STOP 0x0000001e KMODE_EXCEPTION_NOT_HANDLED en win32k.sys

l iniciar el equipo, aparece un mensaje de error similar al siguiente:

STOP 0x0000001e KMODE_EXCEPTION_NOT_HANDLED en win32k.sys

STOP 0xC000021A {Error grave del sistema} El proceso de inicio de sesión de Windows terminó inesperadamente.

Este comportamiento se puede producir si descargó en el equipo desde un host remoto el virus Backdoor.NTHack. Este virus lo inicia el archivo Dl.bat en la carpeta InetPub\Scripts.

Como resultado de ello, se instalan los archivos Firedaemon.exe y Sud.exe en el equipo, así como los archivos Os2srv.exe y Mmtask.exe, que se ejecutan como servicios con los archivos Sud.exe e Index.exe.

Volver al principio

ADVERTENCIA: si utiliza incorrectamente el Editor del Registro, puede causar serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Para resolver este comportamiento, debe realizar una instalación en paralelo de Windows NT 4.0 o de Windows 2000, así como realizar los cambios siguientes mediante la Consola de recuperación de Windows 2000. 

El archivo Newgina.dll es especificado bajo la clave del Registro siguiente cuando tiene acceso a la sección del software original desde una instalación en paralelo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Value = GinaDLL REG_SZ

Gina.dll = Newgina.dllOriginal Gina.dll = Msgina.dll (o Awgina.dll)

1. Desde la instalación en paralelo o en la Consola de recuperación, cambie el nombre del archivo Newgina.dll a "Newgina.old".
2. Por ejemplo, cambie el nombre del archivo Gina original, por ejemplo el archivo Msgina.dll a "Newgina.dll". Este cambio de nombre permite que el archivo Gina original se cargue bajo el nombre "Newgina.dll" que se especificó en el Registro.

Si no puede encontrar el archivo Newgina.dll en el Explorador de Windows, puede eliminar o sustituir el valornewgina.dll de GinaDLL (REG_SZ) por msgina.dll (o awgina.dll) bajo la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Este cambio permite cargar desde la caché el archivo Gina.dll original.

También debe deshabilitar y eliminar los servicios que se asocian con el virus, así como los archivos que se instalan en la carpeta C:\Winnt\System32\Os2\New.

También debe eliminar el archivo Dl.bat de la carpeta InetPub\Scripts.

Volver al principio

                      desarrolloEste virus descarga el archivo Dl.exe desde el host remoto, ejecuta el programa y, después, ejecuta e instala una rutina que instala los archivos bajo la carpeta C:\Winnt\System32\Os2\ en una carpeta oculta llamada "New". 

Esta carpeta oculta contiene los archivos siguientes: Firedaemon.exe, Dir.txt, Login.txt, Remscan.txt, Sud.exe y Sud.bak. 

NOTA: también pueden estar en ejecución en el equipo los procesos siguientes: Sud.exe, Firedaemon.exe, Mmtask.exe y Os2serv.exe. Si intenta finalizar una tarea en cualquiera de estos procesos, puede recibir un mensaje de error de "Acceso denegado". En el Administrador de la tareas, estos procesos se enumeran en letras mayúsculas. 

Además, el archivo Msgina.dll (o Awgina.dll) es sustituido por el archivo Newgina.dll.

El archivo Newgina.dll captura la información de contraseña cuando alguien inicia sesión en el equipo.

Las contraseñas capturadas se almacenan entonces en un archivo .temp en la raíz de la unidad C. Se instala también un nuevo servidor FTP (Protocolo de transferencia de archivos) llamado "UServ". También deben eliminarse estos archivos y carpetas.

Para obtener información adicional acerca de una revisión de seguridad para Microsoft Internet Information Server (IIS) que bloquee este tipo de virus, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

269862  Revisión disponible para el error de creación de nombres canónicos

Para obtener más información relacionada con el virus Backdoor.NTHack, visite los siguientes sitios Web de Symantec y Network Associates (en inglés)

: