Rimozione dei virus

Sophos Control Center è utilizzabile per la rimozione di virus dalla rete. La presenza di virus, trojan, worm, spyware sarà indicata nella colonna Allarmi di Sophos Control Center. Altri articoli trattano:

• rimozione di virus a livello locale in Windows
• rimozione di virus attraverso gli scanner di emergenza da riga di comando.

N.B.: durante la rimozione dei virus vanno modificate le impostazioni dell'antivirus. Prendere nota delle impostazioni esistenti, se possibile. In alternativa, usare le impostazioni consigliate (predefinite).

Procedura

1. Stimare il problema

Prima di rimuovere i virus, capire se sono in grado di

• effettuare modifiche alle impostazioni o ai documenti del computer
• diffondersi attraverso cartelle condivise all'interno della rete
• acquisire privilegi di amministratore o danneggiare in altro modo la rete

In Sophos Control Center vedere quali virus sono presenti in un computer.

1. Cliccare col tasto destro sul nome del computer.
2. Selezionare "Visualizza dati computer".
3. Scorrere fino a "Virus Rilevati".
   • La colonna "Nome virus" elenca i nomi dei virus rilevati.
   • La colonna "File infetti" elenca i percorsi dei virus nel computer.
4. Cliccare sul nome del virus per leggerne la descrizione sul sito web di Sophos (inglese).

Leggere l'analisi della minaccia per avere informazioni su diffusione ed effetti del virus.

2. Prevenzione di ulteriori infezioni

• Condivisioni di rete
  Se un virus che si diffonde attraverso risorse di rete condivise viene segnalato in risorse diverse dalla cache di Internet o della posta elettronica, abilitare la scansione in scrittura finché non si è sicuri che il virus non si stia diffondendo internamente.
• Virus a diffusione rapida
  Se un eseguibile virale rimovibile si sta diffondendo nella rete, abilitare la disinfezione in accesso fino a quando non è stato completamente rimosso.

Ripristinare questi cambiamenti dopo la manifestazione dell'infezione. Il controllo aggiuntivo che queste opzioni comportano può rallentare la rete e non è necessario in circostanze normali.

N.B.: la disinfezione automatica da virus riguarderà i virus delle macro, oltre che i virus dei programmi. Alcuni virus delle macro possono alterare le informazioni presenti nei documenti. Leggere l'analisi della minaccia per sapere se ciò può verificarsi e, dopo la disinfezione, sostituire i documenti colpiti con le copie di backup.

3. Problemi a livello locale

Alcuni worm e virus modificano il sistema operativo dei computer in modo tale che se il virus viene rimosso senza che questi cambiamenti siano ripristinati, il computer non può più essere usato. Sophos Anti-Virus per Windows 2000 e successivo, versione 6, fornito con Sophos Anti-Virus Small Business Edition (SBE), può disinfettare la maggior parte di queste minacce tramite Sophos Control Center.

• Controllare nelle istruzioni di ripristino se il virus può essere rimosso con Sophos Anti-Virus versione 6.
• Controllare la data nel campo "Protection available since" (Protezione disponibile dal). È precedente al giugno 2006?

Se una delle due opzioni sopracitate è vera, è possibile disinfettare qualsiasi computer Windows 2000/XP/2003/Vista avviando Sophos Anti-Virus versione 6 da Sophos Control Center. Altrimenti, disinfettarlo a livello locale.

Per la disinfezione locale, usare uno strumento Resolve, se disponibile. Altrimenti seguite le istruzioni di ripristino nell'analisi della minaccia.

Gli strumenti Resolve e Sophos Anti-Virus per Windows 2000 e successivo, versione 6, non solo rimuovono i virus ma annullano i cambiamenti al registro di sistema provocati dal virus. Durante una grave infezione di un particolare virus, può essere più efficace disinfettare la rete attraverso le istruzioni di disinfezione della rete allegate allo strumento Resolve, piuttosto che usare Sophos Control Center. Verificarlo nell'analisi della minaccia.

4. Rimuovere il virus con Sophos Control Center

N.B.: la disinfezione completa (delle voci del registro, dei file inseriti ecc.) è disponibile solamente con Sophos Anti-Virus per Windows 2000 e successivo, versione 6 e superiori. Con altre versioni può essere necessario prendere ulteriori provvedimenti. Leggere l'analisi della minaccia per ulteriori dettagli.

