Como el problema lo tienes tanto en modo a prueba de fallos como en modo normal, te sugiero pasar un AV en modo live-cd, como los que tienes aquí en la parte de Antivirus/Rescue Live-cd (Avira actualiza el cd a diario)

Saludos

Hola, antes de nada gracias por las respuestas.

A continuación aporto yo unas cuantas tb:

- ¿No te inicia en modo a prueba de fallos porque cuando intentas acceder te pega 'un pantallazo' y se reinicia? O... ¿Parece que el sistema operativo carga, pero no te da opción para loguearte y no te carga el escritorio?

El sistema operativo carga perfectamente excepto el escritorio. Ni aparece la barra de windows ni los iconos del escritorio.

- Entiendo que el sistema carga, pero no te muestra el escritorio. ¿Cierto?

Cierto

- Por otro lado, ¿has intentado en ese momento un CTRL + SHIFT + ESC? ¿Se te inicia el Administrador de tareas? (Lo puedes probar también con CTRL + ALT + SUPR)

El administrador de tareas arranca perfectamente cuando lo llamo. Y además me deja lanzar aplicaciones y demás. Eso sí, cuando mato el explorer.exe y lo vuelvo a invocar me abre un explorar de archivos y no me sale la barra de windows ni el escritorio.

- Por último, si el administrador de tareas te inicia, prueba lo siguiente: En la pestaña 'Aplicaciones'---> Tarea nueva. Inicia el 'regedit' y busca los valores 'Shell' y 'Userinit' en la siguiente rama:
¿Qué hay en esos valores?

En los valores que me dices está la ruta del archivo que no puedo borrar porque siempre aparece. Es decir C:\install\server.exe. Este es el fichero que no puedo borrar porque siempre aparece. Es ese el fallo? Por eso no arranca el escritorio? qué valores debe tener esas entradas?

Además, buscando en el registro he encontrado más apariciones de c:\install\server.exe en las siguientes claves del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion->Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run->Policies

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run->HKCU

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache->C:\install\server.exe [Tipo] REG_SZ [Datos] server

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{120XQOVE-52NB-1540-820R-2SB044AJ613H}->StubPath

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKCU->command

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion->Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run->Policies

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run->HLKM

HKEY_USERS\S-1-5-21-1409082233-1677128483-1957994488-500\Software\Microsoft\Windows\CurrentVersion->Run

HKEY_USERS\S-1-5-21-1409082233-1677128483-1957994488-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run->Policies

HKEY_USERS\S-1-5-21-1409082233-1677128483-1957994488-500\Software\Microsoft\Windows\CurrentVersion\Run->HKCU

HKEY_USERS\S-1-5-21-1409082233-1677128483-1957994488-500\Software\Microsoft\Windows\ShellNoRoam\MUICache->C:\install\server.exe [Tipo] REG_SZ [Datos] server



Muchas gracias y saludos!!!

Hola de nuevo. antes de reiniciar cambié los valores del registro que me dices por los que me has puesto. Reinicié y arranqué el avira live cd. tras escanear me dijo que había encontrado 13 records del TR/dropper.gen que casualmente eran la misma todas: c:\install\server.exe y 12 repeticiones de RECYCLER\.....\install\server.exe que son las veces que lo he intentado borrar y ha reaparecido. Tras terminar, me dice que los ha borrado y reinicio. Ahora ya me ha vuelto a aparecer el escritorio y los iconos, pero antes de eso ha salido la tipica ventanita de información de que se está configurando componentes (y que casualmente es c:\install\server.exe). Me aparecen el escritorio con los iconos y voy a mirar el registro. Otra vez se ha vuelto a cambiar los valores de shell y userinit por c:\install\server.exe (para que en el proximo inicio no arranque). Y los otros valores del registro que puse antes siguen ahí.
El problema es que es uno de los servidores que más falta hace y hasta dentro de un rato no podré reiniciarlo para pasarle el malwarebytes en modo a prueba de fallos  . De todos modos ayer el pasé el spyboot search & destroy y el Superantispyware en modo a prueba de fallos y ni siquiera me detectó nada.... así que no estoy muy esperanzado a que funcione. Por lo menos de momento me sirve el equipo más o menos de momento. Espero no tener que formatearlo, aunque de momento es lo más probable que haga.

Gracias y un saludo!!

i02mofej, entonces hay algo más que lo esta reestableciendo , y como dice Arcano, dependiendo del tiempo que le quieras dedicar te dejo otra opción.

Para cuando reinicies podrías probar con Process Monitor y su opción de "Boot Logging" ,desde Options > Enable Boot Logging.

Lo configuras, cierras la aplicación, y para el próximo inicio de sistema se comenzará un registro automático de la actividad del pc. Para ver el log simplemente vuelves a abrir la aplicación, te dirá que hay un log previo generado, y te preguntará si lo deseas guardar (lo guardas, pesa más de 100mb)

En resumidos pasos:

• Configuras log al "bootear" y cierras aplicación
• Reinicias
• Al inicio del sistema verificas que se vuelvan a crear llaves y el server.exe
• Abres nuevamente la aplicación y guardas log

Con log en mano te vas a los filtros y creas un nuevo filtro cuyo Path contain server.exe.
Aplicas, y al visualizar nuevamente el log tendrás aquellas aplicaciones que estuvieron tocando cosas relacionadas a ese archivo, tanto rutas del fichero como llaves de registro. Verifica los ejecutables que han hecho esto con enfasis en todos aquellos cuyos eventos (Operation) hagan referencia a "CreateFile" o "RegSetValue" (igual no pierdas de vista el resto)

Saludos

Es que con esa opción incluso he dado con "bichitos" que vienen con rootkit adosado, los encuentras antes de que se oculten.

Por si acaso i02mofej, pa' que quieres esto? Porque si consigues las rutas de los archivos implicados luego puedes bootear desde un live-cd de linux por ejemplo, y mandar a volar los archivos!

Saludos

Mira tú, personalmente me gustaba más la opción de Novlucker... -que desconocía- 

Bueno, si te carga el escritorio y has comprobado que el registro tiene los valores correctos... Perfecto. ¿No habrás guardado por casualidad el log del MalwareBytes?

Si lo has guardado, podrías pegarlo... Por mera curiosidad.

De na... 

Saludos!

Casualmente aun lo conservo jejeje, aquí va:

Malwarebytes' Anti-Malware 1.44
Versión de la Base de Datos: 3712
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/02/2010 14:24:45
mbam-log-2010-02-09 (14-24-45).txt

Tipo de examen : Examen Rápido
Objetos examinados: 132276
Tiempo transcurrido: 3 minute(s), 39 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 7

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{120xqove-52nb-1540-820r-2sb044aj613h} (Generic.Bot.H) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Downloader) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\install\server.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador.SIAL\Datos de programa\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\SIAL\Datos de programa\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador.SIAL\Configuración local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\SIAL\Configuración local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador.SIAL\Configuración local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\SIAL\Configuración local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.


Gracias de nuevo a los dos y un saludo.

PD: Pa la próxima haré lo que me decís de subirlo a un servidor para que podais verlo.