Luego verifica la existencia del conocido cliente de IRC, mIRC. Si este existe copia a su carpeta el archivo Script.ini, el cual le permitirá enviarse a otros usuarios del IRC.

Para eliminar productos antivirus es extraido el archivo Winstart.bat dentro del directorio C:\Windows. En el próximo incio del equipo este archivo será ejecutado y eliminará archivos de conocidos productos antivirus.

Además agrega el valor "w32.BeanLadean.B.worm" a las siguientes claves del registro:

HKLM\
HKLM\Software\
HKLM\Software\Microsoft\
HKLM\Software\Microsoft\Windows\
HKLM\Software\Microsoft\Windows\CurrentVersion

Para poder ejecutarse en cada incio del sistema es agregado el valor "rundli32"="C:\Windows\System\rundli32.exe" en la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run y
HKLM\Software\Microsoft\Windows\ CurrentVersion\RunOnce.

Por último edita el archivo C:\Autoexec.bat con instrucciones para formatear las unidades C, D, E, F y G al próximo arranque del equipo.

Eliminar el valor "rundli32"="C:\Windows\System\rundli32.exe" de la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run y
HKLM\Software\Microsoft\Windows\ CurrentVersion\RunOnce.

Eliminar el valor "w32.BeanLadean.B.worm" de las siguientes claves:

HKLM\
HKLM\Software\
HKLM\Software\Microsoft\
HKLM\Software\Microsoft\Windows\
HKLM\Software\Microsoft\Windows\CurrentVersion

Eliminar el archivo C:\Windows\Winstart.bat.

Edite el archivo C:\Autoexec.bat y elimine toda linea que contenga la palabra "format".

Reiniciar el equipo.

Eliminar el archivo C:\Windows\System\rundli32.exe.

Con un antivirus actualizado realizar un escaneo completo del sistema y eliminar todos los archivos que sean detectados como infectados.