CORSO PER RIPRISTINO WINDOWS (by Davy Bartoloni)

Tutto quello che segue, specialmente per chi non e' tanto pratico di computer deve esser fatto, per prenderci la mano, assolutamente su un computer in cui non ci siano dati importanti , meglio se lo fate su una macchina che avete reinstallato da zero apposta e che avete imbottito di porcherie volontariamente per fare le prove, usate questo tutorial, solo per WINDOWS XP e 2000

quindi, se avete la tesi , la contabilita' e qualunque cosa di importante sul pc, NON FATELO DA SOLI, sopratutto se e' la prima volta. non mi assumo responsabilita' per cancellazioni dovute ad operazioni eseguite male. .. tanto per tranquillizarvi un po, vi dico che mi chiamo Davy Bartoloni, che programmo da quando avevo 12 anni , (e ora ne ho quasi 35) quindi quasi 23 anni di uso del computer... che negli ultimi 8 anni, ovvero dal giorno in cui il cernobyl ha invaso il mondo , mi sono dedicato con molto interesse , alla ricerca sui virus e affini.. ho scritto anche un software che mi velocizza nella ricerca del malware ... " il tecnico non vivente di emergenza ", scaricabile gratuitamente dal mio sito., ma in questo caso , vorrei che voi tutti, utilizzaste solo la tastiera il mouse per ripulirvi il PC. ah naturalmente riparo computer come lavoro. :)

INIZIAMO...

Quando un computer si infetta, il sistema diventa un nemico (un po' alla Matrix),

alcuni programmi vi combatteranno,

altri, aspetteranno dei passi falsi del "riparatore" improvvisato

altri, avranno gia' preso il vostro posto, e probabilmente saranno gia' amministratori del sistema (a tutti gli effetti)

questi programmi, come nella realta' rispettano delle regole, dettate dal sistema operativo e dal filesystem, le stesse regole che avete sempre rispettato anche voi ... fino ad ora ... queste regole possono essere aggirate o eluse (ancora una volta come in matrix), e come lo potrete fare voi, lo hanno gia' fanno alcuni programmi (vedi rootkit).

Virus , spyware, dialer, e rootkit, hanno in comune come voi, un CORPO, residente CERTAMENTE sul disco fisso, e PROBABILMENTE nella memoria RAM.

quindi, dimenticate i Virus fantasma, gli attacchi hackers dall'esterno (ahhah), i file che non esistono, e tutto quello che le leggende narrano...

questi programmi sono REALI, e come tali, possono essere DISTRUTTI.

ecco le fasi che porteranno al rispristino del sistema:



PREPARAZIONE DEGLI STRUMENTI

PREPARAZIONE DEL SISTEMA OPERATIVO

NON CONSENTIRE AI VIRUS DI USARE LA RAM DEL SISTEMA

ACCEDERE AI FILE DEL DISCO FISSO SENZA INTROMISSIONI DEL SISTEMA OPERATIVO.

INDIVIDUAZIONE DEL MALWARE E CANCELLAZIONE.

RIPRISTINO DEL SISTEMA OPERATIVO E DELLA CONNESSIONE INTERNET.


Prima Fase, da fare attraverso un altro computer o con il vostro se e' ancora in grado di navigare... una volta preparati questi strumenti, non sara' necessario farlo una seconda volta.

prima di iniziare a mettere in sesto il computer, bisogna innanzitutto avere a disposizione il CD del proprio sistema operativo (windows xp).

questo cd deve essere certamente il proprio (non di versioni diverse del sistema tipo home e professional o server, e deve ssere lo stesso con cui e' stato installato il sistema)

Bene, da questo cd di windows Xp, bisogna creare un CD contenente una versione "LIVE" di windows , utilizzando il Preinstallation Environment, una sorta di console di ripristino, sfuggita a microsoft durante il rilascio delle versioni alpha e beta di longhorn... una cosa difficile a parole, ma semplice nei fatti...

