W32.Spybot | Backdoor.IRCBot | PWSstealer

Fuente
Download SDFix.exe.
Double click SDFix.exe and it will extract the files to %systemdrive%
(Drive that contains the Windows Directory, typically C:\SDFix)

Then reboot your computer in Safe Mode

• Choose your usual account with administrative rights
• Open the extracted SDFix folder and double click RunThis.bat to start the script.
• Type Y to begin the cleanup process.
• It will remove any Trojan Services and Registry Entries that it finds then prompt you to press any key to Reboot.
• Press any Key and it will restart the PC.
• When the PC restarts the Fixtool will run again and complete the removal process then display Finished, press any key to end the script and load your desktop icons.
• Once the desktop icons load the SDFix report will open on screen and also save into the SDFix folder as Report.txt
• Launch Hijack This.

-----------------------------------------------
Alternative method:
0. disable system restore
1. disable winsystems16 with task manager
2. remove winsystems16 from startup processes
3. disable system resotre
4. delete winsystems16.exe
5. delete winsystems16.exe from system registry entries
6. delete any startup files of size 0 bytes
7. reenable system restore

=========================
Fuente
La utilidad SDFix (sólo para Windows 2000/XP) es capaz de eliminar los siguientes tipos de troyanos:

• Backdoor.IRCBot y variantes.
• Todas las variantes del troyano Ranky.
• Troyanos W32.Downloader, Proxy, Backdoor, PWSStealer/Keylog.
• HackerDefender/SpamBot.
• Trojan.RootKit Components.

Andy Manchesta nos da una amplia descripción de lo que puede eliminar la utilidad SDFix en este enlace, basándose en cómo se manifestarían los síntomas de esos troyanos en un log del programa HijackThis.

*NOTA: Algunos antivirus y/o programas anti-malware detectan el proceso process.exe" como malicioso Mis Documentos o carpeta donde has descargado "SDFix\SDFix.zip\SDFix.exe\Process.exe" y en "C:\SDFix\apps\Process.exe" (Risktool.Win32.Processor.20) Debes ignorar esas alertas y desactivar el antivirus temporalmente para permitir que SDFix lleve a cabo el proceso de desinfección.

• Haga doble clic en el archivo SDFix.exe y que va a extraer los archivos en %systemdrive%
• (Esta es la unidad que contiene el directorio de Windows, normalmente C:\SDFix).
• NO lo use todavía

• Inicia su PC, en "Modo a prueba de fallos" (modo seguro)

• Abra la carpeta C:\SDFix y hágale doble-clic sobre el archivo "RunThis.bat".

• En la pantalla en modo MS-DOS (modo con símbolo del sistema), teclea "Y" para empezar la ejecución del programa. Aparecerá una ventana mostrando los siguientes textos:

Please wait...
"Checking Running Processes"
"Checking Running Services"

Se eliminarán todos los servicios (entradas 023 del log de HijackThis) relacionados con el troyano en cuestión y se realizarán las reparaciones pertinentes en el registro del sistema.

• Cuando haya terminado, presiona cualquier tecla para reiniciar. Notarás que el sistema tardará algo más en reiniciar.

Esto es normal.

• Cuando el PC haya reiniciado, aparecerá una ventana indicando lo siguiente:

"Stage Two"
"This may take 4-5 Minutes..."
"Please be patient as this may take a few minutes..."
"Checking for Remaining Files and Services..."

Se paciente y espera a que transcurran los 4 ó 5 minutos necesarios para completar el proceso de desinfección.
Por último, aparecerá la ventana "The FixTool has finished".

• Presiona cualquier tecla para finalizar el script y cargar los iconos del Escritorio normalmente.

Se habrá generado un informe detallado "report.txt" en la carpeta C:\SDFix indicando los resultados de la limpieza y eliminación de los troyanos detectados, así como cualquier referencia de los mismos en el registro del sistema.

Para que el antivirus y/o programa anti-spyware no sigan alertándote, elimina las carpetas "SDFix" en las ubicaciones mencionadas anteriormente: Mis Documentos o carpeta donde descargaste "SDFix" y C:\SDFix.