Te lo diré del siguiente modo ..
El rootkit ya tiene su tiempo y es detectado por la mayoría de los AV, así que entiendo que la pc sea una Celeron a 900Mhz con 1Gb de RAM, pero no puedes estar sin AV
:http://www.virustotal.com/analisis/178476ad02c1ed7c22849a8c85e6429b60cb497a18a8c34cd42201731062c4ba-1236810523
Sobre lo de eliminar el rootkit, ... puedes hacer el intento ...
Descarga
Process Explorer, ejecutalo y revisa si te aparece el proceso
v6msn.exeSi aparece dale a
Kill process treeLuego toca eliminar el archivo ...
Inicio > ejecutar > cmdCon cd te mueves hasta la carpeta
C:\windows\system32 y ejecutas lo siguiente
C:\Windows\System32>attrib -s -h -r v6msn.exe
C:\Windows\System32
>del v6msn.exe
Si se elimina simplemente no dirá nada, si no lo encuentra saltará error.
Luego de esto vamos a limpiar el archivo hosts, por lo directamente desde el explorador vas a
C:\WINDOWS\system32\drivers\etc, y modificas el archivo
hosts (sin extensión) eliminando todas las url que dicen ..
127.0.0.1 www.Merijn.org
127.0.0.1 www.spyware.info
127.0.0.1 www.spybot.info
El archivo te tiene que quedar como el siguiente, así que también puedes copiarlo y pegarlo
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x
127.0.0.1 localhost
Y habiendo limpiado el archivo hosts debemos de pasar al registro de windows
Inicio > Ejecutar > RegeditMuevete hasta HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y borra la entrada que se llama
MSN6.1 Auto-Updater y tiene por valor
v6msn.exeTodo esto deberías de hacerlo en
modo seguro/a prueba de fallos.
Al finalizar, pasa otra vez
Malwarebytes, y de ser posible algún AV en modo live-cd, te recomiendo Avira
http://foro.elhacker.net/software/cds_autoarrancables_para_casos_de_emergencia-t204137.0.htmlTe bajas la iso (unos 65 Mb), la quemas e inicias la pc booteando desde el cd, luego de iniciado te tiene que dar la opción de cambiar el idioma de alemán a inglés.
Te vas a las opciones de configuración de scan y activas el que se renombren los archivos "maliciosos", porque sino solo te alerta y no hace nada
, y luego si comienzas la revisión.
Si llegas a tener problemas con el booteo de este cd, puedes probar con algún otro de los recomendados.
Saludos
Autor
En línea
