Problema con rootkits

Hola!
es la primera vez que escribo en éste foro, y por cierto, es genial poder hablar en tu idioma, así dejamos descansar al traductor de google… ;D

Paso a explicar mi problema:
desde hace un par de semanas Avast! me está avisando, en una pantalla emergente, haber encontrado un rootkit en mi ordenador. El rootkit se llama MBR:\.\physicaldrive0\partition3 y en la descripción aparece “rootkit: hidden boot sector”

Tras éste mensaje solo me da la opción de “eliminarlo (recomendado)” o de ignorarlo y que nunca vuelva a avisarme. Por supuesto, lo elimino. Tras ésto, me aconseja que haga un análisis del sistema de arranque. Lo realizo y me sale totalmente limpio. Pero al iniciar de nuevo mi sesión, me vuelve a salir el mismo mensaje, repitiéndose los mismos pasos.

Tras ocurrirme varias veces, hago un análisis completo del sistema con Avast!, y efectivamente, me lo detecta, con el mismo nombre y mismos detalles . Al ver el reporte de virus, me da varias opciones. Si intento moverlo al baúl, me sale un error y entre paréntesis un (50). Y si intento eliminarlo o restaurarlo me dice que queda pendiente a reiniciar el sistema. Tras cerrar el reporte de errores. me aconseja reiniciar. afirmo, y el sistema se reinicia. Y al iniciar de nuevo mi sistema, y pasar unos minutos, me vuelve a salir la misma pantalla emergente indicándome que ha detectado un rootkit en mi equipo… el mismo!

Harto de ésta situación, formateé mi ordenador (Un netbook Acer aspire one 250 con windows XP) pero fue inútil, ya que al volver a instalar Avast! me vuelve a detectar el mismo rootkit.

aparentemente no altera nada en mi sistema. Ni me va más lento, ni me da problemas con Internet, ni ningún detalle externo. simplemente Avast! me avisa. Y la verdad, me preocupa lo que pueda ocurrirle a mi ordenador en el futuro.

Espero que me podáis ayudar. Cualquier detalle que necesitéis saber de mi sistema no tenéis más que pedirlmelo. Todo sea por solucionar éste desagradable incidente.

Y muchas gracias adelantadas

Hola Jwind y bienvenid@ al foro! :slight_smile:

Lo que te indica Avast , no es que el rootkit se llame así, sino te indica que oculto en el Sector Boot de la partición nº3 de tu disco principal (0) ha encontrado un rootkit oculto. Es normal si has formateado el disco duro que siga estando ese rootkit porque seguramente tu habrás formateado el disco C, una partición en concreto, pero si tu HD tiene varias particiones (creo que en tu caso tienes 3) y el rootkit ó cualquier otro tipo de malware se oculta en una partición distinta de la C de nada te sirve formatear C. Tendrías en todo caso que formatear todas las particiones de tu disco duro… Cosa que NO TE RECOMIENDO ya que seguramente una de esas particiones es la de recuperación de tu sistema y otra la auxiliar que te crea windows ó puede incluso que tengas otro OS en esa partición… Creo que el Aspire One incluye Android en una partición… Por eso ten mucha precaución con lo que tocas y lo que formateas.

Existen herramientas específicas para luchar contra los rootkits considerados los malware más dificiles de eliminar y/o detectar.
Avast dispone de una herramienta muy potente para ello, la utilidad aswMBR 0.9.9.

Entra en la siguiente URL y sigue las instrucciones: http://public.avast.com/~gmerek/aswMBR.htm (INGLÉS).

También puedes ver la versión en ESPAÑOL de esta web traducida con google translator en el siguiente enlace:
http://translate.google.es/translate?sl=en&tl=es&js=n&prev=_t&hl=es&ie=UTF-8&layout=2&eotf=1&u=http%3A%2F%2Fpublic.avast.com%2F~gmerek%2FaswMBR.htm

Existen otros de otras empresas de seguridad como el Kaspersky TDSSKiller ó el Sophos Anti-Rootkit pero no sé si son gratuitos como Avast. Yo te recomiendo usar el de Avast ya que es bastante potente.

Con los resultados que te arroje el uso de esa herramienta postealos aquí.
No obstante deberías abrirte un hilo en el foro específico de Viruses &Worms (http://forum.avast.com/index.php?board=4.0) donde expertos de Avast te ayudarán.

