que tal si usas unhakcme es un verdadero mostruo para los rootkit, seguro lo saca a golpes de tu pc,
lo unico que desactiva restaurar sistema, ya que el unhackme te hace varias copias por analisis al iniciar la pc.
A mano no te podria decir pero con ese si que lo sacas,

Seguro que el rootkit se aprovecha de alguna vulnerabilidad de tu xp ya que es el sp2,

Saludos

Buenas winroot!

Con los que me he topado, los he eliminado mediante GMER. Ahora bien, también he fastidiado algún equipo -de ensayo- haciéndolo de ese modo...  

Te diría que hagas caso a Roy-Mustang con el 'unhackme', aunque nunca lo he probado. Por lo que él comenta, parece eficaz.

Si eso no te funciona, te detallo cómo suelo hacerlo yo. Pero OJO con lo que borras. Te diría que cuando empieces a tocar el registro, PRIMERO hagas una copia de la rama que vas a eliminar por si acaso. Puede que el método que te comente me haya funcionado con los rootkits que he tenido el placer de conocer, pero el que tú indicas... Ni idea de su procedencia...

Yo hago lo siguiente:

(0) Inicio en modo seguro sin conexiones de red.
(1) Lanzo GMER. (No es necesario scan completo)
(2) Lanzo Autoruns.

(3) Mediante el GMER, miro el nombre que me da. (Marcado en rojo)
(4) Me dirijo a Autoruns y realizo la búsqueda por el nombre anterior.
(5) Me coloco en el nombre y mediante el secundario pico en 'Jump To...'
(6) Una vez en la rama indicada, por norma, se le debe otorgar permisos (a todos). En esa rama, verás dónde está el archivo -el mismo que te indica GMER-. Das permisos a la rama de registro (antes deberías haber hecho la correspondiente copia) y la borras.

Así con todos los archivos que te indique GMER. Una vez eliminadas las ramas, puede elimianr los ficheros de sus correspodientes rutas. O a la inversa, el orden de los factores, en este caso, no altera el producto.

También puedes hacerlo sólo con GMER, sin autoruns y matando el proceso explorer. Mediante la pestaña del registro, sabrás -porque lo indica en color rojo-; la rama afectada. Abres regedit y realizas los pasos indicados anteriormente.

Lo dicho... No te compliques a mano si no es necesario.

Saludos!

EDITO

Winroot said:
Pos hale, perfecto!! Bien hecho!

Saludos.

La verdad es que, hasta ahora, siempre me he peleado con los rootkits 'a manos desnudas'. Sin guantes ni na de na... Pero... No va mal saber de la aplicación que comentas. Había oído algo sobre ella, pero no la había probado.

Saludos!!!

Buenas!
Gracias a todos !
@Arcano
Mediafire a mi no me anda ^^.
Pero creo que te entendí.
Tu dices que, gmer cuando muestra algo en rojo,( supongamos serviciooculto), el ya lo desocultó de la key hklm\System\control xxx\services ?
Si es así, uno siempre aprende algo nuevo ^^.
Hoy un poco mas tranquilo me di cuenta en realidad de lo que pasó.
Cuando eliminas un servicio, este sigue cargado hasta que reinicies la pc, o al menos eso es lo que pasó ayer ^^.
El reinicio fue por la pantalla azul  causada por gmer, un simple análisis del memory.dmp con la utilidad dumpchk, dijo algo como que fue todo culpa de gmer.sys ^^.
Por último, me sorprende la cantidad de pcs que lanzan escaneos automatizados a rangos de ips,
Y la lista sigue, hasta llegar al día de hoy, donde la cosa no cambia mucho...
Saludos!

Buenas!
Si,megaupload me funciona.
El tema de mediafire pasa por un tema con el noscript.
El tema del log del firewall de windows, todos esos paquetes son eliminados, además de que el firewall de windows si no me equivoco solo bloquea tráfico entrante.
Además de eso, me equivoqué y puse los registros de justamente cuando estaba infectado, aunque ahora pasa mas o menos lo mismo.
Tcp view no muestra nada raro, un snifeo con  Wireshark tanpoco, autoruns tanpoco,listdlls tanpoco, handle tanpoco, y un poco de análisis a un dump de ram generado con windd usando volatility y strings / grep tanpoco.
el tema del servicio ya me contesté solo, haciendo una prueva con osr loader y un driver de prueva (el hola mundo ).
Creo que no me entendiste con lo del servicio, o yo me explique mal.
La mayoría de rootkits (este también) son drivers.
Un driver no se puede cargar solo, requiere de un programa en modo usuario que lo cargue.
este programa en modo usuario (loader), usa las apis del scm para cargar el driver.
El loader para cargar el driver tiene que crearle un servicio, generalmente llamando a la función de la api CreateService.
Esto resulta en la creación de las keys hklm\system\currentcontrolset\services\nombredelservicio y en hklm\system\currentcontrolset\enum\root\legacy nombredeservicio.
Además de esto, el scm (services.exe) agrega el servicio en la base de datos que mantiene en memoria.
Luego de registrar el servicio, el loader llama a la función StarService si no me equivoco.
Cuando se llama a esta función, el scm carga el driver en el proceso system.
Bien, cuando gmer elimina un servicio (en este caso un servicio llamado seneka), me imagino que llama a  la función equivalente a DeleteService en modo usuario.
en este caso, la función eliminó el servicio de la db del scm, pero no lo descargó de la memoria, lo que pasa porque algunos drivers no instalan esta función.
gmer al eliminar el servicio, el driver seguía cargado en ram, y me desinfecté después del reinicio por la pantalla azul.

Gracias de nuevo, y un saludo!