Utilizzo dello scanner da riga di comando

Dove possibile, su un singolo computer utilizzare la versione a interfaccia grafica utente (GUI) del tool Sophos Anti-Rootkit anziché la versione da riga di comando. Per istruzioni in merito, consultare il relativo manuale utente (inglese).

Questo articolo fornisce informazioni sull'utilizzo della versione da riga di comando in circostanze eccezionali o su una rete.

Cosa fare

1. Esecuzione della versione da riga di comando

Aprire il prompt dei comandi e passare alla directory nella quale è memorizzato il tool Sophos Anti-Rootkit (per impostazione predefinita è C:\SOPHTEMP).

1. Digitare
   
   SARCLI

   per:
   • cercare oggetti nascosti nei processi in esecuzione
   • cercare oggetti nascosti nel registro di Windows
   • cercare oggetti nascosti nelle unità disco locali
   • creare il file di log %TEMP%\sarscan.log, dove %TEMP% è la cartella temporanea di Windows nel computer esaminato.
   Controllare il log per verificare che i file che si desidera mantenere non siano contrassegnati per la rimozione. Se lo sono, rivolgersi al supporto Sophos con un campione del file samples.sar dalla cartella temporanea di Windows del computer interessato.
2. Una volta accertato che la rimozione automatica non rimuoverà alcun file utile, eseguire un'altra scansione per rimuovere il rootkit. Digitare
   
   SARCLI -clean -restart
   
   per:
   • cercare oggetti nascosti nei processi in esecuzione
   • cercare oggetti nascosti nel registro di Windows
   • cercare oggetti nascosti nelle unità disco locali
   • aggiungere le informazioni sulla scansione al log sarscan esistente
   • riavviare il computer per rimuovere tutti gli oggetti di cui è stata consigliata la rimozione (il computer verrà riavviato solo se viene trovato un rootkit)
   • in un computer infetto, creare il file di log %TEMP%\sarclean.log, dove %TEMP% è la cartella temporanea di Windows di quel computer (se si esegue una seconda rimozione il log verrà sovrascritto).
3. Eseguire una scansione finale per accertarsi che tutti i componenti siano stati rimossi. Digitare
   
   SARCLI


Dopo l'esecuzione di Sophos Anti-Rootkit per rimuovere il rootkit, è necessario:

• svuotare il Ripristino configurazione di sistema su tutti i computer Windows XP;
• controllare il funzionamento del firewall software o hardware;
• controllare il funzionamento del software antivirus.

Eseguire una scansione con il software antivirus e rimuovere eventuali worm o Trojan che stavano utilizzando il rootkit. Quindi, seguire eventuali ulteriori istruzioni contenute nell'analisi di tali programmi malevoli (ad es. per installare eventuali patch o per l'utilizzo di Windows Update).

2. Copia del tool da riga di comando in un CD

Durante la disinfezione di più di un computer, o nel caso che si riscontrino dei problemi nell'utilizzo del tool, può essere necessario utilizzare una copia da un CD protetto da scrittura o supporto simile.

Per preparare una versione su CD, procedere come segue.

1. Spostarsi a un computer non infetto.
2. Scaricare Sophos Anti-Rootkit.
3. Cliccare due volte sul file scaricato per estrarne il contenuto nella cartella SOPHTEMP.
4. Copiare il contenuto della cartella SOPHTEMP in un supporto che possa essere protetto da scrittura (in questo esempio si utilizza un CD).
5. Proteggere da scrittura il disco (ad es., in un CD/R o CD/RW, chiudere la sessione).