Un último consejo, no andes jugando con particiones (creando/eliminando) ni formateando tu disco duro, si no eres un usuario experimentado porque podría ser peor el remedio que la enfermedad como se suele decir en mi tierra…

Un saludo y ya nos comentas!

Hola!
Muchísimas gracias por el interés y la brevedad. Paso a poner el reporte de aswMBR:

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-17 00:30:00

00:30:00.453 OS Version: Windows 5.1.2600 Service Pack 3
00:30:00.453 Number of processors: 2 586 0x1C02
00:30:00.453 ComputerName: JESÚS UserName:
00:30:01.531 Initialize success
00:30:01.843 AVAST engine defs: 12021601
00:30:05.343 Disk 0 (boot) \Device\Harddisk0\DR0 → \Device\Ide\IAAStorageDevice-0
00:30:05.359 Disk 0 Vendor: TOSHIBA_ FG01 Size: 152627MB BusType: 3
00:30:05.375 Disk 0 MBR read successfully
00:30:05.390 Disk 0 MBR scan
00:30:05.421 Disk 0 Windows XP default MBR code
00:30:05.421 Disk 0 Partition 1 00 12 Compaq diag NTFS 10244 MB offset 63
00:30:05.453 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 142381 MB offset 20981760
00:30:05.484 Disk 0 Partition 3 00 17 Hidd HPFS/NTFS NTFS 1 MB offset 312578048
00:30:05.500 Disk 0 Partition 3 INFECTED MBR:Alureon-K [Rtk]
00:30:05.562 Disk 0 scanning sectors +312581792
00:30:05.625 Disk 0 scanning C:\WINDOWS\system32\drivers
00:30:19.906 Service scanning
00:30:21.218 Modules scanning
00:30:38.750 Disk 0 trace - called modules:
00:30:38.796 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
00:30:38.828 1 nt!IofCallDriver → \Device\Harddisk0\DR0[0x8636e380]
00:30:38.843 3 CLASSPNP.SYS[f767dfd7] → nt!IofCallDriver → \Device\00000065[0x8632f4a0]
00:30:38.859 5 ACPI.sys[f75f3620] → nt!IofCallDriver → \Device\Ide\IAAStorageDevice-0[0x86338030]
00:30:39.468 AVAST engine scan C:\WINDOWS
00:30:47.687 AVAST engine scan C:\WINDOWS\system32
00:32:52.156 AVAST engine scan C:\WINDOWS\system32\drivers
00:33:05.125 AVAST engine scan C:\Documents and Settings\AdministraTatá
00:34:31.234 AVAST engine scan C:\Documents and Settings\All Users
00:34:36.859 Scan finished successfully
00:35:02.859 Disk 0 MBR has been saved successfully to “C:\Documents and Settings\AdministraTatá\Escritorio\MBR.dat”
00:35:02.890 The log file has been saved successfully to “C:\Documents and Settings\AdministraTatá\Escritorio\aswMBR.txt”

No puedo entenderlo mucho, pero parece que es un tal “alureon” el que está molestando y en en enlace que me proporcionaste aparece como eliminarlo, pero prefiero que me indiques los pasos a seguir, para no cometer más errores, además de que no entiendo muy bien el procedimiento. Sobre el formateo, aclaro que seguí al pie de la letra las indicaciones del fabricante, pero aun así tendré en cuenta tus consejos y no toquetearé donde seguramente no sepa como salir.

Gracias de nuevo!

@Jwind,

Si me permites, deberías de buscar ayuda en el subforum de “Viruses and Worms” de avast.

Abre un nuevo topic alli, agrega un link a este topic (http://forum.avast.com/index.php?topic=93484.0) o

y así se destaca especialmente la fila reportada por aswMBR.

Claro, ellos trabajan en inglés, así que quizás no sea tu mejor opción, pero eso ya lo verás.

Quizá edj (reseller español de avast) tenga una mejor alternativa para tu caso.

@Jwind.

El procedimiento de Populous usando aswMBR.exe fue para identicficar el rootkit y saber un póco mas de las particiones de tu ordenador.

