AYUDA NO SE SI ES UN KEYLOGGER Options

[feracal]

msale un mensaje de vez en cuando queme pone algo de un keylogger. Voy ainformes y dentro de Infrmes me pone una carpeta que se llama ausente y cuelga de ella varias lineas.

Cada linea, es un evento y me pone repetidamente
10/06/2009 2:19:51 Actividad de Keylogger C:\WINDOWS\SYSTEM32\DRIVERS\KBDCAP.SYS Detectados: Keylogger

10/06/2009 2:19:51 Actividad de Keylogger C:\WINDOWS\SYSTEM32\DRIVERS\KBDCAP.SYS No completado: Keylogger

que significa eso?

No es un driver que es necesario?

tamben me pasa con el driver CH2KPS2.sys

[arquezvall2004]

msale un mensaje de vez en cuando queme pone algo de un keylogger. Voy ainformes y dentro de Infrmes me pone una carpeta que se llama ausente y cuelga de ella varias lineas.

Cada linea, es un evento y me pone repetidamente
10/06/2009 2:19:51 Actividad de Keylogger C:\WINDOWS\SYSTEM32\DRIVERS\KBDCAP.SYS Detectados: Keylogger

10/06/2009 2:19:51 Actividad de Keylogger C:\WINDOWS\SYSTEM32\DRIVERS\KBDCAP.SYS No completado: Keylogger

que significa eso?

No es un driver que es necesario?

tamben me pasa con el driver CH2KPS2.sys

Segun lo que aparece en san google, el KBDCAP.SYS es una amenaza:

http://www.google.com.ni/search?hl=es&...uscar&meta=

Manda la muestra a los expertos de kaspesky o algun moderador para que la examinen...!!!

Saludos.

This post has been edited by arquezvall2004: 10.06.2009 05:30

[kikesan]

Hola,

Por favor también envíame los archivos por mensaje privado, los subes a http://www.megaupload.com o similares y me envías el link.

Saludos.

[Caos]

Hola,

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

Postea toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, postea tu getsysteminfo (gsi)
utilizando mejor la nueva versión que encontraras al final de mi post (en mi firma), postea tu avzlog para revisarlo, etc...) para que te podamos ayudar.

Saludos

[harlan4096]

No estoy tan seguro de que sea malware, según lo que aparece en Google, no es concluyente, podría ser un simple driver de teclado ... aún así como comenta Caos que envíe toda la información que se pide en las normas para analizarla.

Saludos.

[feracal]

Recientemente he comprado el Internet Security de kaspersky 2009 y me sale repetidamente Actividad de keylogger en el archivo C:\WINDOWS\SYSTEM32\DRIVERS\CH2KPS2.SYS. Ese archivo creo que es un driver de mi ratón y teclado marca Cherry, por lo que creo que no es un keylogger, pero claro, me asusta un poco el mensajito.

Hace días abrí un mensaje parecido, pero no lo encuentro, por favor, quería ayuda sobre este mensaje. Si necesitan más datos me dicen. No se subir archivos, estoy un poco "pez" en esto de la informática.

Gracias

Fernando

[kikesan]

Hola,

creo que el mensaje que buscas es este: http://forum.kaspersky.com/index.php?showtopic=119692

Si confías en el archivo agregalo a las exclusiones, según lo que he buscado en google efectivamente se trata de un driver.
Si tienes dudas puedes enviar el archivo a Kaspersky para que lo analicen: http://support.kaspersky.com/virlab/helpdesk.html?LANG=sp

Postea la información que se te ha pedido en el otro post que abriste.

Saludos.

This post has been edited by kikesan: 30.06.2009 23:34

[feracal]

Tengo el Kaspersky INternet Security 2009 version: 8.0.0.454 (a.d.e)
Windows XP Professional Versión 2002 ServicePack 3

A ver si lo he hecho bien, les envío el GetSysinfo.zip del programa GetSystemInfo.exe. 4.0.0.235

Si hace falta algo mas me dicen

Gracias

Saludos

This post has been edited by feracal: 1.07.2009 00:31

Attached File(s)

 GetSystemInfo_NUEVO_Nando_2009_06_30_23_20_23.zip ( 166.08K ) Number of downloads: 2

 

[feracal]

No se si he subido bien el archivo, supongo que si.

This post has been edited by feracal: 1.07.2009 00:33

[harlan4096]

No se si he subido bien el archivo, supongo que si.

Tienes software potencialmente incompatible con K.:

Procesos en ejecución

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\Mctray.exe - McAfee Common Framework
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /startedfromrunkey - McAfee Common Framework

Controladores ejecutados por ...

