Innanzitutto disattiviamo il ripristino della configurazione: da Start/pannello di controllo/sistema entriamo nella scheda Ripristino Configurazione di sistema e mettiamo il segno di spunta nel controllo: disattiva ripristino configurazione di sistema.
Confermiamo con Applica e chiudiamo. Ricordiamoci, dopo aver terminato tutte le operazioni di ripulitura del malware di riattivare la funzione.
Ora dobbiamo avviare il PC in modalità provvisoria.
Spegniamo il computer e riavviamolo premendo il tasto F8, apparirà una schermata. Utilizziamo i tasti freccia per spostarci e selezionare la voce: RIAVVIA IL SISTEMA IN MODALITA’ PROVVISORIA quindi invio.
In questo modo le funzioni di Windows XP saranno ridotte al minimo e soprattutto non saranno caricati i file del virus, questo ci consentirà di intervenire e ripulire il nostro PC.
Ora iniziamo a rimuovere i file che ha generato il Trojan.
Da Risorse del Computer entriamo in C: e quindi nella directory WINDOWS, cerchiamo un file denominato jwgpqigs.exe ed eliminiamolo. Quindi, sempre nella stessa directory individuiamo la cartella 95029910 con all’interno i file CFG, RUN e TST, rimuoviamo anche questa.
Adesso passiamo alla rimozione delle chiavi di registro infette. E qui è opportuno agire con la dovuta cautela.
Da Start/Esegui scriviamo regedit e OK.
Apriamo la cartella HKEY_LOCAL_MACHINE
Ora apriamo la cartella SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Sulla destra dell’editor di registro selezioniamo la voce: “jsdljiqz”=”%sysdir%\jwgpqigs.exe” e con il tasto destro del mouse rimuoviamola scegliendo elimina.
In questa immagine la voce :
"jsdljiqz"="%sysdir%\jwgpqigs.exe" non è presente perché già rimossa.
Ripetiamo la stessa operazione per rimuovere le seguenti chiavi:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WXYFZOSZ
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WXYFZOSZ
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wxyfzosz
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Wxyfzosz
Conclusa questa operazione chiudiamo e passiamo alla rimozione dei file temporanei.
Da Start in Risorse del Computer selezioniamo C:\Documents and Settings\(nome utente)\Impostazioni locali\Temp.
Piccolo suggerimento: la cartella “Impostazioni locali\Temp” è nascosta e quindi per visualizzarla dobbiamo fare una semplice operazione: visualizzare ovviamente i file nascosti dal menu strumenti\Opzioni Cartella\Visualizzazione.
Ritorniamo alla cartella Temp: dal menù Modifica, sempre sulla barra degli strumenti, clicchiamo su seleziona tutto e cancelliamo i file selezionati. In questo modo avremo rimosso definitivamente la copia del trojan dal nostro sistema.
L’ultima operazione da fare è quella di ripulire il file di HOSTS di Windows da tutti gli indirizzi Internet inseriti dal Trojan.
Da Risorse del Computer arriviamo a questo indirizzo: C:\WINDOWS\system32\drivers\etc .
Individuiamo il file hosts ed apriamolo con programma Blocco note, ora selezioniamo tutti gli indirizzi diversi da quello che identifica il nostro PC di solito indicato come 127.0.0.1 localhost, cancelliamoli e salviamo.
A questo punto, finalmente possiamo riavviare il nostro PC in modalità normale ricordandoci di riattivare il ripristino della configurazione di sistema (prima operazione fatta – vedi inizio guida).
Per essere sicuri di esserci definitivamente liberati dal trojan, consiglio una scansione on-line con Panda ActiveScan 2.0 a questo indirizzo: http://www.pandasecurity.com/italy/ cliccando su Analisi online gratuita.