quindi, bisogna procurarsi un builder per creare la iso di questo WIndows PE, il piu' semplice da usare e' il bartpe (scrivere bartpe su google) che tra l'altro ci fornira' pure un file manager, simile a Esplora risorse ( A43 file manager )

bene, lasciando le impostazioni standard del pebuilder, creare la iso del cd live di windows xp (verra' richiesto il cd di windows che avete recuperato prima di iniziare)

bene a questo punto, avete un CD autoavviante di windows, quello che server di altro, sono 4 (o 5) programmini gratuiti, che e' bene scaricare prima di fare altre cose)

Hijackthis 1.99.1 (gratuito, mi raccomando, la versione DEVE essere la 1.99, non la 2!, non quella marchiata trend-micro)

ccleaner (gratuito)

avg antirootkit beta (gratuito)

winsockxpfix (gratuito)

(immagino che il vostro antivirus preferito sia gia' archiviato da qualche parte sul disco fisso, se non ne avete uno prefertito scaricate l'avg 7.5 free)

l'antivirus, a dire la verita' ci serve a ben poco, perche' come avrete visto, anche avendolo super aggiornato il computer si e' riempito di dialer e rootkit, quindi strapagare un super antivirus spaziale, o usarne uno gratis o trial e' quasi la stessa cosa)

visto che i dialer hanno la tendenza di "sabotare" la connettivita' internet, dovete essere in grado di creare una nuova connessione, e quindi dovete avere anche sotto mano i driver del modem, il nome utente, la password, il numero di telefono, o il cd di installazione di alice se avete alice.. etc etc etc.. . perche' al termine della procedura,potrebbe essere necessario ricostruirla. quindi piuttosto prima fate le prove per vedere se siete in grado di riconfigurare internet.

Masterizzate su un CD questi 5 programmi, oppure buttateli su un pendrive... oppure su un'altra partizione del disco fisso...



Seconda fase: la PREPARAZIONE S.O.: se siete ancora in grado di accedere al sistema come amministratori, DISATTIVATE IL RIPRISTINO DI CONFIGURAZIONE DI SISTEMA, DISATTIVATE GLI AGGIORNAMENTI AUTOMATICI, DISINSTALLATE GLI ANTIVIRUS PRESENTI, DISINSTALLATE GLI ANTI SPYWARE PRESENTI, DISATTIVATE I FIREWALL SOFTWARE SE PRESENTI. lasciate insomma il sistema libero di essere attaccato da chiunque... (staccate il cavo della connessione internet, sganciatevi dalla rete) con il programma CCLEANER, cancellate i file temporanei INTERNET (fatelo con il programma, perche' ogni utente ha temporanei diversi, e la cosa e' lunga senno')

Terza fase e Quarta fase: nel caso abbiate costruito il disco di windows PE, queste 2 fasi sono legate assieme, selezionate dal BIOS (se non e' gia' stato fatto) che l'unita' di bootstrap, sia il CD-ROM, inserite il CD di WIndows PE, riavviate la macchina e lasciate caricare la versione "LIVE" di windows, andate sul menu' di START (comed quello di windows) e selezionate il file manager A43, si aprira' una shell simile a quella di esplora risorse, in questa shell, i file possono esserre cancellati, solo usando la parte a destra , quindi NON E' POSSIBILE CANCELLARE file direttamente nella visualizzazione ad ALBERO... (dico questo, perche' alcuni pensano che l'a43 non funzioni).

quello che segue e' un elengo dei file da cancellare, e' un elenco lungo, quindi, per il momento non mi dilungo su spiegazioni, che scrivero' in un prossimo tutorial.

posizionatevi in ROOT c:, nell'elenco dei file, che comparira' sulla destra, dovete cancellare tutti i file di tipo DLL, e di tipo EXE (l'uncio eseguibile da lasciare e' NTDETECT.COM , necessario al boot di windows

posizionatevi nel cestino, c:RECYCLED , in questa directory, trovate una directory simile a S-1-5-18.. . piu' altre directory simili, ma con un nome piu' lungo... bene spostate tutte le directory con nome lungo, nella directory con il nome corto.. fino ad ottenere una directory solamente , S-1-5-18 o simile, a questo punto, posizionandovi, sul cestino, sul fondo dell'albero, SVUOTATELO e controllate che la directory S-1-5-18 o simile sia stata svuotata.

