1. Bilgisayarınızı restart edip güvenli kipte açın (Açılış anında tuşuna basarak güvenli kipi seçebilirsiniz.)
2. Başlat menüsünden çalıştır (run) sekmesini tıklayıp açılan pencereye regedit yazarak enter'a basın.
3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
Yukarıdaki kayıtlar içinde serpe, avnort, ltwob gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.
4. Bilgisayarımı açtıktan sonra araçlardan dizin seçenekleri menüsünü açın ve görüntü bölümündeki gizli dosyaları göster seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti kaldırın. Böylelikle virüs`ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.
5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.
C:windowssystem32formatsys.exe
C:windowssystem32serbw.exe
C:windowsmsmbw.exe
C:Crazy frog gets killed by train!.pif
C:Annoying crazy frog getting killed.pif
C:See my lesbian friends.pif
C:LOL that ur pic!.pif
C:My new photo!.pif
C:Me on holiday!.pif
C:The Cat And The Fan piccy.pif
C:How a Blonde Eats a Banana...pif
C:Mona Lisa Wants Her Smile Back.pif
C:Topless in Mini Skirt! lol.pif
C:Fat Elvis! lol.pif
C:Jennifer Lopez.scr
C:lspt.exe
C:Documents and SettingsLocal SettingsApplication DataMicrosoftCD Burningautorun.exe
C:British National Party.jpg
C:Crazy-Frog.Html
C:Message to n00b LARISSA.txt
6. C:WindowsSystem32Driversetc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.
Örnek içerik:
64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com
Bu vb. antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir.
Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını İnternet'e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçirin.