Hola compañeros.
tengo un AVG de antivirus y el dia 13 me detectó un virus llamado Trojan horse Generic9.TBN, llegadoel final del analisis le doy a "heal" y me borra un archivo llamado C:\WINDOWS\$NtUnistallKB890859$\user.dll ademas de que me dice que estan infectados y borrados C:\WINDOWS\I386\USER32_:\user32.dll y D:\I386\USER32.DL_:user32.dll tambien dice que estan movidos a la cuarentena C:\WINDOWS\I386\USER32.DL_ y D:\I386\USER32.DL_ como veran se trata de una enfermedad rara, me meti en internet ese mismo dia y no aparecia nada, sin embargo hora mas tarde habia desde Argentina alguien que padecia del mismo problema y unas pautas a seguir para un remiendo, haciendo algo para aquellos ordenadores que ni siquieran encendian no ocurrio esto con el mio, pero lo mas preocupante para mi es que se metió en particion D: y a la hora de la reestauracion creo que me dará problemas ya que los archivos
han sido modificados, me gustaria saber los pasos a seguir para dejar el ordenador de la misma forma que lo dejé antes de dicho virus que ni siquiera se como entró, algunos mas tarde incluso cometan que es un error de una actualizacion del AVG.
espero ansioso una contestacion por su parte.
un saludo

Buenas. Busque soluciones a este problema, hasta que di con la combinacion perfecta (al menos para mi lo es), y desde luego muy rapida. Puedes tener la maquina otra vez en marcha en unos 20 minutos.
Ahi van los pasos que yo sigo.

Herramientas necesarias: CD WinXP SP2, Floppys, Pendrive o CDs virgenes para mover los parches, Maquina alternativa con XPSP2 sin infeccion, o bien descargar librerias de http://www.dll-files.com/ , y
drivers SATA en floppy del PC infectado, por si el CD de WinXP no reconoce el disco duro.


1.- Cargo el cd de Winxp SP2, con los controladores SATA de la maquina si los necesita.

2.- Arranco la recuperacion del sistema, con "R" mediante la consola de recuperacion.

3.- Inserto un disquete en el que previamente he conseguido meter una version limpia de estos dos ficheros : "winsrv.dll" y "user32.dll" . (version limpia= mas moderna, porque es la que aplica el parche que luego meto) Como indicacion de la version en propiedades de esos ficheros yo tengo:
winsrv.dll 5.1.2600.3099
user32.dll 5.1.2600.3103

4.- Uso estos comandos, en este orden:
a: <Enter>
copy winsrv.dll c:\windows\system32 <Enter>
"desea sobreescribir?" s <Enter>
copy user32.dll c:\windows\system32 <Enter>
"desea sobreescribir?" s <Enter>

5.- Reinicio EN MODO A PRUEBA DE FALLOS. (pulso F8 en cuanto aparece el arranque en pantalla)
****OJO!!! si reinicias UNA sola vez en modo normal despues de sobreescribir esos ficheros,
tendras que repetir los pasos 1 al 5!!!! *****

6.- Aplico el parche "WindowsXP-KB925902-x86-ESN"
->> http://www.microsoft.com/downloads/d...displaylang=es
que habre copiado en un pendrive o cd descargado desde una maquina limpia.

7.- Reinicio en modo normal.

8.- Aplico la acumulacion de parches "winup.ver27"
->> www.winup.es/, la puedo descargar en la maquina ya que ahora es 100% operativa.

7.- Reinicio en modo normal.

9.- Limpio registro con el Regseeker.
- >> http://www.hoverdesk.net/freeware.htm

10.- Maquina operativa SIN necesidad de eliminar el AVG.


En todas las maquinas en las que he seguido este proceso funciono a la primera, incluida una de la que perdi la particion por cambiar de tipo de disco con un particionador y que luego arregle con Paragon Drive Backup, un programa muy bueno segun he comprobado.

Espero esta solucion le sirva a mucha gente, yo la seguire usando con mis clientes. Y mantendre el AVG en ellos, hasta ahora me ha demostrado ser muy bueno en mas de dos años de uso con mas de 500 clientes, y creo que descubrir vulnerabilidades de windows es muy util para prevenir nuevas amenazas para los PCs.

