このマルウェアは、通常モードまたはセーフモード下での検出および削除手順では、マルウェアを完全に削除することができない場合があります。そのため、以下の方法で Windows の回復コンソールを使用し、コンピュータを再起動してください。

•Windows 2000、XP および Server 2003 の場合

1. Windows のインストール CD を使用して、コンピュータを再起動します。
2. [セットアップへようこそ] 画面で、修復の R キーを押します。 （註： Windows2000 の場合、R キーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。）
3. キーボードを選択します。
4. 修復する Windows がインストールされているドライブを選択します（通常は 1 を選択します）。
5. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
6. コマンドプロンプトに、以下のコマンドを入力し、Enter を押してください。
   SET AllowAllPaths = TRUE
   
   • cd %System Root%
   • del s9h3v.bat
   • cd %User Temp%
   • del 4tddfwq0.dll
   • del xvassdf.exe
   • cd {Drive Letter}
   • del s9h3v.bat
   • Repeat the last two lines for other Physical/Removable Drives - DO NOT TYPE THIS LINE
7. コマンドプロンプトに exit と入力し、コンピュータを再起動してください。

•Windows Vista および 7 の場合

1. Windows のインストール DVD を使用して、コンピュータを再起動します。
2. 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
3. Windows のインストールDVDによっては、インストールする言語の選択が必要になる場合があります。 Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
4. コンピュータを修復します。[次へ]-[コンピューターの修復]をクリックします。
5. [システム回復オプション]で、[Windows の起動に伴う修復用の回復ツールを使用します。修復するオペレーティングシステムを選択してください。]を選択し、該当のオペレーティングシステムを選びます。そして[次へ]をクリックします。
6. [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
7. [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
8. 以下のコマンドを入力し、Enter を押します。
   
   • cd %System Root%
   • del s9h3v.bat
   • cd %User Temp%
   • del 4tddfwq0.dll
   • del xvassdf.exe
   • cd {Drive Letter}
   • del s9h3v.bat
   • Repeat the last two lines for other Physical/Removable Drives - DO NOT TYPE THIS LINE
   
   ※Windows 7 の場合、すべてのローカルドライブは、通常よりひとつ多く割り当てられています。例：C:ドライブは、D:ドライブとなります。
   
9. コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプトを閉じます。
10. [再起動]をクリックしてコンピュータを通常どおり再起動してください。

このマルウェアが追加したレジストリ値の削除：

1. 「レジストリエディタ」を起動します。
   [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
3. 右側のパネルで以下のレジストリ値を検索し、削除します。
   54dfsger = "%User Temp%\xvassdf.exe"
4. 「レジストリエディタ」を閉じます。

このマルウェアが変更したレジストリ値の修正：

1. 「レジストリエディタ」を起動します。
   [スタート]-[ファイル名を指定して実行]を選択し、"regedit" と入力し、[OK]をクリックします。
   ※"regedit" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
3. 右側のパネルで以下のレジストリ値を検索します。
   Hidden = "2"
4. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   Hidden = "1"
5. 再び、右側のパネルで以下のレジストリ値を検索します。
   ShowSuperHidden = "0"
6. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   ShowSuperHidden = "1"
7. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL
8. 右側のパネルで以下のレジストリ値を検索します。
   CheckedValue = "0"
9. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   CheckedValue = "1"
10. レジストリエディタを閉じます。

このマルウェアが追加したレジストリキーの削除：

1. 「レジストリエディタ」を起動します。
   [スタート]-[ファイル名を指定して実行]を選択し、"regedit" と入力し、[OK]キーを押します。
   ※"regedit" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
3. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   AVPsys
4. 「レジストリエディタ」を閉じます。

作成された AUTORUN.INF の検索および削除：

1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
   註：Windowsのバージョンによって異なります。
2. [ファイル名のすべてまたは一部]に以下を入力してください。
   AUTORUN.INF
3. [探す場所]の一覧から該当ドライブを選択し、[検索]を押します。
4. 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。
5. 以下の文字列が存在するか確認してください。
   [AutoRun]
   open=s9h3v.bat
   shell\open\Command=s9h3v.bat
6. この文字列が存在する場合はファイルを削除してください。
7. 他のリムーバブルドライブ内の残りの AUTORUN.INF についても、この手順3.)から6.)を繰り返してください。
8. [検索結果]画面を閉じてください。