Quando possibile, i virus vanno rimossi, sebbene nel lungo periodo è più sicuro sostituire i file disinfettati con delle copie di backup. Trojan, worm e file infettati da virus che non possono essere riparati vanno rimossi.

• Alcuni virus possono infettare un file più di una volta. Assicurarsi di non aver impostato la console in modo che elimini i file disinfettabili, avviando una scansione di controllo dopo quella di disinfezione. Il numero dei file infetti rimanenti dovrebbe rimanere lo stesso.

Dopo aver preso nota delle impostazioni correnti dell'antivirus, modificarle per la disinfezione.

1. Nel riquadro sinistro di Sophos Control Center selezionare "Configura Scansione".
2. Cliccare su "Scansione in accesso".
3. Nella finestra "Comportamento scansione in accesso" selezionare tutte e tre le opzioni (In lettura, In scrittura, Se rinominati).
4. Cliccare sulla scheda Disinfezione.
5. Selezionare "Disinfetta automaticamente gli oggetti contenenti un virus".
6. Controllare che il pulsante "Nessuna azione" sia selezionato (i file verranno cancellati o spostati con una scansione pianificata).
7. Cliccare su "OK".

Ora impostare una scansione pianificata.

1. Nella finestra di dialogo "Configura impostazioni di scansione", nell'area "Scansione pianificata" cliccare su "Aggiungi".
2. Dare un nome alla scansione, es. "Disinfetta", e selezionate un orario di lì a breve.
3. Cliccare su "Configura" per cambiare le impostazioni di scansione e disinfezione.
4. Cliccare sulla scheda Disinfezione.
5. Selezionare le impostazioni di disinfezione desiderate.
   • Per disinfettare i file, utilizzare "Disinfetta automaticamente gli oggetti contenenti un virus".
   • Per rimuovere i file, scegliere "Cancella".
6. Cliccare su "OK" tre volte per confermare la scansione pianificata e i criteri dell'antivirus.

Per alcune infezioni può essere necessario eseguire diverse scansioni pianificate. Le prime disinfetteranno i file, quelle successive rimuoveranno ogni file infetto rimasto. Si possono preparare diverse scansioni con diversi nomi (es. "Disinfetta", "Cancella").

Note

• I file saranno cancellati automaticamente. Non sarà data possibilità di conferma.
• Tutti i computer saranno inclusi nella scansione pianificata.
• Se i file infetti sono numerosi, può essere necessario eseguire diverse scansioni di disinfezione prima di eliminare i file rimanenti.
• I file bloccati dal sistema operativo di un computer infetto non possono essere rimossi da remoto.
• Per completare la disinfezione può essere necessario riavviare i computer.
• La rimozione sarà visibile solamente in Sophos Control Center. L'utente della workstation non vedrà nulla.

Pianificare la scansione di conseguenza.

Ora avviare la scansione

1. La scansione pianificata inizierà all'orario stabilito.
2. Al termine della scansione, controllare i computer per l'eventuale presenza di file infetti rimasti e di file da sostituire con la copia di backup.
   • In Sophos Control Center, cliccare col tasto destro del mouse sul computer e scegliere "Visualizza dati computer".
   • Scorrere fino alla fine del log.
   • Ogni virus segnalato rimanente è elencato in grassetto.
     • Se il virus si trova nel computer, trattarlo localmente.
     • Se il virus risulta trovarsi in un altro computer, trattarlo su quel computer.
3. Quando tutti i virus sono stati rimossi, applicare nuovamente le impostazioni precedenti dell'antivirus.

Dopo aver rimosso i virus, cancellare gli allarmi rimanenti.

1. Cliccare sul tasto destro sul computer e selezionare "Cancella allarmi".
2. Nella scheda "Allarmi virus", cancellare tutti gli allarmi trattati.
3. I tentativi di rimozione non andati a buon fine (es. su computer remoti) saranno elencati nella scheda "Errori di Sophos Anti-Virus". Cancellarli se opportuno.

Ora la console non dovrebbe riportare alcun allarme da virus o da errori.