Hola skapunky he utilizado el KSS 2.0, es la alternativa al scan online, similar a RemovalTool, conecta muy seguidamente con diferentes servidores de Kapersky.
Se queda de forma residente, instalando driver y ejecutandose junto al sistema.

Un saludo.

Hola supongo ya habrás instalado alguno, si aún lo necesitas puedes probar Rising o Clamwin.
Rising: http://www.freerav.com/

Clamwin: http://es.clamwin.com/

Gratuitos no se más, a ver si alguien que maneje ese server comenta.
Saludos.

Hola de nuevo franfis, buen año.

El ejecutable infectado xxx.exe y el archivo autorun.inf se crean en la raiz de la unidad extraible, como dices al iniciar el sistema que es cuando se carga el malware inyectandose en el proceso explorer.exe. Pueden situarse en cualquier carpeta del disco, normalmente en la carpeta System32 del sistema, pero a veces suele resultar incluso más efectivo meterlo en una carpeta oculta en Usuario\Datos de programas, Usuario\Configuración local.
No tendría que haber diferéncia entre el explorer.exe que se carga al inicar el sistema y el que se crea al reiniciar el proceso, sólo que en este último no infecta la unidad extraible.
Puedes subir un log de Hijackthis?

Si no quieres dar muchas vueltas inicia el PC con el CD de rescate de Kaspersky, casi seguro eliminará lo tengas. Dependiendo de como esté programado poco podrás hacer en modo normal, en algunos casos ya ni en modo seguro.
Link: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Por último comentarte que ante la preséncia de un rootkit desocultar carpetas y archivos no es efectivo, seguirán ocultos mientras el sistema operativo esté en marcha, pro esto te comento pases directamente el live CD.

Espero haberte ayudado mejor esta vez, la primera no estuve muy fino.

Saludos.

Ahora si, te ha costado...
Si empiezas por ahí el hilo no se hubiese ido por esos cerros, entiendes SokarTefnut.
También podrías comentar los pasos que seguiste, crea correctamente el punto de acceso falso?

Por la dirección MAC si parece ser un samsung:
http://www.adminsub.net/mac-address-finder/samsung

Aquí tienes otro ejemplo de uso:
http://thehackerway.com/2011/04/29/utilizando-karmetasploit-en-metasploit-framework/

Saludos.

Hola SokarTefnut creo que beholdthe se ha pasado un pelin en cuanto a insultar, independientemente de la edad que tengas, te podía haber dicho lo mismo o peor sin faltarte. No soy quien para corregirle doy mi opinión ya es grande.

No entiendo como dejas tu red abierta para ver quien entra y luego intentar sacar información acerca de él 
¿Dejarías la puerta de tu casa abierta y esperarías detrás para ver quien entra?
Ni en España ni en otro sitio, pero que vamos sigo sin entenderlo, en vez de proteger tu red la dejas abierta a los demás esperando sacar información, cuando puede sucederte todo lo contrario que él averigüe demasiadas cosas sobre ti

Saludos.

Hola n3t_3rr0r le eché un vistazo al pdf, mucho más no puedes hacer. Por cierto buen trabajo, no todo el mundo se molesta en ejecutarlo en VM y mirar hacia donde conecta 
No se si lo hiciste tu, denuncié a no-ip.org los dos dominios utilizados en las capturas.

Quieres ver algo curiso, fijate en este tema (los dominios no-ip utilizados):
http://foro.elhacker.net/empty-t372747.0.html


Descargué el ejecutable, han modificado el nombre, ahora es solo setup.exe.
Subidos a Anubis y virustotal:
http://anubis.iseclab.org/?action=result&task_id=133e1deb789a95bd4f17b8868fdf54219&format=html#idp1312512

https://www.virustotal.com/file/aba778b4ef2b3c18beea9b236eeda32bb5147ef8cd0f4fb03c538ed7021f4574/analysis/1356959137/

Compilado en AutoIt v3.1.1.8, si necesitas descompilar este tipo de ejecutables:
http://blog.nerdbucket.com/autoit-fans-rejoice-new-version-of-myauttoexe-available/article

Saludos.

Hola Areus en un principio no se ve nada raro, supongo Malwarebytes te marcaba el archivo infectado y sin reiniciar no podía eliminarlo, si estás con la duda de si ha sido eliminado busca en la cuarentena, en el registro debe aparecer.
A veces da igual pero es aconsejable realizar la desinfección en modo seguro.
El error de flash player no sabría decirte, probaste realizar la instalación nueva desde la página de flash, si tienes una versión anterior el instalador se encarga de reinstalar y limpiar.


Pasaría a utilizar algun antirootkit, tipo GMer, TDSSKiller:
http://www2.gmer.net/gmer.zip
http://support.kaspersky.com/downloads/utils/tdsskiller.exe

Prueba a ver si detecta algún gancho o servicio raro...

Saludos.

Hola franfis creo este tema iría mejor en el foro de Seguridad.
Cuando no te deja expulsar es porque un proceso tiene acceso a la unidad, en éste caso pueda ser un virus. Para ver que proceso es el que tiene acceso a la unidad usb puede usar "Unlocker", en algunos casos puede eliminar el ejecutable que tiene acceso, aunque sea en un reinicio.
Si no ves los archivos posiblemente estén oculto al sistema, accede al panel de control, opciones de carpeta, ver:
Mostrar todos los archivos y carpetas ocultos.


Posiblemente se haya inyectado a algún proceso, pero creo que se inyectaría mejor en el proceso de explorador de internet o similar.
Revisa si tienes algun proceso extraño al iniciar el sistema con CCleaner o desde "msconfig" (Inicio-Ejecutar).
Puedes postear un log de Hijackthis para ver si hay algo más.


Tal como comentas el problema, éste actua mediante el sistema "autorun" de Windows:
http://es.wikipedia.org/wiki/Autorun

Echa un vistazo a estos temas, hay varias maneras de "Desactivar reproducción automática" de medios extraibles:
http://support.microsoft.com/kb/967715/es
http://windows.microsoft.com/es-ES/windows-vista/Change-AutoPlay-settings
 
Saludos.

Buenas fiestas y saludos a todos.

Feliz navidad y prospero año nuevo 

Hola halseq, ¿tampoco aparece en "Agregar o quitar programas" bajo modo seguro?
Si quieres puedes probar a pasar Malwarebytes o AdwCleaner que elimina algunas de la barras de navegación:

Malwarebytes: http://es.malwarebytes.org/mwb-download
AdwCleaner: http://www.bleepingcomputer.com/download/adwcleaner/

Saludos.