KAV no arranca, no se termina de instalar, ..., 'Algo' en el arranque del equipo impide al KAV ejecutarse Options

[paquichi]

Producto instalado: Kaspersky Antivirus (KAV)

Versión e idioma: Kaspersky Antivirus 2010 v9.0.0.459 (Español)

Sistema operativo: Microsoft Windows XP Professional Service Pack 3 (build 2600)


Soy usuario del KAV desde hace tiempo. En mayo renové la licencia e instale el KAV 2009 que ha estado funcionando sin problemas, pero el pasado miercoles 23 de junio me dí cuenta de que el icono de la aplicación no se encontraba en el panel de notificación de la barra de tareas. No creo que hubiera pasado antes de este día, pero no puedo decirlo con seguridad.

Intenté arrancarlo manualmente desde los accesos directos del Menu Inicio pero no hizo nada.

Reinicié el equipo para ver si arrancaba por su cuenta como siempre pero tampoco arrancó.

Desde la utilidad para desinstalar, elegí la opción de Reparar, pero continuó igual.

Lo desinstalé y volví a instalarlo. Una vez terminada la fase de instalación me mostró una ventana indicandome que se iba a proceder a configurarlo, pero a continuación no hacía nada, como si hubiera terminado, y si volvía a intentar inslalarlo me decía que antes de instalar tenía que reiniciar el equipo.

A todo esto, tanto en el caso de tener el KAV instalado, como cuando ya no lo estaba, si consultaba el Centro de seguridad de windows, siempre indicaba que la Protección antivirus estaba Activada y con el semaforito en verde y con el texto "Kaspersky Anti-Virus informa que está actualizado y que la detección de virus está activada. Los antivirus ....", ya digo que incluso despues de desinstalarlo lo sigue mostrando.

Intenté restaura el sistema al día anterior, pero me daba un mensaje de que no se podía restaurar en ese punto. Lo intente en dos o tres fechas mas pero en todos los casos me mostró el mismo mensaje de que no se podía restaurar en ese punto.

Ejecuté el AV online tanto de Kaspersky como de otras dos compañías pero no me detectaron nada.

Me bajé un disco de rescate de KAV que por lo vista arranca en Linux, pero me ha sido imposible utilizarlo ya que se queda colgado durante el arranque en el proceso de detección de hardware al llegar al procesador que es lo último que anota en el monitor: 'AMD Atlon 2X Dual Core 6000+ @ 3 [ok]'.

Lo intenté con un disco de rescate de la competencia que sí arrancó pero no encontró virus.

Lo volví a intentar con otro disco de rescate generado a partir del KAV 2009 desde otro equipo pero que me hizo bajarme la utilidad PE-Builder. Esta vez si pude arrancar, pero tras ejecutar el KAV tampoco se encontraban virus.

A todo esto, he intentado arrancar el Servicio 'Kaspersky Anti-Virus' desde el Administrador del equipo, que aparece como Automático pero está detenido, y cuando le doy a iniciar tras mostrar el mensaje de que está intentando iniciar el servicio muestra el siguiente mensaje de error:
"No se puede iniciar el servicio Kaspersky Anti-Virus en Equipo local.
Error 1053: El servicio no ha respondido a la petición o inicio del control en un tiempo adecuado."

Me bajé e instale el KIS 2009 trial para ver que ocurria, pero lo mismo aunque parece que se ha instalado, no aparece la pantalla de configuración ni pide reiniciar, reinicias y sigue sin cargar el servicio.

Me bajé e instale la última versión del KAV 2010 y lo mismo exactamente.

Harto de todo esto, como dispongo de un segundo disco duro, decido instalar un sistema operativo en el mismo para arrancar desde él, y le instalo el KAV 2010. En este caso si se termina la instalación, escaneo todo el equipo y me encuentra: "virus HEUR:Trojan.Win32.Generic en D:\WINDOWS\system32\prnet.tmp" y me pone el fichero en cuarentena, lo envio junto con una descripción mas breve que esta a newvirus@kaspersky.com

Nota: D:\WINDOWS\ es el directorio de windows del sistema operativo INFECTADO, aunque en los log AVZ y GSI pueda aparecer como C: porque tengo cambiadas las letras de las unidades de disco en dicho sistema.


