w

WINLOGON.EXE

inlogon.exe es un proceso que se coloca como Trojan. Este Trojan permite que los atacantes tengan acceso a la computadora de las posiciones remotas, robando contraseas, actividades bancarias del Internet y datos personales. Este proceso es un riesgo de la seguridad y se debe quitar de tu sistema. El archivo de winlogon.exe est situado en la carpeta de C:\Windows\System32 y si lo encuentras en otro lado que no corresponde entonces es un malware. Para observar y darnos cuenta que el equipo se encuentra con el virus winlogon lo podemos hacer ejecutando el comando msconfig y observar dentro de los programas que se inician al arrancar el Windows que se encuentra el winlogon y donde se encuentra ubicado

PASOS PARA BORRAR EL ARCHIVO WINLOGON

1. Para poderlo borrar primero tenemos que encontrar la ubicacin del ejecutable: Se encuentra ubicado en el siguiente directorio: C:\Documents and Settings\usuario\usuario1\winlogon.exe Cabe indicar que este archivo se ubica en el usuario que ms se utiliza , generando una nueva carpeta con el mismo nombre del usuario aadiendo un numero 1 por ejemplo: este el ejecutable del winlogon.exe y encontrndose dentro de

2. Despus ejecutamos msconfig y deshabilitamos todos los servicios que inician para que no cargue el archivo winlogon.exe de nuevo, solamente dejamos marcados los archivos necesarios en este caso: antivirus y ctfmon como se muestra en el grafico.

3. Deshabilitamos la opcin de restaurar sistema Inicio clic derecho sobre mi PC propiedades Paleta Restaurar Sistema activar el casillero deshabilitar restaurar sistema, como indica el grafico.

4. Para poder observar el archivo ejecutamos el siguiente programa que nos permite restaurar los archivos ocultos

5. Luego de haber ejecutado esta herramienta observaremos que se activaron los archivos ocultos, y utilizaremos el software Hiren Boot para borrar todos los archivos temporales, y hacer una depuracin normal, posteriormente ingresaremos al perfil de usuario ms utilizado como se indico con anterioridad para borrar el archivo winlogon.exe el cual se encuentra en la siguiente ubicacin, como se muestra en el grafico : C:\Documents and Settings\Efrn\Efrn1\winlogon.exe

6. Al finalizar el borrado de este archivo podemos seguir realizando la depuracin normal, como es parchado del sistema operativo y en algunos casos la reinstalacin del antivirus, ya que este podra encontrarse infectado por el virus, y no nos permitira trabajar normalmente al igual que otras aplicaciones, es aconsejable pasar tambin el Rescue de Avira actualizado para que vaya renombrando algunos otros archivos sospechosos y que el antivirus los borre 7. Adicionalmente hay que verificar que los equipos que tienen acceso al Messenger no est instalado el programa llamado IMBooster el cual carga imgenes que al momento de enviar mensajes lo hace con cdigo malicioso, y es perjudicial para nuestro ordenador ya que este no permite ingresar al Internet, y directamente enva a paginas no deseadas, como por ejemplo;

Por ende primeramente debemos deshabilitar este programa como se muestra en la figura, desinstalar este programa a travs del panel de control

8. Para eliminar este programa tenemos que desinstalar la siguiente barra y borrar todo el historial del Internet Explorer como se muestra en la imagen:

9. Adicionalmente se debe eliminar el programa llamado: SearchTheWeb, aqu se encuentra ubicado un archivo llamado Iminent.exe el cual causa la inconectividad al Internet.

COMANDOS PARA HABILITAR LAS CARPETAS OCULTAS POR EL VIRUS Despus de curar el virus muchos directorios se ocultan, su origen es una carpeta llamada DriversGuideInfo el cual lo podemos visualizar mediante la herramienta winrar y otros virus generados, como se muestra:

Estos archivos son virus los mismos que se propagan, y para eliminarlos primero debemos curar el equipo siguiendo los pasos anteriores y posteriormente las memorias flash, ya que de no hacerlo el virus seguir infectando tanto a memorias flash como otros dispositivos. Adicionalmente debemos borrar todas las carpetas con extensin .lnk la cual hace de las carpetas accesos directos y oculta la informacin, este virus borra atributos y para ello debemos aplicar una lnea de comando para restaurar el mismo:

En ejecutar digitamos cmd, ubicarnos en nuestra memoria (en mi caso G:), y escribir el siguiente comando Attrib /d /s -r -h -s *.*

Attrib: Para visualizar o modificar atributos /d: Para poder procesar carpetas /s: Para poder procesar subcarpetas -r: Quitar atributos de solo lectura -h: Quitar atributos de oculto -s: Quitar atributos de sistema *.*: Para archivos de cualquier nombre, con cualquier extensin

Luego de esto ya tendremos visible nuevamente nuestras carpetas y podremos utilizar los archivos guardados dentro de las mismas

Realizado por: Efrn Pichucho y Ricardo Guagalango Vega