Si su red presenta un ataque en el puerto 445 o detecta alguno de los siguientes malwares:
Intrusion.Win.NETAPI.buffer -overflow, Trojan-Downloader.JS.Agent.cyo, Net-Worm.W32.Kido, (aka Conficker y Downadup)
Siga las siguientes recomendaciones:

Para Protegerse y evitar el contagio:
- Mantener su antivirus Kaspersky 100% actualizado.
- No bajar el componete de Antihacker o Firewall de KAV (matenerlo activo con detección de intrusiones al menos)
- Active el filtrado del puerto 445 y 139: vaya a Configuración -> Configuración de Red -> Configuración de Puertos -> mantega activado vilgilar solo los puertos asignados y agregue el puerto 445 y 139 asignandole un nombre ("Netapi" o "Kido" por ejemplo).
- Mantener su sistema operativo con todos los parches y/o services packs al día.
- Si ud tiene un Firewall o Gateway perimetral, cuide que esté actualizado y filtrando especialmente el puerto 445. Idealmente, que tenga funcionalidad IDS/IPS y un complemento de detección de malware.

Para saber que equipo se encuentra infectado:
ejecute el comando netstat –an, verá la conexión a otras direcciones IP usando el puerto 445.
O revise su consola de Administración Kaspersky (Kaspersky Administration Kit) e imprima un informe de ataques de red.

Para proteger y limpiar la red:
Debe instalar las últimas actualizaciones de Microsoft en todos los equipos, especialmente: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx (debe instalar el parche adecuado para su sistema operativo y reiniciar).
Es recomendable tener en su red el servicio de administración de actualizaciones de Windows (Windows Update Services, WSUS) http://www.microsoft.com/spain/updateservices/default.mspx el cual le ayuda a mantener su estaciones de trabajo al día.

Para la limpieza con Kaspersky Antivirus :
- Actualice Kaspersky, reinicie su equipo e ingrese a modo seguro de Windows (presionando F8 en el booteo), para realizar la exploración de virus en áreas crítica o el equipo completo configurado a máxima seguridad y revisión de todos los archivos. (Kaspersky->analizar-> análisis->Mi PC) ó,
Opcionalmente descargue el CD de limpieza booteable desde:
http://dnl-eu10.kaspersky-labs.com/devbuilds/RescueDisk/
http://download .kaspersky.cl/devbuilds/rescuedisk/
También puede hacer su propio CD de booteo siguiendo las instrucciones que su Antivirus Kaspersky posee. (en Kaspersky para estaciones de trabajo en Servicio->Disco de Emergencia.

Es muy probable que el archivo infectado no sea detectado por Kaspersky en el modo Normal, porque el virus se engancha con "svchost.exe" que es parte del sistema operativo y que se utiliza para la ejecución de servicios, y es asi como el sistema cree que el malware es parte fundamental para su funcionamiento. Si Ud. no puede reiniciar el equipo (servidores), puede desenganchar el virus de svchost.exe utilizando algún programa "Unlocker" o haciendo uso del comando "attrib -S -H [archivo]" para desprotegerlo. Por lo anterior se recomienda inciar su equipo en modo a prueba de errores seteando Kaspersky con máxima seguridad en su análisis y este se encargará de limpiarlo.

Para Limpieza con herramienta especial (opción más recomendada):
Puede intentar limpiar con las siguientes herramientas de Kaspersky (dadas las distintas mutaciones del gusano , pruebe más de una de ellas para estar más seguro):
1. Esta es una de las más recientes herramientas de Kido killer :  http://www.escom.cl/kaspersky/Kido-Confiquer/KKiller.17.Mar09.zip  descomprima y ejecute KK (el modificador /h muestra los modificadores del comando. Ejecute -y para un termino automático del proceso de búsqueda y limpieza).
2.http://www.escom.cl/kaspersky/KK_v3.4.7.zip  ó http://www.escom.cl/kaspersky/Kido-Confiquer/KidoKiller_v3.zip (descomprima y ejecute KidoKiller.exe. Opcionalmente, puede utilizar el modificador -y que hará que la ventana se cierre automáticamente una vez que termine el proceso)
3. http://www.escom.cl/kaspersky/Kido-Confiquer/klwk.zip  (descomprima y ejecute: run_klwk.bat )
Para un mejor resultado, es posible que deba correr esta herramienta en modo a "prueba de errores" o "modo seguro". Intente primeramente en sesión normal.
*Es posible también utilizar esta herramienta desplegandola como una tarea de red desde Kaspersky Administration Kit.

Los siguientes son los modificadores del comando klwk:

            /s - para forzar el escaneo de las unidades.
            /n - para forzar el escaneo de unidades de red.
            /path <ruta para analizar> para indicar la ruta de análisis.
            /y - para finalizar el programa de manera automática una vez termina.
            /i - muestra esta información.
            /nr - no resetear el equipo en ningun caso.
            /Rpt[ao][=<ruta del archivo reporte>] - crea un reporte
                        a - agrega a un archivo
                        o - solo reporte (no cura infección)

Códigos de confirmación del comando:
            0 - dada que borrar
            1 - virus eliminado y sistema restaurado
            2 - para finalizar la remosión del virus, el sistema debe reiniciarse
            3 - para finalizar la remosión, debe reiniciar y ejectutar la herramienta una vez más
            4 - error.

Si desea, Para eliminar la infección manualmente, UD. Debe:

- Abrir el editor de registro de Windows. Inicio->Ejecutar-Escriba regedit.
- Navegar hasta la entrada: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost
- En el panel de la derecha de svchost, haga doble clic en el nombre de valor "netsvcs"
- Buscar en cuadro de diálogo un nombre de virus como rbydwcit ó ukcsbkgc y elimínelos. (Recuerde "el nombre del virus")
- Ir a: HKEY_LOCAL_MACHINESYSTEMControlSet001Services " nombre del virus”.
- En el panel de la derecha, busque un archivo *.dll (como ydrarqme.dll), recuerde el nombre del archivo (*.dll) que encontró. Elimínelo.
- Ir a c: Windows system32, encuentre el archivo "*.dll" y elimínelo en modo seguro. (Si no puede reiniciar el equipo (servidor), usted debe desenganchar el virus mediante el uso de un programa "Unlocker".