Non riesco a cancellare il virus W32.Bugbear@mm

Una scansione on line con Pc-cillin ha rilevato nel mio PC 5 file infettati
dal Worm_Bugbear.A. La data in cui questi file sono stati creati e modificati
corrisponde alla ricezione di una e-mail avente per oggetto “Just a reminder”
che il mio antivirus Norton aveva regolarmente notificato. Successive scansioni
dell’intero sistema con Norton non avevano rilevato la presenza di alcun
virus, ma il verificarsi di alcuni comportamenti anomali (modifica di icone, impossibilità
di incollare immagini di pochi kilobyte per "memoria insufficiente",
frequenti messaggi di errore e conseguente chiusura di cartelle), mi hanno indotto
a fare uno scan on line con i risultati di cui sopra.

Fatti esaminare i suddetti
files da Norton , l’antivirus ha finalmente rilevato la presenza del worm,
da lui denominato W32.Bugbear@mm ma non è stato in grado di eliminarlo,
né di metterlo in quarantena, né di eliminare i file infetti, come
già accaduto durante la scansione on line con Pc-cillin.
Anche il mio tentativo di eliminare i suddetti file è fallito in quanto
è “Impossibile eliminare A0049215. Accesso negato. Il file d’origine
potrebbe essere in uso”.

Cosa posso fare per liberarmi di questo scomodo
inquilino? Che problemi potrebbe procurarmi e cosa significa l’estensione
CPY?
Aggiungo che non ho ancora installato un firewall, inoltre il mio sistema operativo
è Windows Millennium regolarmente aggiornato.
Silvana Di Mari

W32.Bugbear@mm è un Worm che si autoreplica inviandosi
agli indirizzi che trova nel gestore di posta elettronica, ma la caratteristica
più preoccupante è che tiene traccia di tutti i tasti
premuti e li invia a un eventuale hacker. Quindi se si sono digitati
numeri di carte di credito, password e nomi utente, il proprio conto in banca;
questi dati sono a rischio. Inoltre apre la porta 36794 e rimane
in attesa di comandi dall’hacker, il quale può cancellare o copiare
file, avviare applicazioni, ricevere una lista dei processi in corso, dei tasti
premuti e delle informazioni del sistema e della rete a cui è collegato
il computer.
Con i sistemi operativi Windows 95, 98 e Millennium W32.Bugbear@mm cerca di
accedere alle password memorizzate sul disco fisso.
Una delle caratteristiche di W32.Bugbear@mm è l’attivazione ogni
30 secondi di un servizio che interrompe diversi processi, e uno di questi è
proprio il motore dell’antivirus Norton. Symantec ha creato uno strumento
per la rimozione del worm scaricabile da dal
sito.

Il worm può essere eliminato anche manualmente. Innanzitutto
scollegate il computer da qualsiasi rete o qualsiasi connessione permanente
a Internet (fibra ottica, ADSL o altro). Riavviate il PC in modalità
provvisoria, aprite Norton Antivirus e abilitate la scansione di tutti i files.
Avviate la scansione e cancellate tutti i file che risultano infettati dopo
averne scritto il nome su un foglio. Andate in Avvio, Esegui e digitate Regedit.
Cercate la seguente chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce,
nel pannello di destra individuate e cancellate i file che si trovano nella
precedente lista dei nomi di file che sono risultati infettati. Chiudete il
registro e riavviate in modalità normale.

Il file CPY è un tipo di file usato da Windows Millennium
nella creazione dei punti di ripristino. Per proteggerne l’integrità
il file non è accessibile da qualsiasi altro programma che non sia il
ripristino, ed è per questo motivo che l’antivirus li può
rilevare ma non cancellare. Un metodo per rimuovere questi file infetti è
disabilitare la funzione di ripristino automatico.
L’unico inconveniente è la perdita di tutti i precedenti punti
di ripristino.
Per disabilitare la funzione si deve andare in Pannello di controllo, Sistema,
Prestazioni, File System, Risoluzione dei problemi, attivare la voce Disattiva
ripristino configurazione di sistema e riavviare il PC. Eseguite la pulizia
del sistema dal virus e una volta completata riattivate la funzione.