Segun que la clave eliminada sea HKCU o HKLM, escribiremos respectivamente la correspondiente línea en el siguiente script:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RUN]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN]
Y una u otra linea irá seguida de lo que se indica en la misma del infosat, pero cambiando las contrabarras por dobles contrabarras (donde hay \ poner \\ )
y terminaremos el script con un ENTER , y lo guardaremos como <nombre fichero>.REG y ejecutando REGEDIT <nombre fichero>.REG se volverá a insertar dicha clave
luego debe copiarse el correspondiente fichero movido a C:\muestras a su sitio original, cortandole el añadido de .Muestra ... (Si la clave no indica ruta, copiarlo a la carpeta de sistema, en XP, o sea C:\windows\system32\ )
Así por ejemplo, para el caso de que el infosat indique:
ºººººººººººººººººººººººººººººººººººº
Por favor, envienos una muestra del fichero
C:\Muestras\NEROCHECK.EXE.Muestra EliStartPage v17.08
a "
C:\WINDOWS\SYSTEM32\NEROCHECK.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "NEROCHECK"="C:\WINDOWS\system32\NeroCheck.exe"
ººººººººººººººººººººººººººººººººººººº
se puede hacer un RESNERO.REG con el siguiente script: (CONTENIDO ENTRE LINEAS)
______________
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN]"NEROCHECK"="C:\\WINDOWS\\system32\\NeroCheck.exe"
_______________
Y despues copiar el fichero C:\Muestras\NEROCHECK.EXE.Muestra EliStartPage v17.08
a su sitio original, acortandole la "cola", o sea a C:\\WINDOWS\\system32\\NeroCheck.exe
Nota el CTFMON.EXE y su clave del Office, se restablece automaticamente en el siguiente reinicio, no hace falta hacer nada con ello.
saludos
ms, 2 de octubre de 2008
msc hotline sat Virus Research Engineer