Mctray.exe [1]
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\JrMac.dll - McAfee Common Framework

UdaterUI.exe [7]
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\nailog.dll - McAfee Common Framework
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\naCmnLib71.dll - McAfee Common Framework
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\applib.dll - McAfee Common Framework
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\cmalib.dll - McAfee Common Framework
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework409\UpdRes.dll - McAfee Common Framework
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework409\AgentRes.dll - McAfee Common Framework
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\SecureFrameworkFactory.dll - McAfee Common Framework

explorer.exe [1]
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\JrMac.dll - McAfee Common Framework


Servicios ejecutados

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe" /servicestart - McAfee Common Framework

Registro

_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [1]
=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /startedfromrunkey - McAfee Common Framework

Este archivo parece bastante sospechoso, deberías enviarlo por email a newvirus@kaspersky.com a ver qué te dicen:

C:\Documents and Settings\Nando\Configuración local\Temp\MGASetup.exe


Se te recomienda actualizar el driver de red: Realtek RTL8139/810x Family Fast Ethernet NIC: Nueva actualización disponible

El driver que te da el aviso KIS parece legal:

descripción: Cherry PS/2 Keyboard Driver (CDI)
Archivo: C:\WINDOWS\system32\drivers\Ch2kPS2.sys
Nombre del archivo: Ch2kPS2.sys
Carpeta: C:\WINDOWS\system32\drivers\
Nombre del producto: Cherry GmbH Ch2kPS2
descripción: Cherry PS2 driver for Win2k
Fecha de modificación: 2003/09/04 09:25:22
Tamaño: 118KB (120.590 bytes)
versión: 1.2.21 Build 0
Versión del producto: 1.2.21 Build 0
Copyright: Copyright © 2003 Cherry GmbH
MD5: 80d8294ef2e0a78b65e9bcda954268e8

Si no usas ninguna característica extra normalmente del teclado, quizás deberías desinstalar su driver, y dejar que Windows cargue un driver genérico para él, con lo cual seguramente el mensaje de actividad keylogger desaparecería.

Desinstala/elimina el programa de McAfee.

Estás usando la 2009 8.0.0.454, que ya está algo anticuada, podrías usar teniendo XP la versión 8.0.0.517 o incluso probar la nueva 2010 9.0.0.459 que ya está en español de forma oficial, ambas las podrás encontrar aquí:

http://forum.kaspersky.com/index.php?showtopic=116981

Saludos.

This post has been edited by harlan4096: 1.07.2009 19:41

[Caos]

Fusiono los dos post sobre el mismo tema y autor en uno.

Envía dichos ficheros que te detecta como keyloggers a Kaspersky indicando que pueden ser un falso positivo. Me imagino que Kaspersky te detecta que actuán como un keylogger, que los revisen, y si no son malware entonces los puedes agregar a exclusiones.

Saludos

[feracal]

Tu GSI: http://www.getsysteminfo.com/read.php?file...b098f4&ms=1

Tienes software potencialmente incompatible con K.:
Este archivo parece bastante sospechoso, deberías enviarlo por email a newvirus@kaspersky.com a ver qué te dicen:

C:\Documents and Settings\Nando\Configuración local\Temp\MGASetup.exe
Se te recomienda actualizar el driver de red: Realtek RTL8139/810x Family Fast Ethernet NIC: Nueva actualización disponible

El driver que te da el aviso KIS parece legal:

descripción: Cherry PS/2 Keyboard Driver (CDI)
Archivo: C:\WINDOWS\system32\drivers\Ch2kPS2.sys
Nombre del archivo: Ch2kPS2.sys
Carpeta: C:\WINDOWS\system32\drivers\
Nombre del producto: Cherry GmbH Ch2kPS2
descripción: Cherry PS2 driver for Win2k
Fecha de modificación: 2003/09/04 09:25:22
Tamaño: 118KB (120.590 bytes)
versión: 1.2.21 Build 0
Versión del producto: 1.2.21 Build 0
Copyright: Copyright © 2003 Cherry GmbH
MD5: 80d8294ef2e0a78b65e9bcda954268e8

Si no usas ninguna característica extra normalmente del teclado, quizás deberías desinstalar su driver, y dejar que Windows cargue un driver genérico para él, con lo cual seguramente el mensaje de actividad keylogger desaparecería.

Desinstala/elimina el programa de McAfee.

Estás usando la 2009 8.0.0.454, que ya está algo anticuada, podrías usar teniendo XP la versión 8.0.0.517 o incluso probar la nueva 2010 9.0.0.459 que ya está en español de forma oficial, ambas las podrás encontrar aquí:

http://forum.kaspersky.com/index.php?showtopic=116981

Saludos.

