Prendiamo nota del nome del servizio (prima colonna), andiamo da linea di comando e digitiamo:

sc delete nomeservizio

In alternativa è possibile usare l'estensione del pannello di controllo Pserv scaricabile da http://p-nand-q.com/e/pserv.html ma che è presente anche in CPL_UTILI.
Se appaiono errori significa che l'operazione ha avuto esito negativo perché ci sono chiavi di registro che hanno diritti limitati.
Qui purtroppo la cosa è abbastanza delicata.

Bisogna aprire il regedit ed andare in HKEY_LOCAL_MACHINE\SYSTEM , poi fare Modifica -> Trova ed inserire il nome del servizio da cancellare.
Cercare tutte le ricorrenze e cambiare i diritti alle chiavi in modo analogo a quanto fatto per i file incancellabili, poi il servizio dovrebbe cancellarsi.
A questo punto è opportuno un controllo con HiJackThis , sicuramente ci sarà qualche riferimento a siti birichini o altro da cancellare.
Fatto questo dovremmo essere a posto o quasi.
Facciamo un'ulteriore scansione con VirIT (ma stavolta in modalità normale, non da MultiPE ) in modo che possa eliminare altri possibili residui nel registro o altro ed il lavoro è finalmente terminato.

Rimozione manuale su Windows 98 - ME

Occorrente:

il MultiPE (oppure un BartPE se non avete il nostro CD o ancora un floppy di avvio di Windows 98 - ME). Non serve se avete Windows 98, basta avviare in modalità "Prompt dei comandi con supporto di rete";
il batch DeltempPE.cmd che troverete in questo articolo se avviate da MultiPE o BartPE. Non è comunque indispensabile;
HiJackThis e VirIT Lite (non indispensabile se la pulizia manuale è stata effettuata correttamente, ma è utile per avere una certezza del risultato).

Consiglio sempre l'avvio da MultiPE , comunque nel caso di Windows 98 è possibile l'avvio in modalità DOS premendo F8 all'avvio e scegliendo " Prompt dei comandi con supporto di rete ".
Per quanto riguarda Windows ME è necessario partire con un floppy di avvio oppure con il MultiPE .
Non è possibile usare il mio batch per togliere l'avvio del rootkit in quanto questo funziona solo con Windows 2000 e XP, per cui bisogna procedere totalmente a mano, per fortuna è molto più facile con queste versioni di Windows.
Innanzitutto bisogna cancellare i file temporanei in C:\Windows\temp , qui sicuramente troveremo un eseguibile.
Va bene il mio batch per la cancellazione dei temporanei, avviato da MultiPE .
Poi bisogna identificare i file eseguibili che possono essere presenti nelle cartelle C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File comuni\Microsoft Shared o C:\Programmi\File comuni\Services , analogamente a come si procede per Windows XP - 2000.
Stavolta però non avremo a che fare con strane crittografie e strani diritti di accesso in quanto Windows 98 e Windows ME girano solo su FAT che per sua natura non supporta queste cose e quindi saremo facilitati nella rimozione in quanto basterà cancellare questi file manualmente.
Una volta fatto questo potremo riavviare il PC normalmente.
Per togliere il residuo nel registro potremo avviare HiJackThis e cancellare la voce in HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce che si riferisce ad un eseguibile di quelli eliminati.
Già che ci siamo controlliamo, sempre in HiJackThis, che non ci siano altri riferimenti strani a siti "birichini".
Poi un giro di VirIT non guasta in ogni caso, visto che ci sono sempre altri file infetti, di solito con estensione DLL, e che si trovano in C:\Windows e/o in C:\Windows\System32 e non è facile identificarli a "naso".

Warning: include(admin_edmaster/correlati_articoli.php) [function.include]: failed to open stream: No such file or directory in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon6.html on line 136

Warning: include() [function.include]: Failed opening 'admin_edmaster/correlati_articoli.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon6.html on line 136