Entradas con la etiqueta ‘daños por virus’

Imposible iniciar sesión en Windows XP (daño por virus)

Sábado, 30 de Agosto de 2008

Encontré un equipo infectado con toda una gama de virus: AutoIt-CP (DriveGuard.exe), DiskNight (Knight.exe), Virut (ise32.exe y varios nombres más), Win32:AutoIt-Z (Win32-AutoIt-Z - S-1-5-21-1482476501-1644491937-682003330-1013.exe), Win32:Magania (erdeiect.com), etc.

De todos estos, el más dañino, el Virut, infecta los ejecutables, imposibilitando su reparación.

El procedimiento correcto fué bootear con el avast BART CD actualizado y proceder con un escaneo completo, detectando más de 560 archivos infectados, increíble propagación en un equipo sin Internet (grave riesgo al no poder actualizarse) y con un simple Pen Drive usado en Cybercafés (la mayor fuente de virus… debería haber sanción para quienes den esa clase de servicio sin tener la protección de un excelente antivirus).

Al detectar el Virut, no hubo más remedio que pensar en una instalación de Windows, pero en modo reparación, para no perder la configuración anterior. Este pensamiento nace del hecho que el Virut dañó programas específicos de Windows.

INSTALACION DE WINDOWS EN MODO REPARACION

Al bootear con el CD de Windows XP, podemos empezar una instalación. El programa de instalación detectará la instalación previa y pregunta si se desea eliminarla o repararla. Usamos el modo de reparación.

IMPOSIBLE INICIAR SESIÓN

Una falla extraña no fué reparada por el instalador de XP (al menos la versión en español, que le tengo menos confianza que a la similar en inglés). El síntoma del problema es que Windows XP booteaba correctamente, pero inmediatamente cerraba la sesión. Si se intentaba de nuevo con el mismo usuario, iniciaba la sesión pero la cerraba inmediatamente, sin dar oportunidad a nada. Los intentos de usar al usuario Administrador fueron inútiles, de igual manera que intentar iniciar sesión en Modo a prueba de fallos.

El virus afectó los parámetros de Winlogon en el Registry y eliminó un archivo fundamental para iniciar la sesión: userinit.exe

SOLUCION

Editar el registro de Windows, y navegar hasta:

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”

Posiblemente encuentre una llave OldUserinit. Si encuentra esta llave, borre la llave Userinit y cambie el nombre a la llave OldUserinit por Userinit.

El contenido de la llave de Userinit debería ser el siguiente (sin comillas):

“WINDOWS_PATH\system32\userinit.exe,”

Ahora que ya estaba reparado el Registry de Windows, resulta que el archivo userinit.exe no fué instalado por el programa instalador de Windows en la reparación.

Tenemos que copiar el archivo userinit.exe de otro equipo (asegurándonos de que no esté infectado), o lo que hice: usar el Servant Salamander del avast BART CD que es una especie de Explorador de Windows, que permite accesar al Filesystem del equipo infectado. Busqué el userinit.exe en “C:\Windows\system32\DLLCACHE” y lo copié a “C:\Windows\system32″.

Reiniciar el equipo y probar. En caso de que el problema persista, volver a usar el Servant Salamander para copiar el userinit.exe del “C:\Windows\System32″ en ese mismo directorio, pero con el nombre wsaupdater.exe

Etiquetas:, , , , , , , ,
Publicado en Antivirus | 5 comentarios »

Problemas para correr el servicio de Wireless en Windows Vista?

Martes, 27 de Mayo de 2008

Luego de una infeccion de una variante de Baggler en un equipo con Windows Vista Ultimate, era imposible levantar el servicio de red Wireless, de igual manera el servicio de red Ethernet. El virus hizo de las suyas y no solo desactivo esos servicios, sino tambien otros servicios y drivers que impedian agregar dispositivos como Pen Drives, instalar programas, etc.  En estos casos es preocupante reinstalar el sistema operativo por todo el tiempo que involucra la instalacion y configuracion del sistema.

La solucion mas rapida para resolver el problema de los servicios desactivados, fue usar el .bat respectivo que pone la programacion de los servicios a default (predeterminado), en mi caso use el de Vista Ultimate:

vistasafe

defaultvistaultimate

defaultvistahomepremium

defaultvistahomebasic

defaultvistabusiness

Sin embargo estos defaults no aplican a todos los equipos, pues para el caso de los que tienen Wireless integrado o agregado, hay que entrar en Herramientas Administrativas> Servicios y cambiar el servicio WLAN AutoConfig a inicio automatico, e iniciarlo en la sesion actual si lo requerimos.

Servicio WLAN AutoConfig no iniciaba (NDIS Usermode I/O Protocol)

A pesar de ello, el servicio WLAN AutoConfig no se iniciaba, y el unico error que daba era el evento 6100 y “Detect and repair” no era muy util, arrojaba esto:

Result of diagnosis: Problem found

Root cause:
The Windows Wireless Service is not running on this computer

Detailed root cause:
The Windows Wireless Service is not running on this computer

Repair option:
Start Windows Wireless Service

Analizando mas extensivamente esto, una de las dependencias de este servicio parecia no estar funcionando: NDIS Usermode I/O Protocol.

Esto no esta facilmente accesible para el usuario.

Solucion

Verificar que todas las dependencias esten activadas. el NDIS Usermode I/O Protocol no se activa ni en Servicios ni en las propiedades de red. Es un driver escondido, de Windows. Para activarlo, hacer click con el boton derecho en Computer (Start> Computer) y elegir Manage. En Computer Management hacer click en Device Manager. Para ver dispositivos escondidos, ir al menu de View> Show hidden devices. Una vez alli, expandir Non-Plug and Play Drivers. Buscar el NDIS Usermode I/O Protocol, y dar doble click:

En el tab de Driver, se puede dejar especificado en Type como Demand.

De esta forma, ya se puede iniciar correctamente el servicio de Wireless Lan en Windows Vista,

Etiquetas:, , , ,
Publicado en Antivirus, Windows Vista | No hay comentarios »