Si te fijas bien el la particion 1 son 10 GB de archivos NTFS y es donde compaq pone un clase de servicio de diagnostico para correrlo en tu ordenador el 00 significa que esta escondido. La particion 2 es donde instalas tu sistema operativo y es de 142 GB. El 80 quiere decir que esa particion esta activa. Ahora biene lo bueno. Populous penso que la particion 3 era alguna clase de punto de restoracion que ciertas compañias como Conpaq o DeLL hacen para volver a restaurar el equipo a una configuracion como vino de paquete ( cuando la prendistes por primera vez ), pero si te fijas esa particion solo tiene 1 MB, o sea que solo es el rootkit. Yo podria decirte que formatearas esa particion o la eliminaras entrando en Administrador de disco pero no seria bueno sin un vistazo a todo tu sistema para estar seguro que no tienes nada mas y ahi es que entra el consejo de Ady4um

Es mejor si entraras aqui:

http://forum.avast.com/index.php?topic=53253.0

Bajas Malwarebytes’ ( que es bueno tenerlo para una segunda opinion ) lo actualizas y haces un barrido rapido. OTL ( para un scan y saber que mas tiene tu ordenador ) y aswMBR ( que ya lo tienes y su escan tambien ) guardas sus logs.

Habres un topico nuevo aqui:

http://forum.avast.com/index.php?board=4.0

como " Disk 0 Partition 3 INFECTED MBR:Alureon-K [Rtk] "

y anexas los logs que guardastes, Malwarebytes’, OTL, aswMBR ( cuando hagas el topico abajo a tu izquierda en azul " Attachments and other options " ). No copies y pegues. Los anexas.

Si necesita sayuda alla yo te ayudo.

Disculpen el doble post pero anoche tuve problemas con entrar en el foro, y por alguna razon se repitio mi respuesta de arriba.

Hola de nuevo Jwind!

No hay de qué, aquí estamos para ayudar :slight_smile:

Parece ser que tienes un bichito en tu pc! :o; bueno, que no cunda el pánico! :wink:

Efectivamente tal y como te comenta el compañero Iroc9555 mi intención era descubrir el tipo de rootkit que te había infectado y saber un poco más sobre las particiones que tiene tu HD.

La partición nº1

00:30:05.421 Disk 0 Partition 1 00 12 Compaq diag NTFS 10244 MB offset 63

Esta partición corresponde a la imagen del sistema para restaurar tu pc a los valores predeterminados de fábrica como el día que encendiste el PC por primera vez como te comenta Iroc9555. Mira el manual de tu portatil el apartado donde diga “Restaurar Sistema a valores de Fábrica” con Acer Recovery Managment. Esa herramienta que suelen incluir los ACER y los PB restaura todo tu pc al estado original del día de la compra tomando como fuente la imagen almacenada en esta partición. Te digo que mires eso porque igual restaurando el sistema con esta herramienta eliminas el rootkit ya que esta herramienta antes de restaurar el sistema, ELIMINA TODAS LAS PARTICIONES que tiene tu disco duro y las vuelve a crear y a formatear. Acto seguido empieza a restaurar el sistema y al finalizar y tras un reinicio tendrás tu PC como el primer día que lo compraste sin el rootkit ni ningún tipo de malware… Consulta esto en los manuales que te trajo el netbok ya que sería una buena solución.

La partición nº2

00:30:05.453 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 142381 MB offset 20981760
está establecida como la primaria y activa y es la que contiene tu Windows y tus datos.

La partición nº3

00:30:05.484 Disk 0 Partition 3 00 17 Hidd HPFS/NTFS NTFS 1 MB offset 312578048
00:30:05.500 Disk 0 Partition 3 INFECTED MBR:Alureon-K [Rtk]

Si te fijas tiene un tamaño de 1MB, está oculta y es la que te detecta que contiene el rootkit. Esa es la que “manualmente” podrías eliminar pero es lo que desde un principio te he dicho que NO RECOMIENDO hacer si no sabes lo que estás haciendo.

Tal como te indiqué en mi primer post, y como te indicaron a su vez Iroc9555 y Ady4um, debes crearte un hilo en el foro de Viruses & Worms y que ellos te indiquen la forma más apropiada para eliminar ese molesto rootkit!

Disk 0 Partition 3 INFECTED MBR:Alureon-K [Rtk]

Tal como te comenta Iroc9555, esa partición de 1MB no es otra cosa que el propio rootkit y el nombre, ahora si, es un Rootkit de la familia “Alureon”. Eliminando con el Administrador de Discos de windows u otra herramienta similar esa partición eliminarías el rootkit pero si no eres un usuario avanzado, no te lo recomiendo ya que podrías eliminar por error otra partición y perder todos los datos de tu disco duro. Aunque esa sería la forma “BRUTA” de eliminar el bicho, hazlo mejor con la herramienta que te indiquen en el foro de “Viruses &Worms” para quedarte tranquilo de que no queden restos del rootkit en alguna otra partición.

