In particolare dovete dapprima eliminare gli .exe infetti scrivendo, ad esempio:
Files o registry values to delete:
[percorso]per questo dovete eliminare alcune voci tipiche di questo dialer scrivendo:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | crtfmon
Files to delete:
C:\WINDOWS\system32\perfc000.dat Adesso, non ci resta, sempre tramite lo stesso script di Avenger, che ripristinare i file .exe nella loro posizioni, associati alle applicazioni corrette. Per farlo dobbiamo prima specificare dove andare a prendere il file giusto. Immediatamente sotto al testo scritto prima, quindi, e sempre seguendo la scansione di AWF, indicate, stavolta con la directory BAK inclusa, il percorso da cui prendere il file, preceduto da "Files to move:"
Files to move:
C:\WINDOWS\SYSTEM32\BAK\hkcmd.exe
e aggiungiamo, con il tag detto "Pipe" cioè "|", il percorso dove il file dovrà andare, cioè
Files to move:
C:\WINDOWS\SYSTEM32\BAK\hkcmd.exe | C:\WINDOWS\SYSTEM32\hkcmd.exe
In questo modo, tutti i file .exe corrotti verranno dapprima cancellati, e poi sostituiti in modo corretto. Ricordate che dovete spostare con questo meccanismo tutti i file .exe citati da FindAWF sotto la voce Duplicate files of bak directory contents
Rispondi quotando