Bohužel to není tak jednoduché. V podstatě jde o to, že napadený počítač povětšinou nepoužívá soubor Userinit.exe, ale je přesměrován (v registrech) na breberku Wsaupdater.exe. Je tedy zapotřebí nejprve nahradit obsah souboru Wsaupdater.exe obsahem souboru Usernit.exe (udělat kopii dobrého Userinit.exe -> Wsaupdater.exe), což je nutno (a jedině možno) udělat pod jiným operačním systémem (např. z konzoly instalačního CD) a potom, po restartu, v registrech změnit v podklíči
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
z chybné hodnoty
C:\Windows\System32\Wsaupdater.exe
na správnou
C:\Windows\System32\Userinit.exe,
(i s tou čárkou na konci)

Poznámka na konec: Ten Userinit.exe použijte raději z jiného zdroje, než z nakaženého počítače, tzn. nejraději z toho instalačního CD a to jak na kopii do Wsaupdater.exe, tak na nahrazení původního souboru Userinit.exe v počítači, který může být též nakažen.