این ویروس فایلهای زیر را در مسیرهای گفته شده ایجاد می کند
Killer.exe : این فایل را در مسیر c:\windows\ ایجاد می کند
lsass.exe : در مسیر c:\documents and settings\all users\start menu\programs\startup ایجاد می کند
: xmss.exe این فایل را توی ریشه همه درایوها ایجاد می کنه و همچین در مسیر c:\windows
autorun.inf : این فایل هم که توی ریشه همه درایو ها ایجاد می شه
Funny UST Scandal.avi.exe : این فایل هم که توی همه درایو ها و همچنین توی مسیر c:\Windows ایجاد می شود
همچنین در رجیستری تغییراتی داده و فایلهای زیر را در مسیر های گفته شده ایجاد می کند .
کد:
HKLM\Software\Microsoft\WindowNT\CurrentVersion\Winlogon\shell HKCU\Software\Microsoft\windows\Currentversion\Run\Runonce
برای از بین بردن این ویروس ابتدا باید پروسه های مربوط به این ویروس را از task manager پاک کنید . پروسه های مربوط به این ویرس killer.exe , b.lsass.exe , c.smss.exe می باشند که باید انها را END کنید .
حالا به منوی استارت رفته و سپس دکمه RUN را زده و cmd را تایپ کنید تا وارد محیط کامند شوید .
دستورات زیر را به ترتیب اجرا کنید .
کد:
1 – cd\
2 - attrib -h -s smss.exe
3 - attrib -h -s autorun.inf
4 – شماره های 2 و 3 را برای تمامی درایو ها تکرار کنید .
5 - حالا بدون دابل کلیک کردن روی درایوی با نوشتن اسم درایو در address bar وارد درایو شوید و فایلهای smss.exe , autorun.in f, Funny UST Scandal.avi.exe را از داخل درایو ها پاک کنید .
6 - دوباره وارد محیط cmd شوید و دستور cd c:\windows را تایپ کنید تا وارد پوشه windows شوید
7 – حالا دستور attrib -h -s smss.exe را تایپ کنید
8 – حالا دستورهای delete smss.exe و delete lsass.exe را تایپ کنید
حالا باید اثرات ایجاد شده توی رجیستری را نیز بازسازی کنیم . به دو مسیر زیر بروید و اگر فایل killer.exe و مسیر c:\windows\smss.exe و explorer.exe, xmss.exe وجود داشت پاک کنید .
کد:
HKLM\Software\Microsoft\WindowNT\CurrentVersion\Winlogon\shell
HKCU\Software\Microsoft\windows\Currentversion\Run\Runonce
برنامه ای برای از بین بردن این ویروس
http://troublefixers.com/wp-content/uploads/2008/02/U_FunnyUSTScandalVirusRemover.zip