Si puede ver el proceso e incluso finalizarlo, no se está protegiendo demasiado bien. Incluso si la única forma de estar seguro de erradicar el virus es volver a instalar , es probable que la infección no sea técnicamente muy avanzada y se pueda eliminar con " "certeza razonable".
Supongo que ya lo intentaste con Restaurar sistema y no tuviste suerte. Si no lo intentó, verifique si puede revertir el sistema a un estado anterior a la infección. Si pudieras, eso sería algo que querrías probar (pero mira en la parte inferior una advertencia).
De lo contrario, comience por tomar una herramienta como Process Explorer y muestre el árbol de procesos después de limpio (bueno, sucio ...) reiniciar. Podrás ver el proceso scvhost
y su padre. Por lo general, este truco de 'reinicio' se administra a través de la interfaz del servicio, o mediante dos programas diferentes que se "cuidan" entre sí, reiniciando a su compañero tan pronto como lo vean.
Así que primero compruebas el objeto scvhost.
Si su principal es un binario "desconocido", que no forma parte del sistema Windows, puede "suspender" tanto el principal como el secundario. Ninguno reaccionará, ya que no mataste a ninguno (todavía). Si el padre es "services.exe" (y es el real services.exe), entonces su infección se ha disfrazado como un servicio y usted solo debe suspender al niño.
En el escenario de servicio, abra la Consola de servicios , configúrela en "No reiniciar si termina" y deshabilítela. El servicio por lo que no se ejecuta en el arranque. Luego, finalice el proceso secundario (después de haber sido suspendido, no debería poder notar que se están cambiando las configuraciones y volver a cambiarlas), e intente reiniciar. Sin embargo, vea la nota en la parte inferior para una advertencia primero.
Si no era un servicio, busque en el disco el proceso padre (el Explorador de procesos generalmente le indica dónde comenzó el proceso). En estas configuraciones, el padre tiene las únicas tareas de lanzar al niño y supervisarlo, y tratar de no llamar la atención. Es posible que no encuentre el ejecutable secundario (incluso puede que no sea un archivo por sí solo), pero debería poder eliminar el elemento primario. Busque su nombre en los lugares habituales en el Registro (o también puede probar Autoruns ).
Antes de hacer esto, verifique que sí tenga una copia de seguridad actualizada de sus archivos de datos. Es concebible que la infección haya hecho que el sistema se haya vuelto inestable o que haya sido atrapado con explosiones, y esta eliminación bastante brutal podría desencadenar algo desagradable.