Si tratta di un worm che si diffonde all' interno del compuetr copiando se stesso all’interno dei dischi rimovibili e nelle cartelle condivise. Esso infetta anche i file HTML ed elimina tutti i file con estenzione .GHO presenti sull' hard-disck. Il worm scarica diverse copie di Infostealer.Gampass, Hacktool, e WinPcap, una libreria usata per controllare e catturare I pacchetti di rete nelle piattaforme Windows, all’interno del computer. Inoltre il worm riesce a disattivare l' esecuzione dei principali antivirus.

1. Prima di iniziane clicchiamo con il tasto destro del mouse sull’ icona di “risorse del computer” e dalla scheda ripristino configurazione sistema spuntiamo la voce “Disabilita Ripristino automatico del sistema”. In tal modo si impedisce al sistema di ripristinare al prossimo riavvio i file corrotti infettati dal malware.
   
2. Eliminiamo le seguenti chiavi:
   

   • C:\WINDOWS\cs.txt
   • C:\WINDOWS\Temp\Url.txt
   • C:\WINDOWS\Temp\winpcap.exe
   • C:\WINDOWS\Temp\arp.exe
   • C:\WINDOWS\Temp\svchost.exe
   • C:\Documents and Settings\All Users\[Kaishi Caidan]\[Chengxu]\[Qidong]\svchost.exe

3. Eliminiamo qualsiasi copia del file "svchost.exe" nelle root principali dei dischi tipo C:\ , D:\ .e dai dischi rimovibili infetti il file "Autorun.inf", inoltre il virus sostituisce il file "taskmgr.exe" in C:\Windows\ .
4. Riavviamo il sistema in modalità normale, aggiorniamo l'antivirus ed eseguiamo una scansione approfondita di tutto il sistema.

 Lo Staff Aiutoinformatica.com