buenos días gente de elhacker =)

hace tiempo ya me vengo liando con está *****.

c:\windows\   aadrive32.exe
c:\recycler\------\zaberg (o zaberg0) .exe
%appdata%\*.tmp

como no pude quitarlo y no pienso formatiar ya que prefiero eliminarlo por logros personales(?
la cuestion es, como no lo puedo borrar (he limpiado el registro manualmente.), he bloqueado los CRC32 de los .tmp , los .exe y walaah! funciona de 10.
he vuelto a limpiar y listo, de maravillas.
hasta que desbloquie y aparecio otra vez. eso significa que hay algo que estoy ignorando. alguna sección del registro que de inicio a procesos, quiza.

las que recuerdo son taskmgr(si saben no van a preguntar) , en policies, run, hmm... y en muchas más.

asi que he venido a informarme... saludos

Pero estas borrando esas entradas desde modo seguro? porque sino se pueden estar volviendo a crear.

Ademas, si sabes donde se encuentra el malware, y lo eliminas no importan las entradas para iniciarlo, quedan como basura, total no ejecutaran nada porque no existe.

Esto lo podes hacer manual como venis haciendo pero tambien existe Malwarebytes Anti-Malware xD

No te acostumbres a esa teoría, puede no ser tu caso pero puedes tener la preséncia de un rootkit bien programado y no encontrar sus claves y archivos ni en modo seguro, ya que ocultará toda presencia.
Es conveniente realizar análisis con herramientas antirootkit que buscan ganchos a nivel de núcleo cosa que a mano no te va a permitir.

Es un consejo no una crítica, saludos.