Ora entrate nella directory di WINDOWS, e CANCELLATE il contenuto della cartella TEMP, e della cartella DOWNLOADED PROGRAM FILES, dopodiche, ordinate i file della cartella di windows, in ordine di DATA , e controllate gli ultimi che sono stati modificati, se trovate che nell'ultima settimana, sono stati creati dei file di tipo EXE o DLL , oppure trovate dei file che gia' conoscete o riuscite ad identificare come malware, CANCELLATELI...

ora posizionatevi nella cartella windows/SYSTEM32, ordinate per data e CANCELLATE i file DLL e EXE creati nell'ultima settimana

posizionatevi nella cartella windows/system32/dllcache, cancellate i piu' di 2000 file di cache presenti... (sono le copie di sicurezza dei file di sistema... un buon modo da parte dei virus per auto reinfettare il sistema, usando "le regole" di Windows)

Ora posizionatevi della cartella programmi/file comuni , all'interno di questa, controllate 3 cartelle, SYSTEM, SERVICES, MICROSOFT SHARED , solo una di questa deve contenere degli eseguibili (in questo caso delle DLL), nella cartella system, DEVONO esserci 3 file... wab32res.dll,directdb.dll,wab32.dll questi li dovete lasciare!, tutti gli altri eseguibili (EXE) o dinamiclinklibrary (DLL), dovete eliminarli.. non controllate nelle sottocartelle, tanto non ci ho mai trovato nulla.. se il sistema e' stato infettato da alcuni tipi di dialer, in una di queste cartelle trovarete una sfilza di eseguibili di 3 lettere... dovete cancellarli, ma uno di questi, che apparira' con l'icona sbiadita perche' nascosto, NON SARA' ELIMINABILE (ecco un esempio di come i virus aggirano le regole...) ma a nostra volta, eludendo il sistema, lo potremo "sganciare" dal sistema... come? RINOMINANDOLO, per esempio: rinominate aKg.exe in sss (senza estensione) .. a questo punto, il malware non potra' piu' essere trovato dal registro di sistema.. se vi da fastidio vederlo li', buttatelo in un altra cartella...(una volta rinominato)

ora e' necessari controllare gli utenti del sistema.. andate nella cartella DOCUMENTS AND SETTINGS... in questa cartella sono presenti tutti gli utenti di sistema, vedrete il vostro account, piu' altri, se all'interno di questa vedete degli utenti con nomi piu' o meno casuali e magari pure nascosti CANCELLATELI (esempio : VfgdGhjKLAaa) ... ora devete svuotare la cartella Impostazioni locali/temp di ogni utente (nella vostra probabilmente scoverete le fastidiose icone che apparivano a ciclo continuo sul desktop e nel menu' di avvio).. mi raccomando, controllate ogni account... (alcuni non contengono la cartella impostazioni locali, e' normale)

BENE, ORA AVETE CONCLUSO LA PRIMA FASE DI CANCELLAZIONE... riavviate il sistema e partite con windows (quindi togliete il cd di PE) in modalita' provvisoria (PREMETE F8, subito dopo il boot, per visualizzare il menu' dell amodalita' provvisoria), se vi appare il logo di windows XCP, senza che la scelta della modalita' provvisoria, sia apparsa, RESETTATE immediatamente il PC, e ritentate finche' non riuscite ad avviare il PC in modalita' provvisoria.. e' importante che in questa fase, NON PARTA NORMALMENTE..

da questo momento, non dovete aprire l'internet explorer, MAI, fino alla fine della procedura. MI RACCOMANDO!

bene, loggatevi con il vostro utente, ed avviate HIJACKTHIS 1.99.1 (se il programma dovesse richiudersi automaticamente,seguite le istruzioni scritte alla fine di questo tutorial) , fategli fare una scansione, e selezionate tutte le cose che trova, escludendo solo quelle che conoscete (servizi IPOD, STAMPANTE... ).. dopodiche' fategliele cancellare... cmq non preoccupatevi per questa fase, se l'icona delle cartucce scariche sparira' bastera' reinstallre la stampante per farla riapparire...idem per la googletoolbar.... e per qualunque altra cosa...

