti-Virus per Windows 2000 e successivo, versione 6 e superiore, non solo rimuovono o disinfettano i virus ma annullano i cambiamenti al registro di sistema provocati dal virus. Durante un'infezione grave di un particolare virus, potrebbe essere più efficace disinfettare la rete attraverso le istruzioni di disinfezione allegate allo strumento Resolve, piuttosto che usare Enterprise Console. Verificare tale possibilità nell'analisi del virus.

5. Rimozione di virus con Enterprise Console versione 2 e superiore

N.B.:

• la pulizia completa (delle voci del registro, dei file rigettati, ecc.) è disponibile solamente con Sophos Anti-Virus per Windows 2000 e successivo, versione 6 e superiore. Con altre versioni o altri sistemi operativi, può essere necessario prendere ulteriori provvedimenti. Controlla l'analisi della minaccia per ulteriori dettagli.
• Con Sophos Anti-Virus per Windows 2000 e successivo, versione 7 e superiore, il ricorso a queste istruzioni dovrebbe essere raramente necessario. Nella maggior parte dei casi l'uso attento della scansione completa del sistema con la disinfezione da Enterprise Console dovrebbe essere sufficiente.

Quando possibile, i virus dovrebbero essere disinfettati, sebbene nel lungo periodo è più sicuro sostituire i file disinfettati con delle copie di backup. Trojan, worm e file infettati da virus che non possono essere riparati, dovrebbero essere rimossi.

• Alcuni virus possono infettare un file più di una volta. Assicurarsi di non impostare la console per eliminare file altrimenti disinfettabili.

È necessario spostare temporaneamente i computer infetti in un apposito gruppo "Disinfezione". Effettuare una delle due operazioni seguenti.

• Creare questo gruppo nella radice dell'albero della console.
• Crearlo come sottocartella di un gruppo esistente.

La scelta dipende dalle dimensioni della rete.

Quindi, impostare uno o più criteri antivirus specializzati per la disinfezione, da applicare al nuovo gruppo "Disinfezione".

Per creare il criterio specializzato, modificare una copia del criterio antivirus corrente e impostare una scansione pianificata dei computer infetti.

A. Impostazione del criterio e della scansione

1. Creazione del criterio
   Aprire Enterprise Console.
   Per creare il nuovo criterio, procedere come segue.
   • Nel riquadro Criteri, cliccare con il tasto destro del mouse sul criterio antivirus corrente.
   • Selezionare "Duplica criterio".
   • Chiamare il criterio "Disinfezione".
   • Cliccare con il tasto destro del mouse sul nuovo criterio Disinfezione.
   • Selezionare "Visualizza/Modifica criterio".
   • Cliccare su "In accesso".
   • Verificare che nel riquadro "Comportamento scansione in accesso", tutte e tre le opzioni (In lettura, In scrittura, Se rinominati) siano selezionate.
   • Cliccare sulla scheda Disinfezione
   • Selezionare "Disinfetta automaticamente gli oggetti contenenti un virus".
   • Controllare che il pulsante di opzione "Nessuna azione" sia selezionato (i file verranno cancellati o spostati con la scansione pianificata).
   • Cliccare su "OK".
2. Impostazione della scansione
   Quindi, impostare una o più scansioni pianificate.
   • Nella finestra di dialogo "Criterio antivirus e HIPS - Disinfezione", nel riquadro "Scansione pianificata", cliccare su "Aggiungi".
   • Dare un nome alla scansione, es. "Disinfetta", e selezionare un orario nel futuro prossimo.
   • Cliccare su "Configura" per cambiare le impostazioni di scansione e disinfezione.
   • Cliccare sulla scheda Disinfezione.
   • Scegliere le impostazioni di disinfezione.
     • Per disinfettare i file, usare "Disinfetta automaticamente gli oggetti contenenti un virus".
     • Per rimuovere i file, scegliere "Cancella".
   • Cliccare su "OK" tre volte per confermare la scansione pianificata e il criterio antivirus.

N.B.:

• per alcune infezioni può essere necessario avviare diverse scansioni pianificate. Le prime disinfetteranno i file, quelle successive rimuoveranno ogni file infetto rimasto. Pertanto, è possibile dare alle scansioni dei nomi diversi (ad es. "Disinfezione", "Cancellazione").
• Se si è utilizzata l'opzione "Cancella", i file verranno cancellati automaticamente. Non sarà data possibilità di conferma.
• Tutti i computer che eseguono il criterio saranno inclusi nella scansione pianificata.
• In caso di numerosi file infetti, può essere necessario avviare diverse scansioni di disinfezione prima di eliminare i file rimanenti.
• I file bloccati dal sistema operativo di un computer infettato non possono essere rimossi da remoto.
• I computer possono dover essere riavviati per completare la disinfezione.
• La rimozione sarà visibile solo in Enterprise console. L'utente della workstation non vedrà nulla.

Pianificare la scansione di conseguenza.

