Etiquetas

Eliminando Virus en Winlogon

Me encuentro en la necesidad (y encuentro la respuesta) de eliminar un virus que se aprovecha de nuestro proceso winlogon.exe. Lo siguiente no es para eliminar el archivo winlongon.exe ya que el mismo es un proceso necesario para Windows XP, si no que se trata de eliminar archivos "anclados" al mismos.
Introduccion
Winlogon.exe es un proceso utilizado por los creadores de virus para ocultarse.
Winlogon es el programa responsable de la autenticación de usuarios de windows. Este es el proceso que es responsable de mostrarnos la ventana de los usuarios al inicio de Windows.
Hay algunas razones por las que a los creadores de virus les encanta esconder sus creaciones en winlogon.exe:
  1. Es un proceso esencial del sistema, de forma que la mayoría de las personas no sospecharía de él ante una infección.
  2. No es facil matar/detener  a winlogon.exe. Incluso si nos la arreglamos para materlo, la máquina se colgara inmediatamente, mostrandonos un pantallazo azul.
Vamos a ver como quitar el virus del winlogon sin apagar la computadora o usar ningun disco de booteo para iniciar desde otro sistema que no sea nuestro windows afectado.
Herramientas Requeridas
  1. Sysinternals Process Explorer
  2. Un reemplazo al Explorer de Windows como es el FreeCommander( opcional )
Detección
El proceso es bastante fácil. Vamos a usar Process Explorer para listsar las DLLs cargadas junto con winlogon.exe.
La mayoría de las DLLs válidas, tienen una descripción y nombre de compañia. Si alguna no tiene esos datos, es muy probable que sea un virus. Para asegurarnos que es un malware, podemos buscar el nombre de la DLL en Internet y de acuerdo a los resultados sacar una conclusión.

Preparativos
- No es posible matar a winlogon.exe usando el Administrador de Tareas de Windows. De forma que usaremos la herramienta “Sysinternals Process Explorer” para matar a  winlogon.exe.
- Dado que este tutorial es para usuarios comunes, no explicare como eliminar el malware usando el command prompt (CMD). Para ello es que descargaremos un explorador de archivos como es “FreeCommander”  para navegar entre los archivos del sistema y eliminar el malware.
Eliminacion
1. Ejecutar FreeCommander.
2. Iniciar Process Explorer y matar Explorer.exe usando este programa. Matamos a explorer.exe porque muchas veces, explorer.exe también esta infectado. Así que por seguridad también lo detenemos…
3. Ahora procederemos a detener a winlogon.exe. Todo lo que tenemos que hacer es,  antes de mater a winlogon.exe, debemos matar a Smss.exe.
Hacemos esto, porque Smss.exe es un proceso que monitorea a winlogon.exe y es el que apaga la máquina cuando detecta que winlogon no está ejecutandose.
Luego de matar a Smss.exe, podremos matar de forma segura a winlogon.exe.4.  Luego que winlogon es detenido, podemos eliminar con seguridad al malware, y eso lo haremos usando a FreeCommander yendo a la ruta ya obtenida de mirar las DLLs maliciosas.
Eso es todo. Hemos eliminado un malware de nuestro sistema, sin utilizar ningun disco extra para hacer un booteo de otro sistema.
Etiquetas:

Comentarios

  1. Mx-Inside15 de junio de 2012, 9:48

    Muchas Gracias mi sirvio muchisimo..

    ResponderEliminar
  2. Skelen9 de julio de 2012, 9:12

    no se como usar el FreeCommander una ayuda con eso

    ResponderEliminar
  3. aWEBa1 de agosto de 2012, 8:06

    La verdad no veo complicacion en el uso del FreeCommander .... es simplemente un reemplazo del explorer (explorador de archivos de windows)

    ResponderEliminar
  4. Anónimo18 de agosto de 2012, 14:04

    La aplicación o DLL C:\WINDOWS\system32\.dll no es una imagen válida de Windows. Compruebalo esto contra su disquete de instalación.Error de interfaz de usuarioError al cargar la DLLmsgina.dll de interfaz de usuario de inicio de sesión. Póngase en contacto con el administrador de su sistema para reemplazar la DLL o restaure la DLL original. NO PUEDO ENTRAR AL ESCRITORIO MEDIANTE F8

    ResponderEliminar
  5. aWEBa20 de agosto de 2012, 17:09

    Presione F8 repetidamente mientras se empieza a reiniciar el equipo. Esto hará que aparezca el menú Opciones avanzadas de Windows.
    Utilice las flechas del teclado para seleccionar La última configuración buena conocida y presione ENTRAR.

    ResponderEliminar
  6. Unknown24 de septiembre de 2012, 18:54

    Mi antivirus me detuvo la instalación de Free Comander, marca virus informal malioso, ¿Qué hago?

    ResponderEliminar
  7. aWEBa26 de octubre de 2012, 12:53

    Daniel, la verdad que nunca he tenido problema con ese programa. No se si sea un falso positivo o no. Yo solo te puedo decir que lo uso y me ha ayudado en muchas situaciones donde no podia confiar/utilizar el explorer de windows y tampoco queria usar el cmd.
    Queda a tu criterio. Puedes si quieres como alternativa a tu antivirus, escanearlo con virustotal.com

    ResponderEliminar
  8. aWEBa26 de octubre de 2012, 12:55

    Ahhh por cierto no se instala, solo se ejecuta. Esa es una de las cosas que me gusta del programa que no es algo que instalo en las pcs que lo utilizo

    ResponderEliminar
  9. yoryo10 de enero de 2013, 21:14

    no uedo eliminar el smss.exe

    ResponderEliminar
  10. Unknown11 de septiembre de 2013, 23:53

    Ehm ya hice tods los pasos y logr borrar a winlogon per ahora mi computadora se reinicia constantemente no se que hacer

    ResponderEliminar

Publicar un comentario

Entradas populares