Eliminando Virus Winlogon.exe

Winlogon.exe es un proceso utilizado por los creadores de virus para ocultarse.
Winlogon es el programa responsable de la autenticación de usuarios de windows. Este es el proceso que es responsable de mostrarnos la ventana de los usuarios al inicio de Windows.
Hay algunas razones por las que a los creadores de virus les encanta esconder sus creaciones en winlogon.exe:

1. Es un proceso esencial del sistema, de forma que la mayoría de las personas no sospecharía de él ante una infección.
2. No es facil matar/detener a winlogon.exe. Incluso si nos la arreglamos para materlo, la máquina se colgara inmediatamente, mostrandonos un pantallazo azul.

Vamos a ver como quitar el virus del winlogon sin apagar la computadora o usar ningun disco de booteo para iniciar desde otro sistema que no sea nuestro windows afectado. Este virus esta diseñado en VB6, algo que detecte desde su analisis, puesto que trabajo con este lenguaje de programacion.
Herramientas necesarias
Winrar

Sysinternals Process Explorer

Un reemplazo al Explorer de Windows como es el FreeCommander( opcional )

Eset Smart Security o Antivirus V4
Detección
Primero usamos Winrar para ubicar el virus. esta en Documents and settings.
El proceso es bastante fácil. Vamos a usar Process Explorer para listsar las DLLs cargadas junto con winlogon.exe.
La mayoría de las DLLs válidas, tienen una descripción y nombre de compañia. Si alguna no tiene esos datos, es muy probable que sea un virus. Para asegurarnos que es un malware, podemos buscar el nombre de la DLL en Internet y de acuerdo a los resultados sacar una conclusión.

Preparativos

- No es posible matar a winlogon.exe usando el Administrador de Tareas de Windows. De forma que usaremos la herramienta “Sysinternals Process Explorer” para matar a winlogon.exe.

- Dado que este tutorial es para usuarios comunes, no explicare como eliminar el malware usando el command prompt (CMD). Para ello es que descargaremos un explorador de archivos como es “FreeCommander” para navegar entre los archivos del sistema y eliminar el malware.
Eliminacion
1. Ejecutar FreeCommander.
2. Iniciar Process Explorer y matar Explorer.exe usando este programa. Matamos a explorer.exe porque muchas veces, explorer.exe también esta infectado. Así que por seguridad también lo detenemos…
3. Ahora procederemos a detener a winlogon.exe. Todo lo que tenemos que hacer es, antes de mater a winlogon.exe, debemos matar a Smss.exe.

Hacemos esto, porque Smss.exe es un proceso que monitorea a winlogon.exe y es el que apaga la máquina cuando detecta que winlogon no está ejecutandose.
Luego de matar a Smss.exe, podremos matar de forma segura a winlogon.exe.4. Luego que winlogon es detenido, podemos eliminar con seguridad al malware, y eso lo haremos usando a FreeCommander yendo a la ruta ya obtenida de mirar las DLLs maliciosas. Despues pasa el antivirus Eset actualizado.

Eso es todo. Hemos eliminado un malware de nuestro sistema, sin utilizar ningun disco extra para hacer un booteo de otro sistema.

Comentar No Cuesta Nada

17 comentarios - Eliminando Virus Winlogon.exe

@MrPZS +3
muy bueno tu tutorial pero hay cosas que omites, hay ya variantes de este virus que no solo afectan el winlogon.exe, sino afectan el regedit.exe, taskmgr.exe, explorer.exe, etc. o sea muchoa archivos de sistema, asi que aunque se elimine el virus manualmente como aqui lo explicas, todavia queda el mal de que muchos procesos de windows ya no trabajan bien, por eso, hasta ahora no me ha quedado mas opcion que formatear los equipos contaminados con este virus.

habra que ver la forma que eliminarlo, pero tambien de restaurar los archivos que ya daño el virus.

salu2

MrPZS

p.d. ademas este tuto ya lo habia leido antes aqui: http://www.aweba.com.ar/seguridad/eliminando-virus-en-winlogon.html

a ver quien fue el que dio copy paste????
@hirosp
xd es verdad con el winlogon.exe se me va el regedit, el administrador de tareas y hasta el restaurar sistema
@robino10
alguna solucion!! aparte de formatear.
ya que este afecta el regedit, el taskmanger, restaurar sistema y quien sabe que mas.....
@robino10
alguna solucion!! aparte de formatear.
ya que este afecta el regedit, el taskmanger, restaurar sistema y quien sabe que mas.....
@KRISWOR
ok amigos yo tengo el virus en el disco d no me afecto el windoms porque tengo un deepfrezer pero como hago para eliminarlo dice que no puede porque esta ejecutando
y apenas abro el disco d se instala y me cambia muchas cosas de la maquina y me toca reiniciarlo otravez
@dxny700 +3
TE AMOOOOO ERES UN DESGRACIADO (EN BUEN SENTIDO KE ERES BUENO EN ESTOS TEMAS) ESTA COSA DE WINLOGON ERA EL VIRUS Y NO SE DEJABA BORRAR. pero hice esto y se fue a la mier**** gracias no se como dar puntos si me dcis te doy creo ke tengo 10 xD
@josse173
Hola, he probado tu solución pero no me ha funcionado aqui te comento como sali de esto hace muy poco.
Como bien dicen el winlogon.exe que me he topado me dejaba sin cmd, ejecutar, administrador de tareas, Registros, etc. No podía instalar nada, no servía de nada intentar un escaner oline ni siquiera en modo seguro con funciones de red. En modo seguro tampoco era posible pasar algún antivirus todo ejecutable o que tratase de limpiar el virus era cerrado bruscamente o aveces no ejecutaba.
Este winlogon.exe que he visto se crea dentro de una carpeta con nombre raro del tipo alfanumérico por ejemplo: 8323kjn1h2bhbgsk23l1. He visto que el winlogon de windows generalmente se encuentra en la carpeta System32 ese no debes tocarlo pero los demás winlogon.exe que veas elimínalo (ctrl+Shift+supr). Algo más... no uses el buscador que no va a encontrar este archivo así que tendrás que hacerlo manualmente, verás que con solo enviarlo a la papelera no es sufciente porque no podrás borrar ningún archivo, jajajja que dolor de cabeza.
Mi Caso:
La pc no permitía acceso a internet (el navegador se cerrada bruscamente), no podía ejecutar ningún *.exe que fuera un antivirus, dr web (inclusive) ni el nod32 online ni siquiera el tan reconocido ***, en resúmen estuve al límite de formatear la PC.

Como Solucione
===========

1.- Ayudandome de CCleaner (de milagro que instale cuando reinicie en modo seguro y fue el primer *.exe que ejecute) ubique dónde se encontraba el archivo del proceso winlogon.exe Cocument and settingsMiCuenta983773nsadhccwinlogon.exe probe en eliminarlo manualmente y no se dejaba incluso ni siquiera cambiar de nombre, claro este archivo estaba en la lista de procesos. Luego borre todos los winlogon.exe que encontraba por ahi en cada unidad.
2.- Ah!, olvide decirle que no se pueden ver los archivos ocultos ni opciones de carpeta ni nada, para esto antes pase con el ArgenteUtilitis Portable (instalado en modo seguro) y reparé hasta conseguir ver los archivos ocultos. Luego le pase con el Dial-a-fix-v0.60.0.24.exe que se encarga de reparar algunos problemas pero hazlo con calma y no pongas el mouse sobre "Policies" que se te cerrará la aplicación.
2.- Descargue y ejecute en modo seguro Fileassassin ( bendito!!!! http://www.***.org/fileassassin.php) no recuerdo que configuración use y ubicando el archivo del paso 1 lo elimine.

Recuerdo que la PC se apago bruscamente y luego entre de nuevo en modo seguro y volví a ejecutar el paso 2 para repara
r algún registro del sistema. Luego... comencé a pasarle tooooooooooodos los posibles antivirus que habia ya descargado para este caso (***, Dr.Web, ArgenteUtilities, SuperAntiSpyware y los etc también)

pues bueno, he escrito este comentario desde la PC que he reparado, ojala mi experiencia les sirva.

Nota: No sé si pueda servirte pero antes de hacer todo lo que te dije probe un montón de cosas con el gpedit.msc (en C:WindowsSystem32) que sí me funcionaba y tantos cambios hice que al final no sabia lo que habia que deshacer entonces repare la instalación con el cd de windows ahi me salí una ventana con título raro que decía no tener acceso y algo más, no le dí importancia y deje que siguiera la reparación cuando ha terminado todo aplique la solución que puse aqui porque aún reparando la instalación el virus seguía ahi. La PC que arregle tenía el SO windows XP SP2.
@ceron00
a mi no deja hacer nada dice que no tengo derechos de administrador¡¡¡
@Berni0707 +1
Yo lo tengo en el "Administrador de Tareas", figura que es de SYSTEM y no ocupa mucha memoria RAM (casi siempre 760KB hasta 1MB) ¿Es siempre un virus? Saludos.
@Pokemago +1
se que el post es viejo, pero en busquedas aparece primero, si a alguien le sirve, a mi me paso, IEXPLORE.EXE jodrive son lo mas molesto, pone lenta la pc y el internet, bajen el DR WEB que a mi me detecto 93 archivos infectados, cosa que el eset nod no me detectaba ninguna amenaza... la pc me quedo de 10!!
@TotoaMil
www.4shared.com/file/6bmIwvKg/Restaurador_de_Archivos_y_Carp.html
@noiecity2
yo savia que es proceso era malicioso...
@IrvingRafaelRuiz
yo twngo muchos procesos que no me dicen ni su origen ni es posible deterlo, y trate de liminarlos buscandolos pero no se detienen, es el winlogon el crss y el atiecllxx, aunque me salen mas con el otro programa, pero son muchos para ponerlos
@OnizukaSenzei +1
xX winlogon.exe virus?? A chingaooo.

Se vienen muchos cuelgues de sistema por ignorancia.