El tema de los rootkits siempre son un problema la verdad, porque sin una muestra y una infección real es dificil aunque sea mediante logs la detección de todo, te recomendaria utilizar GMER a ver que se encuentra pero antes, me e tomado la libertad de buscar mas info sobre este rootkit.
Generalmente y por desgracia acaban siempre existiendo variantes...prueba lo siguiente, sinó pasaremos al plan B.
Entra al administrador de tareas y busca los siguientes procesos, una vez encontrados cierralos:
PlayPickle32.exe
[Nombre_aleatorio].dll of PlayPickle32.exe [Aquí tiene la función rootkit]
Busca y elimina los siguientes archivos:
C:\WINDOWS\_VOID\
C:\WINDOWS\_VOID\_VOIDd.sys
C:\WINDOWS\system32\UAC.dll
C:\WINDOWS\system32\uacinit.dll
C:\WINDOWS\system32\UAC.db
C:\WINDOWS\system32\UAC.dat
C:\WINDOWS\system32\uactmp.db
C:\WINDOWS\system32\_VOID.dll
C:\WINDOWS\system32\_VOID.dat
C:\WINDOWS\SYSTEM32\4DW4R3c.dll
C:\WINDOWS\SYSTEM32\4DW4R3sv.dat
C:\WINDOWS\SYSTEM32\4DW4R3.dll
C:\WINDOWS\system32\drivers\_VOID.sys
C:\WINDOWS\system32\drivers\UAC.sys
C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys
C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys
C:\WINDOWS\Temp\_VOIDtmp
C:\WINDOWS\Temp\UAC.tmp
%Temp%\UAC.tmp
%Temp%\_VOID.tmp
C:\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll
Busca y elimina las siguientes claves del registo, algúnas tienen nombre aleatorio así que antes de eliminar algo con dudas pregunta aquí.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID[nombre_aleatorio]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3
HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer
Aunque no elimines los archivos, o el rootkit permaneciera sería un gran avance si todos estos ficheros exísten. Ya tendríamos por donde empezar.
Saludos desde barcelona
Autor
En línea