Gracias por la respuesta. Comento varias cosas:
1.- Si que uso normalmente varias características adicionales del teclado, accesos directos y macros, por lo que no creo que lo desinstale, pondré el archivo en exclusiones (miraré como, que aun no se como hacerlo) y así espero no me salga más ese mensaje.
2.- El programa McAfee está desinstalado, pero debe de quedar algún residuo que no tengo manera de quitarlo con los desinstaladores, a no ser que me sugiráis alguna manera o forma de hacerlo, pero de agregar y quitar programas, ahí ya no está.
3.- la versión que os puse, la compré hace dos días en un centro comercial (omito la marca), y si me decís que está ya anticuado.... las versiones 8.0.0.517 y 2010 9.0.0.459 son gratuitas y me mantienen la licencia de un año si actualizo mi versión "anticuada" ?

gracias

[Caos]

Como se ha comentado en multitud de ocasiones, durante el período de vigencia de tu licencia, puedes actualizar gratuitamente a cualquier nueva versión de tu producto que saque Kaspersky.

Simplemente desinstala completamente la versión instalada, e instala la versión nueva, la v8.0.0.454 no la considero todavía anticuada, aunque puedes probar la nueva versión 2010 (9.0.0.459) que acaba de salir.

Saludos

[harlan4096]

Gracias por la respuesta. Comento varias cosas:
2.- El programa McAfee está desinstalado, pero debe de quedar algún residuo que no tengo manera de quitarlo con los desinstaladores, a no ser que me sugiráis alguna manera o forma de hacerlo, pero de agregar y quitar programas, ahí ya no está.
3.- la versión que os puse, la compré hace dos días en un centro comercial (omito la marca), y si me decís que está ya anticuado.... las versiones 8.0.0.517 y 2010 9.0.0.459 son gratuitas y me mantienen la licencia de un año si actualizo mi versión "anticuada" ?

gracias

2.- Revisa el post nº10, donde aparecen las ubicaciones donde aún quedan restos de McAfee, incluso el GSI indica aún algún servicio activo que deberás deshabilitar con services.msc. Elimina aunque sea manualmente esas carpetas/archivos/claves de registro de McAfee.

3.- Bueno en las tiendas aún siguen vendiendo las existencias de licencias con cajas de las 454, no es que esté anticuada, es perfectamente válida, pero personalmente prefiero la 506 para Vista y la 517 para XP/Vista, por mi experiencia personal, suelen ir más finas que las 454, y por supuesto que la 357.

Saludos.

This post has been edited by harlan4096: 1.07.2009 10:57

[feracal]

Bien, antes de nada agradeceros las molestias que os estoy ocasionando.

Dicho esto, he suprimido (creo) el McAfee definitivamente. Os envío de nuevo el archivo generado, ya instalada la versión 2010 que me comentaron y eliminado el archivo sospechoso. El driver del teclado-ratón lo sigo manteniendo. Creo que todo lo he hecho correctamente, si hay algo que vean que no he hecho me comentan.

Envío de nuevo el archivo generado, por el GSI.

Por cierto mi ingles no es muy bueno y no he podido comprender lo del programa GSI. Yo mismo podría crearme en algún sitio mi GSI y verlo? o eso lo hacen ustedes.

Gracias

This post has been edited by feracal: 1.07.2009 19:10

Attached File(s)

 GetSystemInfo_NUEVO_Nando_2009_07_01_17_54_25.zip ( 105.77K ) Number of downloads: 1

 

[harlan4096]

Bien, antes de nada agradeceros las molestias que os estoy ocasionando.

Dicho esto, he suprimido (creo) el McAfee definitivamente. Os envío de nuevo el archivo generado, ya instalada la versión 2010 que me comentaron y eliminado el archivo sospechoso. El driver del teclado-ratón lo sigo manteniendo. Creo que todo lo he hecho correctamente, si hay algo que vean que no he hecho me comentan.

Envío de nuevo el archivo generado, por el GSI.

Por cierto mi ingles no es muy bueno y no he podido comprender lo del programa GSI. Yo mismo podría crearme en algún sitio mi GSI y verlo? o eso lo hacen ustedes.

Gracias

No aparece nada extraño aparentemente, excepto algunos archivos "desconocidos", pero no parecen ser peligrosos.

¿Sigues teniendo con la nueva versión el mensaje de Keylogger?.

Saludos.

This post has been edited by harlan4096: 1.07.2009 19:41

[feracal]

Tu GSI: http://www.getsysteminfo.com/read.php?file...1a3c14&ms=1

No aparece nada extraño aparentemente, excepto algunos archivos "desconocidos", pero no parecen ser peligrosos.

¿Sigues teniendo con la nueva versión el mensaje de Keylogger?.

Saludos.

Si que me apareció y lo metí en exclusiones. Quieres que te envíe el archivo? o te paso la carpeta de drivers del cd de instalación del teclado+ratón CHERRY. Lo que quieras.

[harlan4096]

Si que me apareció y lo metí en exclusiones. Quieres que te envíe el archivo? o te paso la carpeta de drivers del cd de instalación del teclado+ratón CHERRY. Lo que quieras.

No, no es necesario, es un driver legal, pero por su comportamiento, KIS lo detecta como un keylogger.

Saludos.