AVG, TrojanHorse PSW y user32.dll

Entrada de título críptico sin lugar a dudas pero me consta que para muchas personas les sonará demasiado familiar. A mí el caso me llegó el fin de semana a través del portátil de mi hermana pero en Alt Tab comentan que el problema está siendo masivo.

Básicamente es que bien por la existencia de un virus (o bien por una actualización como comentan en algunos sitios) al antivirus AVG le está dando por hacer una limpieza de los ordenadores en la que se incluye el borrado del archivo de sistema User32.dll , un archivo necesario para iniciar Windows.

ScreenShot047.jpg

(imagen tomada de Alt Tab)

Si esto ocurre o verás una pantalla azul al reiniciar Windows con un error o si tienes activado el reinicio automático tu ordenador arrancará una y otra vez pero sin llegar a entrar en Windows.

La solución pasa por copiar el archivo user32.dll otra vez al sistema y luego limpiar los virus a través de otro método que no sea el AVG.

¿Cómo se reinstala el archivo user32.dll?

Es más sencillo de lo que parece pero hay que tener un poco de cuidado. Lo primero aquí está la explicación general del propio Microsoft y otra muy resumida de manos de Configura Equipos.

Lo único que necesitamos es disponer del CD de instalación de Windows XP que usamos cuando instalamos el sistema operativo. Si te lo instalaron en la tienda probablemente lo tengas junto a los otros sobres con CD de drivers.

1) Introducimos el CD de Windows y cuando aparezca el mensaje de “pulse una tecla para iniciar desde el cd” pulsamos cualquier tecla. Si no sale este mensaje quizás tengas que cambiar la secuencia de arranque del ordenador.

2) La pantalla se pondrá azul mientras se van cargando los archivos necesarios para la instalación de Windows. Espera a que acabe y que te muestre las distintas opciones que tienes. Entre ellas está “pulsa R para acceder a la consola de recuperación”. Así que pulsamos R.

3) La pantalla se volverá en negro y nos preguntará quizás a qué instalación de Windows queremos acceder. Si sólo hay una pues esta llevara el número 1 así que escribimos 1 y luego pulsamos enter.

4) Si te pide la contraseña de administrador introdúcela. Si como en la mayoría de los ordenadores no tienes una contraseña de administrador simplemente cuando te la pida déjala en blanco y pulsa intro.

5) Si todo ha ido bien aparecerás en una ruta del tipo c:\WINDOWS o algo así

6) Ahora llega la parte importante que es copiar el archivo del CD a tu ordenador. El archivo se encuentra dentro del CD en una carpeta llamada i386. Este archivo se debe copiar en la carpeta C:\Windows\System32 de tu ordenador. Nosotros sin embargo vamos a hacerlo en dos pasos para evitar errores. Primero lo copiaremos del CD al disco duro y una vez que esté allí, del disco duro a la carpeta (a mi en dos pasos me funcionó pero en uno daba problemas).

7) Para extraer el archivo del CD al disco duro tienes que saber cuál es la letra de la unidad de CD/DVD. Si no tienes particiones ni nada parecido será la letra D. Lo que tienes que escribir en la consola de comandos es:

expand D:\i386\USER32.DL_ C: /Y

Si tu unidad de CD/DVD es una letra distinta de D pues la sustituyes por la correspondiente.

Otra historia que puede dar errores es el nombre del archivo. En las instrucciones de Microsoft el archivo aparece llamado USER32.DLL sin embargo en el ordenador que yo probé tenías que buscarlo aunque ese fuera su nombre por USER32.DL_ (guión bajo al final).

También el hecho de tener que usar símbolos como \ / o _ puede darte problemas porque desde la consola de recuperación la asignación del teclado puede haber cambiado. Si es tu caso puedes probar con la siguiente combinación de teclas con ALT y el teclado numérico de tu ordenador

alt + 47 mostrará /

alt + 92 mostrará \

alt + 95 mostrará _

También puedes probar a ver dónde han quedado esos símbolos. En mi caso la \ la respetaba pero la / algo así como mayúsculas + 7 y el guión bajo AltGr +3 creo recordar.

8) Si no hay ningún mensaje de error, tendrás el archivo copiado a C: así que sólo falta moverlo a la carpeta correspondiente escribiendo:

copy C:\USER32.DL_  C:\WINDOWS\SYSTEM32

Después de esta operación deberías poder arrancar el ordenador normalmente. Luego prueba a usar un programa como Spybot S&D para limpiar el PC de posible malware. Para el ordenador que traté funcionó sin problemas.

Si tienes errores en algún proceso del copiado del archivo USER32.DLL te recomiendo que busques en Google ya que hay multitud de tutoriales sobre cómo recuperarlo y quizás te ayuden a identificar dónde está el error.

Publicado por

Juan García

Divulgador tecnológico y formador. Creo en la tecnología como herramienta para formar ciudadanos más libres y felices. + Sobre mí en http://about.me/juangarciaalvarezdetoledo

17 comentarios sobre “AVG, TrojanHorse PSW y user32.dll”

  1. Mucho me temo que mi hermana tiene alguna historia parecida, algo me dijo de que le habia aparecido un virus en el último scan del avg., pero parece que le anda normal el ordenador y le arranca sin problemas¿se tiene que preocupar?

  2. Si no es el user32.dll pues no hay problema. De todas formas mira el enlace que ponemos al final del artículo sobre Clamwin que es otro antivirus gratuito que funciona bastante bien.

  3. Buenas tardes,

    por suerte tenia un LiveCD de ubuntu, y otro ordenador con windows. Copié en un pendrive el archivo user32.dll y arranqué el ordenador “infectado” con ubuntu. Arrancó en segundos, enchufé el pendrive, copié el archivo en la carpeta correspondiente, desmonté volumenes y arranqué.

    Saludos,

    Toni

  4. Hola Toni, lógicamente si tienes Linux instalado en otra partición el proceso se simplifica sobremanera. De hecho es la solución que comentan en Alt Tab

  5. Muchas gracias por la información. de verdad que me sirvio mucho. aunque no pude hacerlo como indicaste y me toco primero borral el AVG y luego repara todo para que el programa instalara el archivo faltante.

  6. Más fácil todavía.

    LiveCD, C:WindowsServicePack files

    Buscas el user32.dll y lo copias en C:WINDOWSSystem32

    Et voilà !

    P.D.: Proceso comprobado.

Los comentarios están cerrados.