B. Esecuzione della scansione

Ora avviare la scansione.

1. Applicare il criterio al o ai nuovi gruppi.
2. Spostare i computer infetti nel nuovo gruppo. La scansione pianificata inizierà all'orario stabilito.
3. Quando la scansione sarà finita, controllare nei computer l'eventuale presenza di file infetti rimanenti e di file che vanno sostituiti con le copie di backup.
   • Cliccare con il tasto destro del mouse sul computer e selezionare "Visualizza dati computer".
   • Scorrere fino alla fine del log.
   • Ogni report dei virus rimanenti è elencato in grassetto.
     • Se il virus si trova nel computer in utilizzo, trattarlo localmente.
     • Se il virus si trova in un altro computer, trattarlo su quel computer.
4. Quando tutti i virus sono stati rimossi, riapplicare il vecchio criterio antivirus ai propri utenti e gruppi.

C. Dopo la disinfezione

Dopo aver rimosso i virus, eliminare gli allarmi rimanenti.

1. Cliccare con il tasto destro del mouse sul computer e selezionare "Cancella allarmi".
2. Nella scheda "Allarmi virus", eliminare tutti gli allarmi trattati.
3. I tentativi di rimozione non riusciti (ad es. su computer remoti) saranno elencati nella scheda "Errori di Sophos Anti-Virus". Se del caso, cancellarli.

Ora la console non dovrebbe più riportare virus né errori.

Spostare nuovamente i computer nei loro gruppi originari.

Rimozione di virus con Enterprise Console versione 1

Se possibile i file vanno disinfettati, sebbene nel lungo periodo è più sicuro sostituire i file riparati con le copie di backup. Trojan, worm e file infettati in modo irreparabile vanno rimossi.

• Alcuni virus possono infettare un file più di una volta. Assicurarsi di non impostare la console per eliminare file altrimenti disinfettabili.

Spostare temporaneamente i computer infetti in un gruppo "Infetti" oppure, se il problema è diffuso, trattare tutti i gruppi esistenti. Quindi, impostare per il futuro prossimo una scansione pianificata che disinfetti o rimuova i virus.

1. Evidenziare il gruppo di computer che si desidera disinfettare e selezionare "Criterio antivirus e HIPS".
2. Nel riquadro "Scansione pianificata" della finestra di dialogo, cliccare su "Aggiungi".
3. Dare un nome alla scansione, es. "Disinfetta", e selezionare un orario nel futuro prossimo.
4. Cliccare su "Configura" per cambiare le impostazioni di scansione e disinfezione.
5. Cliccare sulla scheda Disinfezione.
6. Selezionare le vostre impostazioni di disinfezione.
   • Per disinfettare i file, utilizzare "Disinfetta automaticamente gli oggetti contenenti virus/spyware"
   • Per rimuovere i file, selezionare "Cancella".
7. Cliccare su "OK" tre volte per confermare la scansione pianificata.

Per alcune infezioni, può essere necessario avviare diverse scansioni pianificate. Le prime disinfetteranno i file, quelle successive rimuoveranno ogni file infetto rimasto. Pertanto, è possibile dare alle scansioni dei nomi diversi (ad es. "Disinfezione", "Cancellazione").

N.B:

• i file saranno cancellati automaticamente. Non sarà data possibilità di conferma.
• Tutti i computer nel gruppo saranno inclusi nella scansione pianificata.
• In caso di numerosi file infetti, può essere necessario avviare diverse scansioni di disinfezione prima di eliminare i file rimanenti.
• I file bloccati dal sistema operativo di un computer infettato non possono essere rimossi da remoto.

• La rimozione sarà visibile solo in Enterprise console. L'utente della workstation non vedrà nulla.

Pianificare la scansione di conseguenza.

Quando la scansione sarà finita, controllare nei computer l'eventuale presenza di file infetti rimanenti e di file che vanno sostituiti con le copie di backup.

1. Cliccare con il tasto destro del mouse sul computer e selezionare "Visualizza dati computer".
2. Scorrere fino alla fine del log.
3. Ogni report dei virus rimanenti è elencato in grassetto.
   • Se il virus si trova nel computer in utilizzo, trattarlo localmente.
   • Se il virus si trova in un altro computer, trattarlo su quel computer.
4. Quando tutti i virus sono stati rimossi, disabilitare le scansioni pianificate.

Dopo aver rimosso i virus, eliminare gli allarmi rimanenti.

1. Cliccare con il tasto destro del mouse sul computer e selezionare "Cancella allarmi".
2. Nella scheda "Allarmi virus", eliminare tutti gli allarmi trattati.
3. I tentativi di rimozione non riusciti (ad es. su computer remoti) saranno elencati nella scheda "Errori di Sophos Anti-Virus". Se del caso, cancellarli.

Ora la console non dovrebbe più riportare virus né errori.

Spostare nuovamente i computer interessati nei loro gruppi originari.