Cuando tengas los resultados de los análisis del MBAN pegalo aquí para ver si tienes alguna otra infección grave en tu sistema pero no dejes de abrir un hilo en Viruses & Worms!

Encontré un poco de información acerca de Alureon-K

Alureon.K permite acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.

Método de Propagación

Propagación a través de recursos compartidos de red:

Alureon.K comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas.

Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Fuente: http://www.pandasecurity.com/spain/homeusers/security-info/203339/information/Alureon.K

Un saludo y ya nos cuentas! :slight_smile:

Yo entiendo que demasiadas voces pueden generar más confusión. Voy a comentar sólo 2 cosas, y el resto lo dejo para que leas las respuestas anteriores.

1_ Si acaso ejecutas un “Factory Default”, debes tener primero un backup de tu información!!! El procedimiento borra toda la información previa.

2_ (Re)formatear NO limpiará tu sistema. El virus seguirá allí después del formateo.

Hola y gracias a todos por vuestro interés

Paso a colgar todos los reportes, de aswMBR, de MBAM y de OTL (Y así lo pruebo como colgar cosas)

Pasando al tema de eliminarlo, no me es ningún problema dejar el ordenador como cuando lo compré. no tengo ninguna información, está totalmente vacío ya que tengo una copia de seguridad completa. así que si hay que restablecerlo, se hace. Pero el 2º consejo de ady4um me preocupa.
En cualquier caso, si hubiera alguna manera segura de dejar mi ordenador totalmente limpio y eliminar el virus consigo, repito en que no me supone ningún inconveniente. si no, tendré que comentar en el foro que me indicáis, ya que parece que el tema es más complejo de lo que parece.

Muchísimas gracias a todos, y sigo esperando alternativas antes de tener que pasarme al foro en inglés donde seguro que me costará más desenvolverme, ya que mi nivel en inglés tampoco es muy bueno que digamos…

Jwind.

Mira como tu dijistes que habias formatado tu laptop y el rootkit todavia estaba ahi fue porque el formateo fue la particion 2 y como vistes el rootkit esta en la 3. de todas forma puesto que no hay un removedor de malware certificado en el foro de español seria unetico que te dijeramos que hacer. Tus logs salieron bien te recomendamos que abras un nuevo topico como te dijimos en el foro de viruses and worms. No te preocupes que podemos ayudarte con la traduccion.

suerte.

PS: Lo que si vi en el OTL es que tienes instalado Panda security o rastros de el. Ya que estas usando Avast! te recomiendo que uses la herramienta de desinstalar Panda ( 29a, b, o c ) de aqui para que quites todo rastro de el y no interfiera con Avast!

http://singularlabs.com/uninstallers/security-software/

Hola de nuevo Jwind!

He mirado tus logs y está todo correcto salvo en uno que indica claramente la detección del rootkit en la partición nº3.

Para que comprendas lo que le ocurre a tu ordenador voy a explicarte un par de cosas ok?

Un disco duro (HD) normalmente se utiliza para almacenar datos, esto son documentos, fotos, videos, etc y el propio sistema operativo, Windows.

Cuando tu “Reinstalas” formateando el ordenador y resinstalado windows y todos tus programas se elimina TODO el contenido del disco, incluido virus, rootkits y demás malware.

Pero ocurre que los discos duros pueden a su vez “DIVIDIRSE” por así decirlo en varias partes que es lo que se conoce como particiones.

Por ejemplo:

Imagina que tu netbok tiene un HD de 200 GB y su letra es la C: Pues tu ese disco podrías divirdirlo en 2, 3 ó cuantas partes quieras y windows le asignaría una letra de la unidad. Si divides tu HD en dos, tendrías dos discos de 100GB cada uno, y si haces clic en MI PC /EQUIPO verás que aparecerán dos discos; el C y el D. Si lo divides en 3 partes por ejemplo en una parte de 100GB y dos de 50GB quedarían disco C, D, y E… Y así sucesivamente…

En tu caso el fabricante ACER antes de venderte el ordenador,dividio el disco duro (HD) 2 partes. En una de ellas puso una copia de seguridad de Windows y tus drivers (particion 1 - Oculta) y en la otra puso el Windows (particion 2 y ACTIVA que es de la que arranca el ordenador).

