virus imposible de eliminar

buenas, tengo un gran inconveniente, tengo un virus malware o spyware que agrega código en mis paginas index y las modifica enviando información etc.
Hice de todo, formateo, anitvirus. antispayware, malware, de todo....
ha si do en vano....
cambie claves ftp, pedí al proveedor que me indique si el hosting estaba con virus (me dijeron que no), comprobé que esto sea cierto, de unas 10 paginas que tengo alojada en el servidor deje 6 sin agregar a mi ftp (utilizo filezilla) y en todas las que deje en mi pc se ejecuta este virus, las otras no por lo que razone que seria solo de mi pc.
las paginas index que se modifican las voy cambiando cada vez que aparece el problema.
en el ultimo ataque directamente me marca como que no existe la pagina. accediendo a mis ervidor he visto que crea un archivo .htacess . actualmente estoy lidiando con una pagina que mas halla que he modificado el código de la pagina idex, (la deje totalmente en blanco) me muestra la home anterior (pero esta ya no existe!!!) y me deriva a otra pagina.
Si entro directamente a www.misitio.com/index.html lo muestra bien pero entrando a http://www.misitio.com me salta el antivirus informándome del error y solicitando bajar un pdf. y pidiendo conexion a un sitio web con malware.
Tengo instalado el avast y zone alarm, tengo echo todos los pasos posibles, he pasado kapersky, dr. Cure web, ccleaner, malwarebites, y no se soluciona. Si alguien conoce o tuvo algun inconveniente similar se los agradezco.
Ah! tengo instalado el firefox, y el explorer 8 en windows xp con service pack 3

haber si puedo aclarar un poco mas el tema:
1 cuando fui a suspender restaurar.. note que estaba clcikeado "permitir que este equipo envie invitaciones de asistencia remota" es posible que me hallan modificado ese item para acceder a mi pc?
2 realize todos los pasos con el antimalware, superantispyware, etc etc superantispyware me detecto 8 problemas y luego de reinicira solo me detecta este archivo que no puedo eliminar y no se como eliminarlo o modficarlo :
HKU\S-1-5-21-2025429265-1078145449-685003330-500\Software\Microsoft\Internetexplorer\URLSearchH ooks#{E312764e-7706-43f1-8DAB-FCDD2B1E416D}
intenté eliminar el explorer 8 lo hice pero me quedo creo que el explorer 5 ahora.
espero alguna ayuda hace casi 4 meses que estoy lidiando con este problema desde ya muchas gracias.

Para saber si alguien esta accediendo a tu PC, conecta a internet, y sin abrir ninguna ventana en el navegador, abre una consola de comandos y escribe netstat -an.

Te debe mostrar todas las conexiones que tengas, comprueba si tienes alguna en estado listening o established y que tengan conexion con alguna direccion remota.

Si no estas actualizando nada, AV, soft, windows, no deberia mostrar ninguna direccion IP real. En caso que te muestre alguna conexion de ese tipo, posiblemente tengas algun troyano en tu equipo.

Siempre navego con Firefox+plugin NoScript que bloquea TODO tipo de script y codigo. Es algo incomodo porque siempre tienes que estar dando permisos, pero evita en gran medida la ejecucion de codigo remoto en tu PC.

Usa tambien ADwatch para visualizar cualquier movimiento en el registro.

Por supuesto actualiza tu AV diariamente.

Bueno, creo que tienes algunas pruebas que realizar, ya me cuentas como te fue.

Otra cosa que estaria bien, seria que revisaras desde msconfig todo lo que se ejecuta de inicio, y si ves algun programa o aplicacion extraña, deshabilitala.

en primer lugar gracias por la respuesta haciendo lo de cmd me tira el sigueinte detalle
http://www.junindice.com.ar/virus01.jpg

la captura no indica ningun puerto a la escucha ni conexiones establecidas, asi que troyano de conexion inversa no tienes ninguno.... siempre y cuando estes detras de un router. Si usas modem puedes estar expuesto a un troyano de conexion directa, osea es el cliente quien conecta con el servidor....


¿Has revisado el inicio con msconfig? ¿Has mirado en el registro que claves tienes en el inicio de programas al arrancar?

Estimado RunOnce te comento que a pesar de no mostrar nada el cmd tengo un gran problema, con un virus o troyano que se conecta aparentemente directamente con mi servidor, he modificado claves en el servidor pero sigue causando estragos: me modifica absolutamente todas las paginas html o asp agregando codigo que apunta a una pagina que tiene virus.
Limpie el registro, pase de todo y sigo con problemas en un pagina especifica.
Los cambios los realiza sin necesidad de estar conectado ya que he detectado que modificó paginas a pesar de que mi pc estaba desconectada.
Tengo speedy que trabaja si no recuerdo mal con un modem eternet para dsl. Con respecto al msconfig he revisado pero algunas cosas no entiendo, si he visto que no hay programas extraños ejecutandose, y lamentablemente desconosco calves del registro etc.

Estoy en serios problemas!!
Desde ya agradezco tu tiempo

Hay algo que no entiendo, si el servidor no lo tienes tu, sino una empresa de hosting, el problema lo tendras alli, no en tu PC.

Tu equipo lo unico que hace es subir archivos via web o ftp al servidor, entonces si tu PC lo has analizado y esta limpio, quizas el problema lo tenga la empresa que te da el alojamiento.

Yo creia que el servidor lo tenias tu montado en tu casa.

si eso lo habia mencionado al principio, hable con la gente del hosting y me dicen que no pueden ahcer nada ya que tengo en teoria el troyano en la pc.
Acceden al servidor via ip desde eeuu. Les solicite si habia alguna manera de bloquear ese acceso y me han respondido que solo si mi ip es fija, cosa que no asi que quede sin nada nuevamente. ellos (servidor) han revisado su servidor y me dicen que esta limpio.
EL tema es que tengo alrededor de 10 paginas alojadas con este hosting y en solo una pagina me queda el problema que cada dia se agrava mas, antes era solo la index, hoy son todas todas las paginas html o asp.

Pon un firewall en tu PC y comprueba si tienes conexiones salientes hacia tu servidor, si es cierto lo que dicen los propietarios del Hosting, deberias logear todo el trafico y poder detenerlo.

Es mas, deberias ver desde que IP o dominio se conecta el cliente a tu PC y ver su procedencia.

Sigo pensando que el problema no lo tienes tu, pero bueno hagamos pruebas a ver si cazas al supuesto infractor.