۲۵-مرداد-۱۳۸۸, ۱۶:۵۸:۱۵
این ویروس میاد خودشو به explorer.exe اینجکت میکنه و از نمایش داده شدن فایلهای مخفی جلوگیری میکنه خودشو تو درایوها کپی و یه autorun.inf هم میسازه و تو رجیستری در قسمت hkey_current_user..../run خودشو با اسم cdoosoft به ادرس C:\DOCUME~1\UserName\LOCALS~1\Temp\herss.exe خودشو استارت اپ میکنه و با اسم 22YJ2FY1.EXE-331ECF5D.pf تو ادرس C:\WINDOWS\Prefetch کپی میکنه
برای پاک کردن دستی (دیگه همه nero نصب دارن) اول taskmanager رو باز کنین nero رو اجرا کنین حالا از سربرگ process رفته و Explorer.exe رو endTask کنین حالا با nero به تک تک درایوها رفته و فایلهای autorun.inf و 22YJ2FY1.EXE رو پاک کنین حالا با استفاده از file/run در taskmanager رفته و Explorer.exe رو فراخوانی کنین به ادرس C:\WINDOWS\Prefetch برین و فایل 22YJ2FY1.EXE-331ECF5D.pf رو پاک کنین
وارد run شده و تایپ کنین MSCONFIG وارد سربرگ startup شده و تیک گزینه herss رو بردارین بعد به ادرس C:\DOCUME~1\UserName\LOCALS~1\Temp\herss.exe برین و فایل herss.exe رو پاک کنین و در اخر هم یه بار سیستم رو رستارت کنین
برای پاک کردن دستی (دیگه همه nero نصب دارن) اول taskmanager رو باز کنین nero رو اجرا کنین حالا از سربرگ process رفته و Explorer.exe رو endTask کنین حالا با nero به تک تک درایوها رفته و فایلهای autorun.inf و 22YJ2FY1.EXE رو پاک کنین حالا با استفاده از file/run در taskmanager رفته و Explorer.exe رو فراخوانی کنین به ادرس C:\WINDOWS\Prefetch برین و فایل 22YJ2FY1.EXE-331ECF5D.pf رو پاک کنین
وارد run شده و تایپ کنین MSCONFIG وارد سربرگ startup شده و تیک گزینه herss رو بردارین بعد به ادرس C:\DOCUME~1\UserName\LOCALS~1\Temp\herss.exe برین و فایل herss.exe رو پاک کنین و در اخر هم یه بار سیستم رو رستارت کنین
