un buen cabron: song911.exe

Buscando en google:

Para eliminarlo del sistema ejecuta el regedit y en

HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon

elemina la entrada C:\WINDOWS\system32\secpol.exe.

Luego en

HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\Notify

elimina la clave fsmgmt.

Ahora borra los archivos C:\WINDOWS\system32\secpol.exe y C:\WINDOWS\system32\fsmgmt.dll. Borra todos los archivos temporales incluyendo los de internet.

Para limpiar el dispositivo USB, primero desactiva el autorun.

Vas a Inicio, Ejecutar y escribes "gpedit.msc"

Luego te diriges a "Plantillas administrativas" (en la configuración del
equipo) y haces clic en la carpeta "Sistema". Luego haz doble clic en la
directiva "Desactivar reproducción automática". Seleccionas "Habilitada"
y le pones que en todas las unidades.

Luego borra los archivos ocultos autorun.inf y UFO.exe.

Te pego otro en inglés, pero básicamente dice lo mismo solo que este habla de matar el proceso svchost y luego eliminar las entradas del registo y los archivos.

----------------------------------
1) first of all: disconnect the infected PC from any networkand internet connection.

The malware loads viruses and updates from internet sites during your browsing:
cn911.org, , obutan.com, baidu8.com, 222.122.45.146, eu.logon.worldofwarcraft.com, us.logon.worldofwarcraft.comTry to block these sites with your firewall!

2) clean the USB pen

delete UFO.EXE (hidden file)delete autorun.inf (hidden file that load the ufo.exe worm)this files are created from infected PCs anytime you boot a USB pen or removable harddiskAfter you need create a fake empty autorun.inf file with READ-ONLY propertyto block the loading of ufo.exe from a infected PC

3) removal actions

- Run the "process explorer" of Mark Russinovich (http://www.sysinternals.com)and kill the svchost process at root level (It is the process that create the UFO.EXE/AUTORUN.INF files any time you insert a removable disk)


- with regedit remove just the string ",C:\WINDOWS\system32\secpol.exe" from the key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogonC:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,

need to be (don't remove the userinit.exe!):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogonC:\WINDOWS\system32\userinit.exe

- delete the secpol.exe file from C:\WINDOWS\system32

- with regedit remove the fsmgmt key fromHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\Notify

- delete the fsmgmt.dll file from c:\windows\system32 Note: the product name shows: "Microsoft? Windows? Operating System"

- delete any files from the locations:C:\Documents and Settings\\Impostazioni locali\Temporary Internet Files andC:\Documents and Settings\\Impostazioni locali\Temp

That's all. I removed also some unknown users *S-1-5-21..... from security policies.

Credits : I'd like to sincerely thank the folks at Sysinternals

EDIT 2: Afortunadamente, todo solucionado, problema, y virus.
Hemos triunfao

EDIT 1: Hola, Barracuda, ahora mismo probé el método que me comentabas, pero al reiniciar el ordenador para ver si todo iba bien, me he encontrado con que al intentar iniciar sesión, en lugar de hacerlo, la cierra, de modo que no puedo acceder al escritorio.
Lo peor es que tenia todo ya configuradísimo y no quiero formatear...

Quizá he cometido algún error con el userinit.exe (que solo borré la correspondiente entrada del registro que me dijiste), y por eso no abre la sesión.

Si tienes un momento te agradecería algo de orientación...

Saludos...

Muchas gracias, tio, mira que he mirado y remirado, pero una de dos: o no he visto esa web, o la leí por encima pensando que no me iba a servir de nada.

Voy a probar esto (parece que me llevará un rato). Ya te contaré, y gracias de nuevo.

Jappi Jolidais a todo el mundo!