Sono molti i virus che invece di creare una copia di se stessi preferiscono infettare file di sistema, in questo modo fanno si che l’utente medio non è in grado di rimuovere il virus anche se l’antivirus lo segnala, questo perché essendo un file di sistema quindi in esecuzione non può essere rimosso o modificato dall’antivirus…
Uno di questi virus è il Dropper.Generic_c.MMI che si installa nel file di sistema services.exe (C:\Windows\System32\) per rimuoverlo la Microsoft ci viene in aiuto, grazie a un tool incluso negli ultimi Windows chiamato sfc (System File Checker) con questo comando diciamo a Windows di verificare che i propri file di sistema siano quelli firmati Microsoft essendo cosi sicuri che nessun altro programma li abbia mai modificati.
una volta lanciato il comando cosi:
sfc /scanfile=c:\windows\system32\services.exe
Windows controllerà che il file sia quello originale in caso contrario lo sostituirà con quello originale, se il file è in uso dal sistema chiederà il riavvio, c’è da dire una cosa sfc funziona grazie al File Protection quindi per funzionare deve essere attivo (in genere lo è di default), inoltre i file e le dll che ripristina vengono prese da una cartella nascosta chiamata dllcache se la directory dllcache non c’è o per qualche ragione è corrotta al riavvio il sistema vi chiederà il cd di Windows per poter prendere i file necessari a sistemare le cose.
Una volta terminato il processo consiglio un altra scansione con l’antivirus per verificare se tutto va bene.
