Winlogon.exe es un proceso utilizado por los creadores de virus para ocultarse.
Winlogon es el programa responsable de la autenticación de usuarios de windows. Este es el proceso que es responsable de mostrarnos la ventana de los usuarios al inicio de Windows.
Hay algunas razones por las que a los creadores de virus les encanta esconder sus creaciones en winlogon.exe:

1. Es un proceso esencial del sistema, de forma que la mayoría de las personas no sospecharía de él ante una infección.
2. No es facil matar/detener a winlogon.exe. Incluso si nos la arreglamos para materlo, la máquina se colgara inmediatamente, mostrandonos un pantallazo azul.

Vamos a ver como quitar el virus del winlogon sin apagar la computadora o usar ningun disco de booteo para iniciar desde otro sistema que no sea nuestro windows afectado. Este virus esta diseñado en VB6, algo que detecte desde su analisis, puesto que trabajo con este lenguaje de programacion.
Herramientas necesarias
Winrar

Sysinternals Process Explorer

Un reemplazo al Explorer de Windows como es el FreeCommander( opcional )

Eset Smart Security o Antivirus V4
Detección
Primero usamos Winrar para ubicar el virus. esta en Documents and settings.
El proceso es bastante fácil. Vamos a usar Process Explorer para listsar las DLLs cargadas junto con winlogon.exe.
La mayoría de las DLLs válidas, tienen una descripción y nombre de compañia. Si alguna no tiene esos datos, es muy probable que sea un virus. Para asegurarnos que es un malware, podemos buscar el nombre de la DLL en Internet y de acuerdo a los resultados sacar una conclusión.

Preparativos

- No es posible matar a winlogon.exe usando el Administrador de Tareas de Windows. De forma que usaremos la herramienta “Sysinternals Process Explorer” para matar a winlogon.exe.

- Dado que este tutorial es para usuarios comunes, no explicare como eliminar el malware usando el command prompt (CMD). Para ello es que descargaremos un explorador de archivos como es “FreeCommander” para navegar entre los archivos del sistema y eliminar el malware.
Eliminacion
1. Ejecutar FreeCommander.
2. Iniciar Process Explorer y matar Explorer.exe usando este programa. Matamos a explorer.exe porque muchas veces, explorer.exe también esta infectado. Así que por seguridad también lo detenemos…
3. Ahora procederemos a detener a winlogon.exe. Todo lo que tenemos que hacer es, antes de mater a winlogon.exe, debemos matar a Smss.exe.

Hacemos esto, porque Smss.exe es un proceso que monitorea a winlogon.exe y es el que apaga la máquina cuando detecta que winlogon no está ejecutandose.
Luego de matar a Smss.exe, podremos matar de forma segura a winlogon.exe.4. Luego que winlogon es detenido, podemos eliminar con seguridad al malware, y eso lo haremos usando a FreeCommander yendo a la ruta ya obtenida de mirar las DLLs maliciosas. Despues pasa el antivirus Eset actualizado.

Eso es todo. Hemos eliminado un malware de nuestro sistema, sin utilizar ningun disco extra para hacer un booteo de otro sistema.

Comentar No Cuesta Nada