Una vez que la máquina ha sido infectada, quitarlo requiere de conocimiento, paciencia y un tutorial. Por eso voy a explicar como se remueve este virus. Para saber si está infectada la máquina: 1) Abra una ventana de cónsola (inicio > ejecutar > cmd.exe) y en ella escriba netstat -n. Esto mostrará todas las conexiones existentes en la máquina. Si existieren muchas conexiones por el puerto 445, y si se evidencia que está tratando de conectarse a muchas otras máquinas, entonces está infectada. Lo anterior también se puede hacer usando algún programa que monitorée los puertos de máquina (port scanner o port monitor). Eso queda a gusto del usuario. 2) Abra el registro de servicios (inicio > ejecutar > services.msc). Ahí aparecerán listados una serie de servicios o programas base del sistema. Si aparece algún servicio con un nombre “aleatorio” (ej. mrgnjgd, easdfnf, hfffdse), entonces MUY probablemente la máquina esté infectada. Cómo eliminar el virus 1) Antes de eliminar el virus hay que proteger la máquina para evitar que se siga infectando. Para ello, Microsoft tiene un “parche” (no importa si su Windows XP es Service Pack 1, 2, 3, Vista o Windows Server 2003 o 2008, todos son vulnerables) que puede descargar acá: http://www.microsoft.com/technet/securi … 8-067.mspx Ahí, aunque en Inglés, encontrará una lista de sistemas operativos. Busque el que corresponda a su equipo y descargue la actualización correspondiente. Para el caso popular de Windows XP (en español), el link directo es este: http://www.microsoft.com/downloads/deta … 67b73d6a03 2) Revise y active el Firewall de Windows. Esto lo puede hacer yendo a Panel de Control > Conexiones de Red, botón derecho sobre el ícono de “Red de área Local” y luego propiedades. Ahí aparecerá una ventana con pestañas en la parte superior, escoge la que dice “Avanzado” y ahí selecciona el botón “Firewall de Windows”. Aparecerá una nueva ventana donde puede controlar esta aplicación, por lo que deberá activarla y en la pestaña siguiente revisar los programas que tendrán permiso de conectarse. Elimine cualquier cosa que no sea un programa válido (opción común es permitir “compartir archivos e impresoras”, así como el messenger). 3) Actualice el antivirus. No importa el software que esté usando, el peor antivirus SIEMPRE es aquel que no está actualizado. Por ello, mantenga el Antivirus al día con las actualizaciones. Es recomendable reiniciar el sistema para que se cargue el antivirus con las nuevas opciones. 4) Para eliminar el virus como tal, hay que seguir estos pasos muy sencillos pero que requieren cuidado: * ir al registro de windows (inicio > ejecutar > regedit) * ir a HKLM>software>microsoft>winnt>currentversion>svchost * en el panel derecho, seleccionar (doble click) el valor “netsvcs” * aquí aparecerá una ventana, desplazar hasta “abajo” y ver el último valor: si este es algo como “rbydwcit”, “ukcsbkgc” o “,mndfsga” (es aleatorio, realmente), entonces está infectado. Procedemos a notar ese valor “último” aparte y borrarlo de esa lista para evitar que el svchost.exe siga infectado. (Un registro “limpio” debería mostrar estos últimos valores: BITS, wuauserv, ShellHWDetection, helpsvc, WmdmPmSN). * ir a HKLM>system>controlset001>services>”virus name”>parameters (también sirve HKLM>system> Currentcontrolset>services>”virus name”>parameters) * en el panel derecho encontrará un nombre de archivo “xxxxxxx.dll” (es un nombre aleatorio). Anote el nombre del archivo. Borre la clave HKLM>system>controlset001>services>”virus name”. Con esto impedimos que el virus se ejecute. * ir a c:\windows\system32 y busque el archivo con el nombre aleatorio que debió anotar arriba. Bórrelo. (aquí puede ocurrir que o no lo pueda borrar, por lo que lo más fácil es usar el unlockerque le permitirá borrarlo “a juro”). Puede ocurrir que en el proceso de buscar el archivo, el antivirus lo encuentra primero (y lo borra o pone en cuarentena). Listo, ya nos deshicimos del virus. En todo caso, este virus es de los más molestos e infecciosos. El se propaga por el puerto 445 y busca todas las máquinas que estén en su segmento de IP. De estar mucho tiempo “encendida” la máquina, son muchas las máquinas que puede llegar a infectar. Un buen antivirus y un buen firewall son suficientes para impedir la infección, pero una vez contaminada, no hay antivirus que valga.