A veces algunos antivirus pueden hacer mas daño que los virus …

Es el segundo caso que nos encontramos con un malware que, si se elimina sin restaurar las claves del registro, el ordenador ya no puede arrancar… Y algunos antivirus eliminan los ficheros malware sin restaurar las claves modificadas por ellos, pensando que si ya no hay dichos ficheros, no afectarán, pero …

La mala idea del creador de estos dos malwares, muy parecidos pero distintos, propio de ser, el segundo, una variante del primero, es que sustituyen el fichero USERINIT.EXE , necesario en el arranque, por uno malware de otro nombre, al cual llama en la clave del USERINIT, y que, tras cargarse, llama al USERINIT.EXE, pero si un antivirus elimina dicho malware sin restaurar la clave, al no encontrarlo no lo lanzará, y consecuentemente no se cargará el USERINIT.EXE, con lo cual el ordenador ya no arrancará, siendo necesario un pequeño apaño para devolverle la funcionalidad y luego lanzar el ELISTARA para que restaure la clave en cuestion debidamente, además de limpiar otros restos que hubioeran quedado del troyano.

Si ya se está en dicho caso, y el ordenador no arranca, será cuestión de arrancar con el CD de instalacion, acceder a la Consola de Recuperacion (pulsando R) y una vez allí acceder a la carpeta de sistema, que en XP es  C:\windows\system32\ , donde existirá el USERINIT.EXE y que deberemos copiar (no renombrar) como WINLOGON86.EXE y WINLOGON32.EXE que son los nombres que usan las dos variantes conocidas de este malware, y que son llamados desde el registro de sistema en lugar del USERINIT.EXE, si bien finalmente cualquiera de los dos indicados luego lo lanza.  Una vez hecho esto, al reiniciar ya arrancará, y antes de nada mas se deberá lanzar el ELISTARA para que corrija la clave y demás.

Si aun no se ha eliminado y lo que se tiene es la presencia de un fondo de pantalla con grandes letras rojas indicando un warning  con YOUR PC IS INFECTED” 

aparte del globo blanco en la barra de inicio, simplemente lanzando el ELISTARA ya corregirá ficheros, registro, globo y demás,  y, tras reiniciar, ya se habrá acabado la historia

A los dos conocidos que hacen lo mismo, pero con diferentes ficheros y codigo, los identificamos como

TROYANO ADVANCED VIRUS REMOVER 2010

TROYANO INTERNET SECURITY 2010

Son muchos los FAKE ALERT, ROGUE, FRAUD TOOLS, FRAUD LOAD, y, en definitiva, FALSOS ANTIVIRUS que existen y de los que aparecen  a diario otros nuevos o variantes de los mismos que fastidian al usuario, todos muy persistentes y fastidiosos, pero estos dos, además, tienen la malicia indicada, con lo que el usuario puede desesperarse y optar por una “solucion” indeseable…

Esperamos que lo indicado sirva para evitar, en lo posible, males mayores y deseamos que con el “truco”, si el el caso, y siempre la última versión existente de ELISTARA, se solucione el problema.

saludos

ms, 13-1-2010

NOTA: Y en Julio2010 persisten mas variantes al respecto, ahora como FakeAV.SecurityEssentials2010(bat), ya que nos ha sido reportado un caso que no podía arrancar y una vez “apañado” se ha eliminado dicho FAKE ALERT con el ELISTARA y pedido muestra de un WINLOGON32.EXE que ha resultado ser el USERINIT.EXE renombrado…  ms.