una volta eliminate queste voci, riavviate il sistema in modalita' normale.... e dopodiche' avviate CCLEANER, fategli fare la pulizia completa del disco e fategli risolvere i problemi del registro di sistema (che possono variare dai 26 ai 500), questo attraverso un pulsante sulla sinistra del programma.. bene.. ora riavviate nuovamente il pc...

ora eseguite nuovamente Hijackthis 1.99.1, ed eliminate nuovamente le voci sconosciute... dopodiche, installate l'antivirus, e l'antirootkit... riavviate il sistema, e scansionate con l'antirootkit l'intero disco, se appare qualcosa, ELIMINATELO... ora, controllate l'lenco delle connessioni internet, eliminate tutte quelle sconosciute create dai dialer, e lasciate solo quelle che avete configurato voi.. e scegliete una di queste come PREDEFINITA... ora avviate WinSockXPFIX, per ripristinare il Winsock, e rimettere in sesto le connessioni ... il programma vi chiedera' di riavviare... fatelo..

ora, ricollegate il cavo internet, e avviate una connessione sicura (controllate che in caso di modem analogico, il numero composto non sia un 709 799 899 o altre cose strambe)... avviatela con l'icona della connessione, NON UTILIZZANDO INTERNET EXPLORER!.. nel caso stiate utilizzando l'avg 7.5, le istruzioni, per l'aggiornamento, le trovate cliccando sull'icona dell' AVG, nell'homepage del mio sito.. .www.wcn.it

una volta aggiornato l'antivirus, riavviate il sistema.. e a questo punto e' tutto... naturalmente alcuni di voi, potrebbero ancora avere qualche strana apparizione..

questo significa che la macchina era particolarmente invasa da malware.. e che probabilmente un servizio nascosto , avvia un qualche tipo di eseguibile , utilizzando il sistema dei rootkit (ovvero di file che possono essere degli eseguibili, pur non essendo EXE o DLL o COM, o addirittura non essere visualizzati.. neppure con PE)

bene, questi servizi nascosti, normalemenet vengono avviati da alcuni file .SYS (come i servizi dei driver della stampante...) e di norma sono nascosti in system32, o system32/drivers.... uno dei piu' comuni e' un servizio che si chiama LZ32.sys (e varianti del nome piu' o meno modificate). associato ad una DLL ...

per visualizzare i servizi nascosti , di windows, esiste un programmino che si chiama GMER.EXE, che vi elenchera' svariate schermate di servizi.. una cosa un po lunga da controllare... consiglio di andare nel registro di sistema, e di cercare lz32.. e di rivuovere le voci riguardanti questo servizio .. ah. .in caso il Gmer, vi visualizzi rootkit funzionati in memoria, rimuoveteli... miracolosamente appariranno alcuni file celati dal rootkit.. .ma questa e' una cosa piu' complicata che trattero' in seguito....



SE l' HIJACKTHIS SI CHIUDE DA SOLO....

controllatre nei task (CTRL+ ALT + CANC) dovrebbe esserci in esecuzione, avviato dal vostro utente, un file eseguibile dal nome composto, in genere e' la somma di una MARCA e un TIPO , per esempio: Seagatestorage.exe , CompaqSupport.exe, CanonService.exe .. etc ect etc.... bene, terminate il suo processo, e cercate il file sull' harddisk, di norm a si trova nella CArtella WINDOWS o SYSTEM32, e in genere ha una data vecchia (tipo 2004).. in questa fase, ricordate di scegliere nella visulizzazione finestre, di vedere sia i file nascosti, sia i file di sistema... eliminate il file.. ed avviate Hijackthis.. :)

SE NELLA CARTELLA DOCUMENTS AND SETTING CONTINUANO AD APPARIRE UTENTI NASCOSTI O CON NOMI CASUALI.

