Global
Argentina
Chile
Colombia
España
México
Perú
Uruguay
Venezuelaquitar virus winlogon.exe y aglunos estragos
Primeramente me remito al post de un taringuero amigo:http://www.taringa.net/posts/info/9420785/Mi-experiencia-con-el-virus-winlogon_exe.html
En el veo que muschas personas se prefieren la formateada pero que pasa si no podemos repaldar la información.
Primero que nada les digo que he llegado a vivir en armonía con los estragos que no puedo recuperar de este virus, algunas cosas si puedo hacer que funcionen y otras cosas no sé si estaban así o si las solucioné, pero como les digo puedo vivir con ello o al menos hasta que puedas respaldar la información y luego formatear.
Requerimientos [propios]:
-> una distribución de linux en modo live (ya sea cd o usb, les recomiendo usb ya que es más rápida la carga y el funcionamiento). Para este caso voy a usar linux mint 11 "Katya":http://www.linuxmint.com/download.php
-- haciendolo live en usb ya sea con: http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/
-- o con:http://www.linuxliveusb.com/en/download(Este hay que instalarlo pero está más chido)
-> el ccleaner (es algo opconal pero nos ayuda con los registro de uan manera superficial y más rápida)http://www.piriform.com/ccleaner/download
-> el tune up, de hecho el editor de registro del tune up, o cualquier editor de registro de tu preferencia
si se me olvidó un requerimiento saldrá a la luz en los pasos
Pasos:
-> iniciar la computadora en modo live de linux: meter el cd/usb y bootear (iniciar la compu) desde ese dispositivo.
-> en mi caso al interfaz de linux mint es algo agradable y parecida a windows asíque... Ve al botón de inicio (izquierda abajo) y luego ve a computer, ahí verás al menos un disoc que dice file system, otro con la capacidad de tu computadora y el cd (algo parecido), entra al disco duro de la computadora donde tienes windows.
-> dirigete a la direccion "disco duro/Document and Settings/" para windows xp y, "disco duro/users/" para windows vista y posteriores; recalco ques por medio de doble click, como lo hacemos en windows.
-> viene el primer paso más largo, como verás, en estos directorios tienes una carpeta por cada usuario de windows; tu, administrador (administrator), networkservices... etc. Pues entra a cada una de esas carpetas y busca el winlogon.exe al menos en las sigueintes direcciones (puede estar en mas direcciones por eso te digo que es largo) de la carpeta de cada usuario, si no están esas carpetas pues que bien (en inglés o español):
-- /appData/roaming, microsoft/windows/start menu/programs/startup/
--/numerosalazar/
y en otra carpeta:
-- discocuro/programData/microsoft/windows/start menu/startup/
-- ejemplo de ambos --
"discoduro/users/noba/appdata/roaming/microsoft/windows/start menu/programs/startup/winlogon.exe"
"discoduro/programdata/microsoft/windows/start menu/startup/winlogon.exe"
al hacer esto ya hemos borrado el maldito virus/malware, recuerda hacer la busqueda exhaustiva en las carpetas de los usuarios que te mencioné antes.
-> Ahora vamos a iniciar windows a prueba de fallos (apagamos al computadora: boton de al izquierda inferior, buscamos quit y shutdown) quitamos el medio en el que usamos linux mint y encendemos la computadora (si es cd/dvd puedes meterle un alambrito en en aguejero que tiene cerca de la carcasa de salida del disco o antes de que cargue desde el dispositivo lo sacas y ya) presionando f8 (creo y seleccionandolo del menu que se despliega)
-> iniciamos el editor del registro (en mi caso el de tuneup) y buscamos la siguiente clave y lso valores mostrados los dejamos así:
[HKEY_CURRENT_USER\Software\Microsoft\windows script hostsettings]
"enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host]
"enabled"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PoliciesSystem]
"DisableRegistryTools"=dword:00000000
-> ahora podemos hacer uso de scripts de javascript y visualbasic script, luego:
[HKEY_USERS\S-1-5-21-1691238671-190509866-3881606427-1000\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000000
-> ahora podemos usar el msdos, si no encuentras esas claves, busca lo que está entre comillas y ya
-> ahora viene mi favorita, ve a la siguiente dirección en el registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
-> veras una enorme lista de subclaves o carpetas con dos valores (default y debugger) pues lo divertido es que, por cada una de esas subcarpetas debes de borrar la clave debugger, esto se hace seleccionandola y presionando suprimir/delete, que se yo, usa tu mejor tecla..jajajaj, pero cuidado que son cerca de 700 u 800 no recuerdo bien. Que logramos con esto, pues bien, muchas de las personas del post del compañero se quejaban de que no podían ejecutar el administrador de tareas, o instalar por ejemplo el opera, o no podína iniciar el nod32 o uno de sus módulos, pues bien, según tengo entendido en estas claves del registro están enlistados los nombres reales de las aplicaciones que tenemos trabajando en la computadora o que trabajan en el momento que les damos click para iniciar, por ejemplo, pero el valor debugger nos dice que en vez de que iniciemos la aplicacion en sí, mejor la detengamos y abramos la aplicacion que está como valor del debugger, en este caso estaba "C
ocuemtns and SettingsnobaEDIUY68683winlogon.exe" (es un ejemplo a mi me apareció así, no sé como les halla aparecido a ustedes), en otras palabras, en ves de ejecutar nuestra aplicacion, ejecutabamos el virus en sí.
ya que tengamos eso terminado, vamos a la tienda, recobramos nuestra vida por un rato, nos tomamos un chesco o agua de jamaica...(o hagan lo que quieran) y regresamos a la siguiente parte.
-> Si intentamos abrir el explorador nos diría que la dirección de inicio es http://muchasletrasynumeros.directorio-w.com, pue sbien, para arreglar eso, ahora vamos a las siguientes claves y modificamos para que queden los siguientes valores así:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\MAIN]
Default_Page_URL="http://www.google.com"
Default_Search_URL="http://www.google.com"
Local Page="http://www.google.com"
Search Page="http://www.google.com"
Start Page="http://www.google.com"
[HKEY_USERS\S-1-21-1691238671-190509866-381606427-1000\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL="http://www.google.com"
Default_Search_URL="http://www.google.com"
Local Page="http://www.google.com"
Search Page="http://www.google.com"
Start Page="http://www.google.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL="http://www.google.com"
Default_Search_URL="http://www.google.com"
Local Page="http://www.google.com"
Search Page="http://www.google.com"
Start Page="http://www.google.com"
Start Page Redirect Cache="htpp://www.google.com"
no se si sepan mucho inglés o sean o sepan mas que yo, pero los nombres de los valores son más que explicativos.
-> ahora para ver los archivos (opciones de carpeta) con el siguiente registro:
[KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden]
"Type"="group"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000002
"DefaultValue"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
"DefaultValue"=dword:00000002
-> IMportante, hacer esos pasos de los registros por todos los usuarios que tengamos en el sistema, si todos, si tus cuentas con 20, hacerlo por cada uno. ya que hallamos acabado, prosigue con limpiar los archivos temporales de internet y cosas inutiles ya sea con el tuneup mismo o con el ccleaner; Actualiza tu antivirus y reescanea a ver que otras cosas salen jajaja... lo malo es que ni window ni ningun antivirus pueden arrreglarte el registro a como estaba antes que el virus por eso te remcomiendo que despés de una ionstalación limpia de windows con tos cosas preferidas hagas un respaldo del registro, abre tu editor (el del tuneup o el de windows mismo: regedit32) y en archivo escoge exportar le das a todo o completo y esperas un ratico.
-> No se si se hallan arreglado todos los estragos pero al menos ya podemos respaldar información y formatear, si tu vida es internet pues te recomendaría el uso de linux, pero es tu desición, lo unico que no me gusta de linux, es que extraño el atubecatcher, el office 2007, y los problemas con las broadcom y nVidia, por lo demás está bien para mí.
-
0Seguidores
-
3.514Visitas
-
3Favoritos
¿Seguro que deseas bloquear a este usuario?
¿Seguro deseas procesar este post?
14 comentarios
la mia = anda de 10 mi pc y con ese supuesto viruz
es un ejecutable del sistema, un archivo de sistema
se encarga de ofrecer la interfaz de usuario para iniciar sesion en Windows...
no toquen si no saben.
http://www.virustotal.com/
cuando abrimos una de las aplicaciones que se encuentran en el directorio del registro "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" se virus hace lo deses puesto se ejecuta en vez de la aplicación, por ejemplo, si queremos arrancar el nod (quienes lo tengan) se ejecutará el virus en ves del nod, porque en el directorio del registro de arriba viene que se ejecute el virus en vez de la aplicacion o componente del nod, el egui y ekrnel (o algo así)
Aqui estan dando una posible solucion a los q hayan sido infectados por este virus.
por cierto, gracias por el aporte @Infribi ... no tengo puntos sino te daria
si te sirve, me alegra el poder haber ayudado
Nunca habia visto un virus tan agresivo como este en menos de media hora no pude usar mas nada todos los programas funcionan mal o simplemente no funcionan increible voy a pasar 24 de diciembre preocupado por esto, la gente que se dedica a crear virus son unas putas lacras como me gustaria reventar a golpes al HDP que se le ocurrio inventar este virus.
de nuevo......
no les digo que soy un super experto de la computación y espero que no tengan qyue hacer lo que yo hice para poder realizarle ese trabajo a mi padre en la computadora que como les digo, en ese entonces no contaba con unidades de formateo externo y no podia formateala asi como asi...... ese entre otros archivos del sistema, son modificados o cambiados por virus (gusanos, troyanos, etc....) que cuendo el usuario o la computadora los ausa (abre o ejecuta) el virus se activa en su lugar haciendo una infeccion recurrente. el winlogon.exe es un archivo o aplicacion del sistema operativo windows, cuando un virus determinado infecta tu computadora (en este caso no se como se llama exactamente el virus pero lo tomams como ejemplo) lo que hace es que copia el winlogon.exe lo pone en otro lugar, borra el original, crea una copia exacta del winlogon.exe, pero esta vez con codigo, tareas o rutinas propias del virus y lo reemplaza para que cada que sea usado el winlogon.exe se ejecuten las rutinas del virus y se propague la infeccion, te reto a que intentes cambiar un archivo.exe esencial del sistema te va a decir que algunos archivos han sido cambiados y que necesita REINICIARSE PARA QUE SURTAN EFECTOS LOS CAMBIOS pues es ahi cuando el nuevo archivo va a ser usado en vez del original.... arroz.... jajaja, pero en serio es mas o menos asi como funciona la infeccion en las computadoras, incluso con muchas infecciones no te dice nada, solo te reinicia la computadora y no sabes por qé???