Cuando el troyano se ejecuta crea el siguiente archivo:

  c:\windows\system32\twext.exe

Modifica la siguiente clave del registro para ejecutarse en cada reinicio del sistema:

  HKLM\software\microsoft\windows nt
  \currentversion\winlogon
  "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"

Se conecta a una dirección de internet y descarga el archivo "4.tmp" en la carpeta temporal de Windows. Luego dicho archivo es ejecutado, este abre una puerta trasera y se comunica a un sitio enviando información.

1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. En Windows NT, 2000 y XP, abra la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Winlogon

6. Modifique bajo la columna "Nombre", la entrada "Shell", para que solo contenga lo siguiente:

  "userinit"="%SYSDIR%\userinit.exe,"

7. Cierre el editor del Registro del sistema.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.