Bueno, realmente he conseguido quitar la peste de mi propia. Pasos que hice: - arranque el sistema con F-secure rescue CD (disponible gratuitamente aquí http://www.f-secure.com/en/web/labs_global/removal/rescue-cd) - permiten el análisis y ejecución limpia. Limpia algunos archivos, pero salta/no nada con la infección de services.exe, que se encarga de reinfecting la máquina. Después lo hizo su trabajo, he pulsado Alt + F4 (una característica oculta que le cae en un indicador de linux) - directorio de windows introducido (la mía fue en /mnt/scan/sda1/windows) - averiguado la windows\\winsxs tiene una copia de seguridad de archivos de sistema principal, con más una versión en algunos casos! -Se encuentran las copias de seguridad de service.exe allí, entrar en /mnt/scan/sda1/windows/winsxs y golpear ls -l * servicecontroller * - encontró tres directorios con controlador de servicio:

x86_microsoft-windows-s...s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036 x86_microsoft-windows-s...s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a x86_microsoft-windows-s...s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56 - renombrado el services.exe existente a services.virus mv /mnt/scan/sda1/windows/system32/services.exe services.virus - copian el services.exe desde la carpeta winsxs 6.0.6002 a windows/system32 cp /mnt/scan/sda1/windows/winsxs/x86_microsoft-windows-s...s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56/Services.exe /mnt/scan/sda1/windows/system32/services.exe - comprobado para ver si todos los archivos y directorios que MSE con un virus ya fueron limpiados por el CD de rescate.

Los archivos no estaban allí, pero las carpetas donde. He eliminado las carpetas (con rm -f) - entonces expulsa el CD y reinicie el sistema en modo seguro. Abrir regedit (ejecución, regedit.exe). Buscado por las teclas mencionan aquí (http://nakedsecurity.sophos.com/2012/06/06/zeroaccess-rootkit-usermode/) más específicamente HKCR\CLSID\ {F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} \InprocServer32 y HKCU\Software\Classes\clsid\ {42aedc87-2188-41fd-b9a3-0c966feabec1} (BTW, HKCR es HKEY_CLASSES_ROOT, y HKCU es HKEY_CURRENT_USER) el primero fue con el valor correcto ya, y el segundo de ellos no existía! No sé si el CD de rescate ya arreglado o conseguí una variante diferente, pero parecía (si existieron, sería restaurar el primero y eliminar el segundo). También buscó el GUID que fue en los directorios encontrados y no encontrarlos, por lo que concluí que el registro fue limpio. -Último paso: me enteré que winsxs directorio es realmente el contenedor real del archivo services.exe (http://www.winvistaclub.com/f16.html). En windows/system32 se supone que es sólo un enlace rígido. Así que ya restaurado el enlace duro, haciendo: cd\\windows\system32 mover services.goodbutjustasimplecopy services.exe (tienen que cambiar su nombre o windows no te dejará ovewrite) cd\windows\winsxs\ x86_microsoft-windows-s..s - servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56 fsutil hardlink crear c:\windows\system32\services.exe services.exe y luego he reiniciado el sistema. Bingo. Se tomó el tiempo para escribir esto aquí, por lo que podría ayudar a alguien que estaba en el mismo problema que yo y pasar a recoger quads en un mal día...