Pero, ¿Qué ha ocurrido?

Pues que un bichito ha creado otra “parte” ó “partición” de forma “oculta” y se ha metido dentro… Entonces si eliminas ESA PARTICION OCULTA Y NO OTRA (ELIMINAR SU CONTENIDO Y LA PROPIA PARTICION) Ó LA FORMATEAS (BORRAR SU CONTENIDO) si que se elimina el rootkit pero si te equivocas haciendo esto puedes borrar por error otra partición (otra parte) del disco… No sé si me explico… Yo te decía lo de utilizar una herramienta específica para eliminar rootkits porque es un proceso automático y muchísimo más sencillo que si lo haces manualmente eliminando particiones ó formateando discos y particiones…

Lo mejor es lo que te comenta Iroc9555, y es que abras un hilo en el foro de Viruses & Worms y si tienes problemas con la traducción nosotros te ayudamos.

Nosotros podríamos decirte la forma de eliminar ese rootkit de forma 100% segura y permanente pero seguramente te liaríamos mucho más y ya existe un foro específico para ayudar a los usuarios con las infecciones que está conducido por especialistas de Avast y es por ello que no debo implicarme más y espero sepas comprender mi postura. Es por así decirlo, no meterme donde no me llaman… Pues se podrían sentir ofendidos en ese foro ó pensar que si nosotros no trabajamos para ellos, es decir, para Avast, porqué estamos dando instrucciones de desinfección de malware cuando realmente eso deberían hacerlo ellos… :-\ Es que este foro es de usuarios de Avast no de personal de Avast pero mucha gente eso no lo sabe…

Hemos analizado tus logs (eso si lo podemos hacer) y efectivamente estás libre de virus y spyware pero tienes un rootkit oculto y eso es algo serio que debes eliminar cuanto antes.

Un saludo y ya nos cuentas!

Hola

My apologies if it does not make to much sense as I am using Bing to translate

Mis disculpas si no tiene mucho sentido como estoy usando a Bing para traducir

Do the following: [b]Start[/b] -> [b]Run[/b] type [b]diskmgmt.msc[/b] Click "[b]OK[/b]"

Disk Management will open.

Click and hold the right side of the Disk Management Window and drag it to the right until you can see all the columns.


Siga este procedimiento:
Inicio - > ejecutar
Escriba diskmgmt.msc
Haga clic en “Aceptar”

Administración de discos se abrirá.

Haga clic y mantenga el lado derecho de la ventana de administración de disco y arrastre hacia la derecha hasta que pueda ver todas las columnas

Right click the 1Mo partition and select delete
Haga clic en la partición 1Mo y seleccione Eliminar
Reboot and run aswMBR again posting the log
Reiniciar y ejecutar aswMBR volver a registrar el registro

@Jwind,

[SPANISH]
Por favor sigue las indicaciones de essexboy. Las está publicando en inglés y traduciendo al español. No podrías obtener mejor ayuda :D.

Aclaración: en donde dice “1Mo”, se refiere a la partición de 1MB que fue reportada por “aswmbr”. Ten cuidado de elegir la partición correcta!!!

Ante cualquier duda, consulta antes de actuar. Reporta nuevamente.
[/SPANISH]

[ENGLISH]
In short: Please follow essexboy’s instructions. If in doubt, ask before acting.

Thanks essexboy for your help 8)
[/ENGLISH]

Thanks essexboy for dropping by. I imagene that Ady4um called you in. Thanks to you too.

@ jwind

Despues de eliminar a particion 3 ( 1 MB ). Reinicia la laptop y ejecuta nuevamente aswMBR.exe y anexa el nuevo log para que Essexboy le de un vistazo.

Rootkit ELIMINADO!!!

Muchísimas gracias a todos por vuestra colaboración, pero desde luego la inestimable ayuda de essexbox fue fundamental. Aun así te entiendo perfectamente populous, yo habría actuado de la misma manera :wink: y tu explicación me aclaró perfectamente los conceptos que no entendía sobre el disco duro.

En cuanto al problema, totalmente eliminado. al borrar la partición donde se encontraba el rootkit, desapareció totalmente del sistema. Ya no sale la ventana emergente de Avast, y al hacer su análisis, está limpio. He vuelto a pasar aswMBR y lo cuelgo para que le echéis un vistazo.

