Jeg tror det er relativt lett å forbigå denne sjekken, hvis man fjerner sethc filen, og istedenfor legger inn sethc.bat istedenfor, som peker til cmd. Evt. modifiserer environment variables til å også ha .lnk file extension, og lage en snarvei med navn sethc.lnk.

Har aldri prøvd overnevnte metode selv, men tror det er god mulighet for at det fungerer da sjansen er stor for at Windows internt påkaller sethc som sethc og ikke med extension bakpå. Antivirus som fanger opp sethc triks vil jeg tro fanger det på checksum av selve sethc.exe i seg selv. Å sjekke checksum av sethc er mye smartere enn det antivirus var for ti år siden, men checksum test mot en snarveifil som ikke eksisterer originalt i Windows en gang, skulle jeg likt å se.

Hvis man prøver seg på bat metoden jeg har teorisert ovenfor, skriv start cmd.exe i bat filen, så starter den en autonom process som ikke er tilknyttet bat filens vindu, så om antivirus hogger av hodet på bat filen så har du enda klart å vokse frem et rent cmd vindu fra den originale filen.


Bare husk å skriv start før kommandoene du skriver i cmd vinduet, slik at du starter et prosesuavhengig nytt vindu.