Saludos y suerte en las recuperaciones de vuestro sistemas.

Hola!!
Tranquilos que hay solución y está muy bien explicada por Kent Brockman en este mismo foro del dia 13/11, aquí os dejo el link http://www.forospyware.com/t127322-3.html
Saludos y suerte!!

gracias a todos pero aun me siguen asaltado las dudas ya que en mi caso
todavia no se que hacer para saber si el ordenador está arreglado ya que me aparecen otras cosas que no le aparecen a los compañeros.
en primer lugar no se me ha eliminado el archivo C:\WINDOWS\$NtUnistallKB890859$\user.dll. misteriosamente aparece, aunque dice que fue borrado y tengo un backup en la cuarentena, por otro lado tengo estos archivos C:\WINDOWS\I386\USER32_:\user32.dll y D:\I386\USER32.DL_:user32.dll que fueron movidos a la cuarentena y el primer no lo encuentro y el segundo no puedo acceder porque es la unidad D:.
Bueno resumiendo que lo que realmente me preocupa es que me alteró la particion D: y es ésta la que me restaura el equipo; aclarar que ya me han contestado ayudandome con el caso pero sigo teniendo dudas.
mis preguntas son las siguientes: Si estos archivos no están infectados y es una copia de seguridad que guarda AVG dentro de mi ordenador ¿no se podria restaurar y solucionar el problema? y por otro lado ¿que pasa con la particion D:? no puedo acceder a ella para intentar repararla y en ningun momento visto que alguien haga mencion , y si a la unidad C:
un saludo a todos

Hola, nadie hace mención a una unidad D porque tu configuración evidentemente tiene características poco comunes.
En 1º lugar, el AVG no hace backups de archivos. Quien sí lo hace es Windows, con el servicio de Restauración del Sistema, pero como esos archivos "backupeados" pueden ser infectados, es generalmente recomendable que se desactive esa opción. La carpeta D:\I386\ me suena más a una copia del instalador de Windows, no a un backup, pero no entiendo a qué te referís con que no podés acceder a la partición D:, mostranos una captura de pantalla o menciona el error que te muestra Windows al intentar abrir la unidad D.

Si seguiste los pasos de mi post ( http://www.forospyware.com/t127322-3.html ) para restablecer el funcionamiento del sistema, simplemente tenés que confirmar que los archivos que postée estén presentes en la carpeta de windows/system32. Las otras carpetas que mencionas son irrelevantes porque son almacenes de backup de las actualizaciones de windows.


Es más, me animo a opinar que los archivos user32.dll que tengas en el vault del AVG y que el antivirus haya clasificado como Generic9.TBN, no están infectados sino aislados por el falso positivo del dia 13. También me animo a especular con que si restauras esos archivos a sus ubicaciones originales, no deberías tener problemas ni nuevas detecciones de amenazas por parte del AVG sobre ese nombre de dll. ACLARO: YO NO INTENTE HACER ESTO ULTIMO. Pero sí hice escanear online el archivo user32.dll que originalmente había hecho saltar al AVG, con el servicio de www.virustotal.com que te analiza el archivo gratuitamente con más de 30 antivirus, y el user32.dll dio negativo con todos los antivirus, incluso el AVG, ya que ya había actualizado su base y corregido su error.

estas en lo correcto si se restaura el archivo no debe haber problemas..

hace poco me tope con un tema, donde el AVG estaba lanzando las alarmas sobre el archivo user32 pero el usuario no lo habia mandado al Vault, le recomende que desintalara el AVG y problema resuelto..

es muy lamentable que el AVG tenga un falso positivo de tal magnitud

Correcto, pero es más, si sólo hubieras actualizado el AVG unas horas después, se habría corregido el problema.

Es lamentable lo sucedido, sí, por los daños ocasionados, pero como ya dije, no es el primer antivirus al que le pasa (recuerdo varias falsas alarmas con el Norton hace como unos 3 años), y además es gratuito, así que se distribuye sin garantías de nada (por lo cual el caso del Norton es bastante más lamentable). Pero bueno, siempre se aprende y supongo que los desarrolladores de AVG ya estarán atentos a que no suceda otra vez.