Desde luego, ya sé donde volver si tengo problemas con bichitos… aunque espero que no tenga que volver en mucho tiempo ;D

[English]
For essexbox:

Thank you so much for your invaluable help. The solution has been very clear and simple, and the result has been perfect. if I have problems with viruses in the future, I know where to return. I leave the aswMBR report to have a look
[/English]

P.D.: Iroc9555, desinstalé totalmente panda (intento fallido de intentar eliminar el maldito virus, pero ni siquiera lo detectó ???) y ya me ha quedado claro que Avast! es el mejor antivirus

Me alegro mucho que ya no te salga la alerta pero deja que Essexboy de su opinion. Puede que te pida un reporte nuevo de OTL y te de algunos codigos para limpiar algo que haya visto el. Yo no lo creo puesto que acabas de instalar XP pero como te dije yo no soy certificado en remover malware aunque lo que essexboy te dijo fue lo mismo que Populous y yo deducimos. Tambien te dira como desinstalar OTL y aswMBR.exe.

Saludos.

[ENGLISH]
@essexboy,

Thanks for your help. I think the situation is resolved now. If the reply from Jwind for whichever reason is not complete enough (or if it was not clear enough in any detail), please don’t hesitate to request any additional info, log, detail, clarification…

Thanks again.
[/ENGLISH]

[SPANISH]
@Jwind,

No es recomendable tener 2 antivirus residentes simultáneamente. Luego de des-instalar los otros (como el que ya mencionaste), sería conveniente seguir las instrucciones respectivas a cada programa para remover los posibles remanentes. Busca los antivirus que hayas tenido anteriormente en la siguiente lista y lee la información relevante a cada caso (cada programa) para que puedas remover remanentes. http://singularlabs.com/uninstallers/security-software/
[/SPANISH]

Hola de nuevo Jwind! :wink:
Gracias por entender mi posición y recuerda mantener siempre tu Avast actualizado.

Por otro lado, te recomendaría que leyeras un post que el compañero Iroc9555 publicó hace unas semanas sobre una serie de consejos para mantener tu pc a salvo de malware…

Está dividido en dos partes debido a su extensión. Léelo hasta el final ya que es bastante interesante. :wink:

¿ Que Puedo Hacer Para Mejorar Mi Seguridad ? Parte I
¿ Que Puedo Hacer Para Mejorar Mi Seguridad ? Parte II

Un saludo!

Bueno. No se que paso con una topico que hice contestandole a jwind, pero lo voy a repetir.

Me alegro que Avast! ya no te de la alerta. Pon atencion que essexboy puede que te pida un reporte nuevo de OTL con codigos para eliminar algo que el haya visto que no le guste. Sino, el te dara instrucciones de como desinstalar OTL y aswMBR.exe.

Saludos.

Apologies for it being in English

Subject to no further problems :slight_smile:

I will remove my tools now and give some recommendations, but, I would like you to run for 24 hours or so and come back if you have any problems

Now the best part of the day ----- Your log now appears clean :thumbsup:

A good workman always cleans up after himself so…The following will implement some cleanup procedures as well as reset System Restore points:

Run OTL
[*]Under the Custom Scans/Fixes box at the bottom, paste in the following

:Commands [resethosts] [emptytemp] [CLEARALLRESTOREPOINTS] [Reboot]

[*]Then click the Run Fix button at the top
[*]Let the program run unhindered, reboot the PC when it is done

Run OTL and hit the cleanup button. It will remove all the programmes we have used plus itself.

We will now confirm that your hidden files are set to that, as some of the tools I use will change that
[*]Click Start.
[*]Open My Computer.
[*]Select the Tools menu and click Folder Options.
[*]Select the View Tab.
[*]Under the Hidden files and folders heading select Do not show hidden files and folders.
[]Click Yes to confirm.
[
]Click OK.

Now that you are clean, to help protect your computer in the future I recommend that you get the following free programmes:

http://img233.imageshack.us/img233/7729/mbamicontw5.gif
Malwarebytes.

Update and run weekly to keep your system clean

Download and install FileHippo update checker and run it monthly it will show you which programmes on your system need updating and give a download link

It is critical to have both a firewall and anti virus to protect your system and to keep them updated. To keep your operating system up to date visit
[*]Microsoft Windows Update

To learn more about how to protect yourself while on the internet read our little guide How did I get infected in the first place ?Keep safe :wave: