כאשר Trojan.Flush.A רץ הוא עושה את הדברים הבאים:
1.שואל את "Ipconfig" עבור ערך של כל מתאם שנמצא במיקום הבא:
קוד:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters
2.מנסה להוסיף את הערך הבא:
קוד:
"NameServer" = "69.50.176.196,195.225.176.37"
לריגסטרי:
קוד:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters
3.בודק האם הקובץ הבא קיים:
קוד:
%CSIDL_COMMON_APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk
הערה:
%CSIDL_COMMON_APPDATA% הינו משתנה אשר משויך לתיקיה הכוללת תוכנות הכוללות מידע המתאים לכל המשתמשים. ברירת המחדל הינה
C:\Documents and Settings\All Users\Application Data (Windows NT/2000/XP).
4.מוסיף את הערכים הבאים לקובץ הנ"ל(אם קיים):
קוד:
"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"
5.מוסיף את הערך:
קוד:
"NameServer" = "69.50.176.196,195.225.176.37"
לתוך המפתח הבא:
קוד:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP
6.סופר את הכניסות שמצוים במיקום הבא:
קוד:
HKEY_CURRENT_USER\\RemoteAccess\\Profile
מנסה להוסיף את ערך ה Hex הבא עבור כל כניסה שנמצאה:
קוד:
"IP" = "02,00,00,00,00,00,00,00,c4,b0,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"
7.מריץ את הפקודות הבאות במחשב:
קוד:
ipconfig /dnsflush
ipconfig /registerdns
ipconfig /renew
ipconfig /renew_all
מקור: Symantec
הוראות הסרה נמצאות בלינק הנ"ל אם משהו לא מובן אני ישמח לתרגם