Per quanto riguarda il RootkitPE.cmd se il percorso di Windows è il classico C:\Windows allora farà il suo lavoro senza chiedere nulla, altrimenti apparirà una richiesta di inserimento del percorso della cartella di Windows.

Il rootkit di Gromozon si aggancia al sistema tramite la seguente chiave di registro:

HKEY_LOCAL_MACHINE\Microsoft\Windows NT\CurrentVersion\Windows

alla quale inserisce il valore

AppInit_DLLs = [percorso\nome file]

che si riferisce al file del rootkit.
Normalmente il valore di AppInit_DLLs è vuoto e così appare anche in una macchina infetta in quanto il rootkit ne nasconde il valore.
In realtà non sempre su di un sistema questa chiave è vuota, alcuni programmi possono utilizzarla, ad esempio WindowBlinds ci mette il richiamo ad una propria DLL, per cui in condizioni normali ci potremo trovare il valore: wbsys.dll , mentre una vecchia patch non ufficiale per la vulnerabilità WMF inseriva il valore C:\WINDOWS\system32\wmfhotfix.dll. Con ciò non è detto che WindowBlinds utilizzi tecniche di rootkit, anche se ciò è possibile per poter intercettare meglio la gestione delle finestre di Windows, così come è possibile che la medesima tecnica sia utilizzata da questa patch per la vulnerabilità WMF (che è ormai superata dalla patch ufficiale Microsoft) per poter lavorare a più basso livello.
Se in un PC sono installati sia WindowBlinds che questa patch troveremo il valore

AppInit_DLLs = wbsys.dll C:\WINDOWS\system32\wmfhotfix.dll

cioè entrambe le cose messe di seguito.
Ma tutto questo discorso non è inerente Gromozon, l'ho riportato solo perché sappiate che può essere normale trovare qualche valore lì e se viene rimosso erroneamente tramite il mio batch potrebbe essere il caso di reinserirlo (lo si trova comunque nel log).

Il batch, infatti, agisce proprio su questa voce di registro, esportandone il contenuto nel file di log e quindi cancellandola.
Alla fine dell'operazione troveremo il file di log denominato RootkitPE.txt in c:\ (che viene aperto automaticamente con notepad) e che elenca data, ora ed il contenuto originale della chiave alla quale si aggancia il rootkit, il tutto terminato da una fila di trattini.
Lanciando più volte il batch le operazioni vengono accodate in questo file, quindi si vedranno, dopo i trattini, di nuovo data ed ora e poi il contenuto della famosa chiave di registro (che dal secondo lancio del batch deve risultare vuota). Sarà poi necessario rimuovere manualmente il file del rootkit con le informazioni sul percorso del file che saranno comprese in questo file di log.

Esempio di log:

21/09/2006
09.02

! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\WT\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs REG_SZ \\?\C:\WINDOWS\system32\com2.mwl ----------------------
21/09/2006
09.11 ! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\WT\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs REG_SZ

Warning: include(admin_edmaster/correlati_articoli.php) [function.include]: failed to open stream: No such file or directory in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon4.html on line 120

Warning: include() [function.include]: Failed opening 'admin_edmaster/correlati_articoli.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon4.html on line 120