Windows, e' stato istruito a dovere dal simpatico virus, e continua a ricreare l'utente utilizzato per registrare i servizi... questo utente e' celato usando una voce del registro semi-sconosciuta... specialaccounts per rendere visibile l'utente random dalla gestione utenti di Windows, dovete cercare il nome random nel registro di sistema,e rimuoverlo dalla lista degli specialaccounts...e per magia, esso apparira' . e sara' possibile eliminarlo .. utilizzando solo gli strumenti forniti da Win.



tra poco, parto per Praga, e al mio ritorno sicuramente scrivero' il tutorial per i Rootkit piu' avanzati.. Ciao e Buon Lavoro a tutti. Davy Bartoloni

ENGLISH ONLINE TRADUCTION PART1 (by Davy Bartoloni) All the one which follows, especially for who not e' much practical one of computer must is made, in order to take the hand absolutely to us, on a computer in which they are not given to us important, better if the fairies on a machine that reinstallato from zero on purpose and that you have imbottito of porcherie voluntarily in order to make the tests, used this tutorial, only for WINDOWS XP and 2000 therefore, if you have the thesis, contabilita' and the any important thing on the PC, IT DOES NOT MAKE IT By themselves YOU, above all if e' before the time. I do not assume responsabilita' for cancellations due to operations executed badly. a lot for tranquillizarvi po, I say you that I call Davy Bartoloni, that I program from when I had 12 years, (and hour of it I have nearly 35) therefore nearly 23 years of use of the computer… that in last the 8 years, that is from the day in which the Cernobyl has invaded the world, they are dedicated to me with much interest, to the search on the virus and analogous. I have written also a software that me velocizza in the search of malware… “the not living technician of emergency”, releasable free of charge from my situated one., but in this case, I would want that you all, used only the keyboard the mouse in order to clean up the PC to you. ah naturally shelter computer like job. :) WE BEGIN… When a computer is become infected, the system little becomes an enemy (to the Matrix), some programs will fight to you, others, will wait for of the steps are made of the “unexpected repairer” others, gia' will have taken your place, and probably the effects will be gia' administrators of the system (to all) these programs, as in the realta' they respect of the rules, dictated from the operating system and the filesystem, the same rules that you have always respected also… till now… these rules can once again be gone around or be eluded (like in matrix), and like it you will be able to make, you have it gia' you make some programs (you see rootkit). Virus, to spyware, dialer, and rootkit, has in common like you, a BODY, resident SURE on the fixed disc, and PROBABLY in the memory RAM. therefore, the ghost Virus, the attacks hackers from the outside (ahhah), the rows forgotten that do not exist, and all the one which the legends narrate… these programs are REAL, and as such, they can BE DESTROYED. here it makes that they will carry to the rispristino of the system: PREPARATION OF THE INSTRUMENTS PREPARATION OF THE OPERATING SYSTEM NOT TO CONCUR WITH THE VIRUS TO USE RAM OF THE SYSTEM TO APPROACH THE ROWS OF THE FIXED DISC WITHOUT INTERFERENCES OF THE OPERATING SYSTEM. LOCATION OF THE MALWARE AND CANCELLATION. RESTORATION OF THE OPERATING SYSTEM AND THE INTERNET LOGON. First Phase, to make through an other computer or with yours if e' still in a position to being annoying… once it prepares these instruments to you, sara' necessary not to make it a second time. before beginning to put in the sixth computer, it in the first place must have on hand the CD of just arranges operating (windows xp). this cd must sure be just (the not of various versions of the system type home and professional or serveur, and must ssere the same one with which e' be installed the system) Well, from this cd of windows Xp, one must create a containing CD version “LIVE” of windows, using the Preinstallation Environment, one risen of consul of restoration, escaped to microsoft during the release of the versions alpha and beta of longhorn… one difficult what to words, but simple in the facts… therefore, it must procurarsi a builder in order to create the iso of this WIndows PE, the piu' simple to use e' the bartpe (to write bartpe on google) that among other things us fornira' also rows manager, similar to Explore resources (A43 rows manager) well, leaving the formulations standard of the pebuilder, to create the iso of the cd live of windows xp (verra' demanded the cd of windows