Situazione: Si è infetti dal virus VBS.Stages.A e si vogliono informazioni sulla rimozione manuale

Soluzione: Seguire le istruzioni di questo documento:

NOTA a causa della grande mole di modifiche che il worm apporta la procedura
di eliminazione manuale è complessa e asssume che chi la usa conosca l'uso
di procedura Windows e DOS.
Se non si conoscono i comandi si suggerisce di rivolgersi ad un tecnico per
evitare

Cercare e cancellare i file
Seguire i passi successivi per cercare ed eliminare i file aggiunti dal worm
1 Cliccare su Start. scegliere Trova e poi File e cartelle
2 Assicurarsi che cerca in sia impostato su C. oppure su Tutti i drive
3 Nel campo Nome digitare *.shs e quindi cliccare su Trova
4.Nel pannello dei risultati della ricerca selezionare tutti i file .txt.shs
e quindi  premere il tasto CANC. Confermare la cancellazione
5. Cliccare su Nuova ricerca
6. Nel campo nome digiatre scanreg.vbs vbaset.olb msinfo16.tlb e quindi
cliccare su Trova
7. Nel pannello dei risultati della ricerca selezionare tutti i file che
sono stati trovati,  dovrebbero essere tutti nella cartella,
\Windows\System, e quindi premere il tasto CANC. Confermare la cancellazione

Ripristinare l'editor di registro
Nota: il documento assume che windows sia instalalto nella directory
C:\Windows, se è installato in altra directory sostituire il perrcorso in
modo corretto. Se si usa Windows NT il percorso di default è C:\Winnt

1. Cliccare su Start, scegliere Programs,e quindi Prompt di MS-DOS.
2. Digitare ognuno dei seguenti comandi e premere il tasto ENTER (INVIO)
dopo ogni comando

cd\
cd recycled
attrib *.* -h -s -r
copy recycled.vxd c:\windows\regedit.exe
del recycled.vxd
del msrcycld.dat
del rcycldbn.dat
del dbindex.vbs
exit

Modificare il registro di configuruazione di Windows
Seguire i passi segueni per ripristinare i regisstri di configurazione di
Windows

ATTENZIONE prima di fare modifiche al registro si raccomanda di fare una
copia di salvataggio.
Modificare in modo non corretto i registri di Windows può comportare la
perdita di dati.

Per effettuare il salvataggio dei registri di Windows
Avviare la macchina in Ms-dos
Rimuovere tutti gli attributi  dai file USER.DAT e SYSTEM.DAT.  Questi si
trovano nella directory dove è installato Windows.
Per rimuovere gli attributi seguire le seguenti istruzioni
Al prompt C:\WINDOWS> digitare il comando ATTRIB -R  -S -H USER.DAT
Al prompt C:\WINDOWS> digitare il comando ATTRIB -R  -S -H SYSTEM.DAT
 Per fare il back up seguire le seguenti istruzioni.
 Al prompt C:\WINDOWS> digitare il comando COPY USER.DAT USER.BAK
Al prompt C:\WINDOWS> digitare il comando COPY SYSTEM.DAT SYSTEM.BAK
Riavviare la macchina in Windows

Seguire i passi seguenti per ripristinare i registri di configurazione di
Windows

1. Cliccare su Start, e poi su Esegui. Appare la finestra Esegui
2. Digitare regedit e quindi cliccare OK. Si apre l'editor di registro.
3. Navigare fino alla chiave seguente

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

4. Nella finestra di destra cercare e selezionare il valore Scanreg value.
Premere il tasto Canc, e quindi cliccare su OK per confermare la
cancellazione.
5. Navigare fino alla chiave seguente:

HKEY_USERS\.Default\Software\Mirabilis\ICQ\Agent\Apps\ICQ

6.  Nella finestra di destra cercare  selezionare e poi cancellare i valori

Enable
Parameters
Path
StartUp

7.Cercare  e selezionare la seguente chiave

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\OSName

NOTA: Questa chiave potrebbe non esistere.

8. Se esiste digitare CANC e quindi confermare la cancellazione
9. Navigare fino alla seguente chiave:

HKEY_CLASSES_ROOT\regfile\DefaultIcon

10. Nel pannello di destra fare doppio clck su  Default.
11. Nel campo valore cancellare il contenuto e digitare regedit.exe


12. Navigare fino alla seguente chiave

HKEY_CLASSES_ROOT\regfile\shell\open\command

13.Nel pannello di destra fare doppio clck su  Default
14. Nel campo valore cancellare il contenuto e digitare regedit.exe


15. Navigare fino alla seguente chiave

HKEY_LOCAL_MACHINE\Software\Classes\regfile\shell\open\command

16. Nel pannello di destra fare doppio clck su  Default.
17. Nel campo valore cancellare il contenuto e digitare regedit.exe

18. Navigare fino alla seguente chiave

HKEY_LOCAL_MACHINE\Software\Classes\regfile\DefaultIcon

19. Nel pannello di destra fare doppio clck su  Default.
20.Nel campo valore cancellare il contenuto e digitare regedit.exe
21.Uscire dall'editor del registro.

Il virus è finalmente rimosso!!!