Hola amigos:

Tengo en mi PC un troyano llamado "hosts" que abre periódicamente una ventana de supuesta advertencia: 'Windows Security Alert'. La cierro haciendo clic en 'No' pero pasados unos 40 segundos vuelve a aparecer. Se aloja en c:\WINDOWS\system32\drivers\etc\hosts. El antivirus NOD32 detecta el troyano pero no puede eliminarlo. Si elimino manualmente el archivo la ventana sigue apareciendo y el archivo vuelve a crearse en la siguiente sesión.

Ya apliqué el antispyware L2M sugerido en este foro pero el problema persiste. No le he pulsado en el botón 'Si' pero si pulso la barra espaciadora al estar presente la ventana me manda a una página no encontrada.

¿Saben ustedes de otra forma para eliminar este troyano?

hola..

descargate y ejecuta el MsnCleaner para asi restaurar el archivo host.

luego realiza lo siguiente:
descargate el ccleaner (este es el manual) y lo usas en las opciones limpiador y luego en registro haciendo una copia del registro..
ahora haz un scan online en estas paginas en este orden que te estoy colocando

• ewido has click en remove infections, este es el manual
• panda este es el manual

recuerda usar internet explorer para pasar los antivirus.. si usas firefox puedes usar el Ietab
suerte recuerda colocar el log de Panda aqui para revisarlo..

Hola axl456,

Gracias por auxiliarme. Hice lo indicado y estos son los reportes:

***********
- Reporte MSNCleaner 1.3.1
- Reporte Creado: 09/09/2007 a las 22:42:32
- Sistema Operativo: Windows XP
- Modo de Inicio: Prueba de fallos con soporte de red
_________________________________________

Archivos detectados: 2
Archivos eliminados: 2
Archivos no eliminados: 0

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\autorun.exe <--- Eliminado
C:\WINDOWS\tasks\at1.job <--- Eliminado

Archivo Hosts restaurado
*****************

y del Panda

*******************
Elemento

c:\windows\system32\winavxx.exe
C:\WINDOWS\system32\printer.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\autorun.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\3autorun3.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\system.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\3system3.exe
C:\Documents and Settings\Administrador\Cookies\administrador@xiti[1].txt
C:\Documents and Settings\Administrador\Datos de programa\tmp102.tmp.exe
C:\WINDOWS\system32\2printer2.exe
C:\WINDOWS\system32\3systems3.txt
C:\WINDOWS\system32\3WinAvXX3.exe
C:\WINDOWS\system32\systems.txt
D:\BackUpMSNCleaner\autorun.exe.vir

*************

El troyano se sigue riendo de todo esto y se muestra la ventana. Anteriormente ya había eliminado los archivos que el Panda marca como infectados; pero vuelven a crearse. Me he pasado ya el fin de semana tratando de solucionar esto. Espero indicaciones.

hola...

realiza los pasos indicados en el siguiente tema:
Eliminar familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2009, SpyLocked

en el veras unas indicaciones donde se te manda a borrar unas entradas con Hijackthis, elimina lo que alli se te indica, y en caso de encontrarse estas entradas eliminalas tambien:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\2printer2.exe

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\3WinAvXX3.exe

O4 - Startup: 3system3.exe

O4 - Global Startup: 3autorun3.exe


luego de realizar todos los pasos realiza otro scan en panda y colocame el reporte..

Una observación, los números de los archivos marcados 3algo3 ó 2algo2 yo se los puse para poder eliminarlos, ya que si quedan tal como se crean no se dejan eliminar. Cambiándoles el nombre si los he podido quitar pero vuelven a crearse. Los que allí aparecen fueron renombrados por mi pero me olvidé borrarlos, por eso el Panda los identificó como infectados.

ahnn ok

en ese caso elimina esos archivos y realiza los pasos del enlace..

luego me colocas el reporte del panda..

si no se dejan eliminar usa Killbox o FileAssasin

Este es el reporte actual del Panda:

*****************
Elemento

c:\windows\system32\winavxx.exe
C:\WINDOWS\system32\printer.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\autorun.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\system.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\3system3.exe
C:\Documents and Settings\Administrador\Cookies\administrador@xiti[1].txt
C:\Documents and Settings\Administrador\Datos de programa\tmp102.tmp.exe
C:\WINDOWS\system32\systems.txt
D:\BackUpMSNCleaner\autorun.exe.vir
***************

Te decía más arriba que los números los puse yo para renombrar los archivos infectados, pero no los eliminé antes de pasar los antivirus, por eso los reportó el Panda.

Mientras escribía apareció la mencionada ventana de alerta y coincidió con la pulsación de la barra espaciadora, me mandó a esta dirección (con página inexistente:

"http://go.winantivirus.com/MTY2NjU=/2/6018/ax=1/ed=1/ex=1/133/"

hola..

el reporte del panda no lo estas copiando completo falta el encabezado del mismo, creo que no lo estas realizando bien ya que veo que no estas tardando nada en responderme y este analisis dura generalmente como 40 minutos
lee el manual del panda que en mi primera respuesta te coloque..
Elimina los Siguientes Archivos: ( Si no se dejan Eliminar usa Killbox o FileAssasin):
c:\windows\system32\winavxx.exe
C:\WINDOWS\system32\printer.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\autorun.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\system.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\3system3.exe
C:\Documents and Settings\Administrador\Cookies\administrador@xiti[1].txt
C:\Documents and Settings\Administrador\Datos de programa\tmp102.tmp.exe
C:\WINDOWS\system32\systems.txt
D:\BackUpMSNCleaner\autorun.exe.vir

para poder eliminar satisfactoriamente el archivo printer.exe debes de eliminar la entrada F2 que el HJT te muestra:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

como te indique realiza los pasos de este tema ya que estas infectado con un malware de la familia Psguard
Eliminar familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2009, SpyLocked

Hola,

La situación va mejorando, con el FILEASSASIN eliminé los archivos que me marcaste. Reapareció el systems.txt como reporta el Panda. La ventana de alerta YA NO SE HA VUELTO A MOSTRAR

Este es el reporte completo:

*************

Incidencia Estado Elemento

Spyware:Cookie/Xiti No desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@xiti[1].txt
Adware:Adware/WinAntiVirus2007 No desinfectado C:\WINDOWS\system32\systems.txt