Durante este tiempo se me ocurrio algo. Este bloque que aplican estos virus son injecciones al registro. Por ejemplo, lo que define con que aplicacion se ejecuta un archivo esta en el registro, y es diferente para cada usuario. Entonces, se me ocurrio ejecutar Autoruns y la instalacion de Malwarebytes haciendo clic derecho sobre el archivo, y usando Run as Administrator, o Ejecutar como Administrador. Esto funciono de maravilla e inmediatamente pude eliminar el virus con Malwarebytes.
Log De Malwarebytes
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate)
Registry Values Infected:
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default)
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Crystal\AppData\Local\vvi.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Crystal\AppData\Local\vvi.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Crystal\AppData\Local\vvi.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe)
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\Crystal\AppData\Local\vvi.exe" -a "%1" %*) Good: ("%1" %*)
Files Infected:
c:\Users\Crystal\Desktop\Setup.exe (Adware.Hotbar)
c:\Users\Crystal\AppData\Local\Temp\dx4ct+tb.exe.part (Rogue.Installer)