that you have recovered before beginning) well to this point, you have a autoavviante CD of windows, what serveur of other, is 4 (or 5) programmini free ones, than e' to unload well before making other things) Hijackthis 1.99.1 (free, I recommend myself, the version MUST be 1,99, not the 2! , not that marchiata trend-micro) ccleaner (free) avg antirootkit beta (free) winsockxpfix (free) (I imagine that your antivirus preferred one gia' is archiviato from some part on the fixed disc, if of it you do not have one prefertito unloaded avg the 7,5 free) the antivirus ones, to say verita' us servants very little, perche' as you will have seen, also having it super modernized the filled up computer e' of dialer and rootkit, therefore to strapagare super an antivirus ones spaces them, or to use of one gratis or trial e' nearly the same thing) inasmuch as the dialer they have the tendency “sabotare” connettivita' the Internet, you must be in a position to creating one new logon, and therefore you must secretly have also the driver of the modem, the name customer, the password, the number of telephone, or the cd of alice installation if you have alice. etc etc etc. perche' to the term of the procedure, it could be necessary to reconstruct it. therefore rather before fairies the tests in order to see if you are in a position to reshaping Internet. Masterizzate on a CD these 5 programs, or throws them to you on pendrive… or an other partition of the fixed disc… Second phase: PREPARATION S.O.: if you are still in a position to approaching the system like administrators, DISATTIVATE the RESTORATION OF SYSTEM CONFIGURATION, DISATTIVATE the MODERNIZATIONS AUTOMATIC RIFLES, DISINSTALLATE the ANTIVIRUS PRESENTS, DISINSTALLATE ANTI the PRESENT SPYWARE, DISATTIVATE the PRESENT FIREWALLS SOFTWARE IF. left insomma the free system of being attacked from anyone… (detached the cable of the Internet logon, you come unhooked from the net) with program CCLEANER, cancelled the temporary rows INTERNET (makes it you with the program, perche' every customer has temporary various, and the long thing e' senno') Third phase and Quarter phase: in the event you have constructed the disc of windows PE, these 2 makes are tied together, selected from the BIOS (if e' gia' be made) that the unita' of bootstrap, is the CD-ROM, inserted the CD of WIndows PE, riavviate the machine and left to load version “LIVE” with windows, gone on the START menu (comed that one of windows) and selected the rows manager A43, aprira' a shell similar to that one of explores resources, in this shell, the rows can esserre cancels to you, only using the part to right, therefore E' POSSIBLE NOT TO DIRECTLY CANCEL rows in the TREE visualization… (I say this, perche' some think that a43 not the functions). what he follows e' a elengo of the rows to cancel, e' a long directory, therefore, for the moment not me dilungo on explanations, than scrivero' in a next one tutorial. posizionate to you in ROOT c: , in the directory of the rows, than comparira' on the right, you must cancel all the rows of type DLL, and type EXE (the uncio eseguibile to leave e' NTDETECT.COM, necessary to the boot of windows posizionate to you in the basket, c: RECYCLED, in this directory, found one directory similar to S-1-5-18. piu' similar others directory, but with a name piu' along… moved all the directory with long name well, in the directory with the short name. until only obtaining a directory, similar S-1-5-18 or, to this point, posizionandovi, on the basket, the bottom of the tree, IT EMPTIES IT to YOU and controlled that directory the similar S-1-5-18 or has been emptied. Hour entered in the directory of WINDOWS, and CANCELLED the content of folder TEMP, and folder DOWNLOADED PROGRAM FILES, dopodiche, ordered the rows of the folder of windows, in order of DATE, and controlled the last ones that have been modified, if found that in the last week, they have been created of the rows of type EXE or DLL, or found of the rows that gia' you know or succeeded to identify like malware, CANCELS THEM to YOU… hour posizionate to you in the folder windows/SYSTEM32, ordered for date and CANCELLED rows DLL and EXE created in the last week posizionate to you in the folder windows/system32/dllcache, cancelled the piu' of 2000 rows of cache present… (they are the copies of emergency of the system rows… a good way from part of the virus for car to reinfettare the system, using “the rules” of Windows) Hour posizionate you of the folder programs/common rows, inside of this, controlled 3 cartelle, SYSTEM, SERVICES, MICROSOFT SHARED, solo one of this must contain of the eseguibili (in this case of the DLL), in the folder system, MUST are to us 3 rows… wab32res.dll, directdb.dll, wab32.dll these must leave them! , all other eseguibili (EXE) or dinamiclinklibrary (DLL), you must eliminate them. not controlled in the sottocartelle, a lot I have not never found us null. if the system e' be infected from some types of dialer, in one of these cartelle trovarete a sfilza of eseguibili of 3 letters… you must cancel them, but one of these, than apparira' with the icona faded perche' hidden, NOT DISMISSABLE SARA' (here an example of as the virus they go around the rules…) but to our time, eluding the system, it we will be able “to uncouple” from the system… like? RINOMINANDOLO, as an example: rinominate aKg.exe in sss (without extension). to this point, malware potra' piu' not to be found from the system registry. if annoyance to see it there to you, throws it to you in an other folder… (once rinominato) hour e' necessary to control the customers of the system. the system customers gone in folder DOCUMENTS AND SETTINGS… in this folder are present all, will see yours account, piu' others, if inside of this you see of the customers with names piu' or less accidental and also even hidden SHE CANCELS THEM (example to YOU: VfgdGhjKLAaa)… hour devete to empty the folder local Formulations/temp of every customer (in yours probably scoverete the annoying ones icone that they appeared to continuous cycle on the desktop and in the start menu). I recommend myself, controlled every account… (some do not contain the folder local formulations, e' normal) WELL, HOUR YOU HAVE CONCLUDED the FIRST PHASE OF CANCELLATION… riavviate the system and left with windows (therefore you remove the cd of PE) in modalita' temporary (YOU PRESS F8, endured after the boot, in order to visualize the temporary menu dell amodalita'), if the logo appears you of windows XCP, without that the choice of the modalita' temporary, is appeared, RESETTATE immediately the PC, and tried again finche' not succeeded to start the PC in modalita' temporary. e' important that in this phase, IT DOES NOT LEAVE NORMALLY. from this moment, you do not have to open the Internet explorer, NEVER, until the end of the procedure. I RECOMMEND MYSELF! , loggate with your customer, and under way HIJACKTHIS 1.99.1 (if the program had richiuder automatically, continuations well to you the instructions written to the end of this tutorial), fategli to make a scansion, and selected all the things that finds, only excluding those that you know (services IPOD, PRINTING…). dopodiche' fategliele to cancel… cmq you do not preoccupy yourselves for this phase, if icona of the scariche cartridges sparira' bastera' reinstallre printing in order to make it to reappear ditto… for the googletoolbar…. and for any other thing… once eliminated these voices, riavviate the system in modalita' normal…. and dopodiche' under way CCLEANER, fategli to make the pulizia complete of the disc and fategli to resolve the problems of the system registry (that they can vary from the 26 to the 500), this through a push-button on the left of the program. well. hour riavviate newly the PC… hour executed Hijackthis 1.99.1 newly, and newly eliminated the voices disowned… dopodiche, installed the antivirus ones, and the antirootkit… riavviate the system, and scansionate with antirootkit the entire disc, if something appears, ELIMINATES IT… hour to YOU, controlled the lenco of the Internet logons, eliminated all those disowned created from the dialer, and only left those that you have shaped. and you choose one of these like under way PREDEFINITA… hour WinSockXPFIX, in order to restore the Winsock, and to replace in the sixth logons… the program chiedera' of riavviare… makes you it you. hour, reconnected to the Internet cable, and under way a sure logon (controlled that in case of analogic modem, the composed number is not 709 799 899 or other things strambe)… starts it to you with the icona of the logon, NOT USING Internet Explorer!. in the event you are using avg the 7,5, the instructions, for the modernization, the found ones cliccando on the icona of the AVG, in the homepage of my situated one. www.wcn.it once modernized the antivirus ones, riavviate the system. and to this point e' all… naturally some of you, could still have some strange apparition. this means that the machine particularly was invaded to malware. and that probably a hidden service, starts a some type of eseguibile, using the system of the rootkit (that is rows that can be of the eseguibili, also not being EXE or DLL or COM, or quite to be does not visualize to you. not even with PE)