Prima di ripristinare il sistema, assicurati di eliminare tali note, quindi puoi abilitare Auditing per tenere traccia delle modifiche ai file sulle cartelle in cui vengono visualizzati i file ricreati (aprire la cartella Proprietà- > Sicurezza- > Avanzate- & gt ; Auditing). Tutte le modifiche verranno riportate nel registro di sicurezza. Ti forniranno ulteriori informazioni sul processo che crea quei file.
Ci sono possibilità che tu possa trovare il processo dannoso proprio nelle informazioni del registro. C'è anche la possibilità di trovare invece un processo intermedio (ad esempio un cmd.exe che esegue uno script che copia i file). In questo caso sarebbe meglio abilitare il Process Tracking Auditing (questo viene fatto da Criteri di sicurezza locali / di gruppo) prima che questi file vengano ricreati (ad es. Dopo il ripristino del sistema, avvio in modalità sicura e abilitazione del controllo), tuttavia ciò non è garantito lavorare in tutti i casi, in quanto dipende da come il malware viene eseguito all'avvio del sistema.
Infine, ma non meno importante, potresti dover considerare lo scenario in cui l'istantanea di sistema che tenti di ripristinare potrebbe essere già stata infettata.