|
PrettyPark.Worm |
Questo virus - worm è simile a Happy99. Ha le classiche caratteristiche di un cavallo di troia poiché si presenta come un innocuo salva schermo 3D.
Una volta attivo per trenta minuti si autoinvia a tutti gli indirizzi contenuti nell'address book di Outlook. I messaggi inviati hanno le seguenti caratteristiche:
Rimuovere il PrettyPark:
1. Seguire questi passi per fare una copia di backup del registry:
Formattare un floppy usando il seguente comando dopo aver riavviato in
modalità DOS:
FORMAT A: /U /V /S [Invio]
Rimuovere tutti gli attributi dai file USER.DAT e SYSTEM.DAT. Questi si
trovano nella directory dove è installato Windows.
Per rimuovere gli attributi seguire le seguenti istruzioni
_Al prompt C:\WINDOWS> digitare il comando ATTRIB -R -S -H USER.DAT
_Al prompt C:\WINDOWS> digitare il comando ATTRIB -R -S -H SYSTEM.DAT
Per fare il back up seguire le seguenti istruzioni.
_ Al prompt C:\WINDOWS> digitare il comando COPY USER.DAT USER.BAK
_ Al prompt C:\WINDOWS> digitare il comando COPY SYSTEM.DAT SYSTEM.BAK
Riavviare il computer normalmente.
2. Fare click su Start e selezionare Esegui.
3. Nella riga di comando digitare REGEDIT.
4. All'interno dell'editor del Registro di Configurazione di Windows
posizionarsi nella chiave HKEY_CLASSES_ROOT\exefile\shell\open\command nel
pannello di sinistra. Nel pannello di destra fare doppio click sul valore
Default e cancellare il valore corrente, al suo posto digitare:
"%1" %*
NOTA:
L'editor del Registro di Configurazione allegherà il valore con le
virgolette, così quando si fa click su OK, il valore Default dovrebbe
apparire così ""%1" %*"
5. Chiudere il Registro di Configurazione di Windows e riavviare il
computer.
6. Fare click su Start, Trova e selezionare File o Cartelle. Cercare il
file
FILES32.VXD e cancellarne ogni copia che viene trovata.
7. Quindi cercare il file PrettyPark.EXE e cancellare ogni ricorrenza di
questo file.
Nota: Se l'Antivirus è installato ed è attivo, quando si cerca di
effettuare i passi 4 e 5 potrebbe apparire un messaggio indicante che i
file
sono infetti. Selezionare Elimina e ignorare ogni messaggio di Windows
indicante l'impossibilità di cancellare il file.
Non si è in grato di lanciare il programma perché il file FILES32.VXD è
già
stato cancellato:
E' necessario seguire questi passi per modificare il Registro di
Configurazione di Windows:
1. Fare click su Start, Programmi e selezionare Prompt di MS-DOS.
2. Nella finestra DOS digitare CD \Windows e premere il tasto Invio sulla
tastiera.
3. Digitare COPY REGEDIT.EXE REGEDIT.SCR e premere Invio.
4. Digitare EXIT e premere Invio. Questo chiuderà la finestra DOS.
5. Fare click su Start, Trova e selezionare File o Cartelle. Cercare il
file
REGEDIT.SCR e fare doppio click sul nome del file per lanciare il
programma.
6. Andare al passo 1 delle istruzioni sopra per Rimuovere il Pretty Park
Manualmente.
7. Dopo la corretta rimozione del virus, cancellare il file REGEDIT.SCR.
PER RIPRISTINARE IL REGISTRO DI CONFIGURAZIONE IN CASO DI PROBLEMI
Per ripristinare il back up effettuato prima seguire le seguenti
istruzioni:
1. Spegnere il computer.
2. Inserire il floppy nel drive e accendere il pc.
3. Al prompt A:> digitare c: e premere Invio.
4. Al prompt di C:> digitare CD WINDOWS
5. Al prompt C:\WINDOWS> digitare il comando ATTRIB -R -S -H USER.DAT
6. Al prompt C:\WINDOWS> digitare il comando ATTRIB -R -S -H SYSTEM.DAT
7. Al prompt C:\WINDOWS> digitare il comando COPY USER.BAK USER.DAT
8. Al prompt C:\WINDOWS> digitare il comando COPY SYSTEM.BAK SYSTEM.DAT
9. Spegnere il computer dall'interrutore e rimuovere il floppy.
10. Riavviare il computer.