Me contestan lo siguiente:

Hello,

prnet.tmp_ - Trojan-Clicker.Win32.VBiframe.oe

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.


El problema es que a pesar de haber encontrado el fichero infectado, el virus continua ejecutandose porque al arrancar desde el sistema operativo infectado y continuo sin protección Anti-Virus. Me imagino que ahora habrá que localizar y borrar algún fichero para que deje de actuar.


NOTA: Los ficheros que adjunto AVZ y GSI, lógicamente pertenecen al Sistema operativo INFECTADO.


Perdón por el rollo, gracias por atendernos y un saludo.

Attached File(s)

 virusinfo_syscure.zip ( 37K ) Number of downloads: 5
 GetSystemInfo_FAMILIAR_Papa_2009_06_28_22_36_30.zip ( 129K ) Number of downloads: 1

 

[harlan4096]

Tu GSI: http://www.getsysteminfo.com/read.php?file...ed8a9f&ms=1

Tu AVZ: http://www.getsysteminfo.com/read.php?file...c23f79228c90eec

Tienes rastros de Panda (software potencialmente incompatible con K.):

C:\WINDOWS\Downloaded Program Files\as2stubie.dll
Script: Quarantine, Delete, BC delete Panda ActiveScan 2.0 Stub Library © Panda Security 2009 {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8}
Delete http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab


C:\WINDOWS\downloaded program files\ [1]
=> Nombre del archivo C:\WINDOWS\Downloaded Program Files\as2stubie.dll - Panda ActiveScan 2.0

Y de BitDefender:

C:\WINDOWS\DOWNLO~1\oscan8.ocx
Script: Quarantine, Delete, BC delete BitDefender Online Scanner © SOFTWIN. All rights reserved. {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
Delete http://www.bitdefender.es/scan_es/scan8/oscan8.cab

C:\WINDOWS\bdoscandel.exe



Se te recomienda actualizar driver de red: => Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC: Nueva actualización disponible

Desinstala/elimina archivos y/o claves de registro de esas aplicaciones de seguridad incompatibles, pasa un limpiador de registro CCleaner y/o jv16 PoweTools (en modo no profundo) y prueba, si el problema persiste, desinstala KAV 2010, pasa de nuevo los limpiadores de registro y prueba de nuevo.


Actualiza KAV, asegúrate también de configurar Kaspersky con la opción Configuración -> Amenazas y Exclusiones -> Amenazas -> Configuración -> activas casilla: Otros programas. Realiza en Modo Seguro de Windows un Análisis Completo del sistema con Kaspersky actualizado, modificando las opciones para que compruebe Todos los archivos, Análisis Heurístico Avanzado y Búsqueda de procesos Ocultos -> avanzado.

Saludos.

This post has been edited by harlan4096: 29.06.2009 21:54

[paquichi]

Hola. Siento no haber podido terminar hasta ahora de hacer los cambios que me comentas a pesar de lo deprisa que me has respondido.



Borrados todos los ficheros y entradas del registro indicadas.

Actualizado el driver de red.

Ejecutado CCleaner v2.20.920 y ejecutada la limpieza del registro.

Intento arrancar el avp.exe, pero sigue sin funcionar.

Desintalo el K. y reinicio.

Abro el Centro de Seguridad y continua indicando que la Protección antivirus está Activada y con el texto "Kaspersky Anti-Virus informa que está actualizado ...."

Vuelvo a ejecutar CCleaner.

Instalo "kav9.0.0.459es.exe", durante la instalación busca las últimas modificaciones. Termina la instalación pero no me pide que lo configure ni que reinicie.

Reinicio.

El K sigue sin arrancar. Ni manualmente.

Reinicio en modo seguro.

El K tampoco arranca, por lo que no puedo realizar el scaneado.

Reinicio en modo normal.

Desinstalo el K.

Reinicio en modo seguro.

Intento instalar el K pero no me funciona el MS Installer en este modo.

Reinicio desde el otro disco y hago un scan de todo el equipo con las configuraciones indicadas. No detecta nada.

Reinicio desde el PRINCIPAL y vuelvo a instalar el K con los mismos resultados de siempre: no pide configurar, no pide reiniciar.

Reinicio para que concluya la instalación.

Ejecuto el CCleaner.

Genero dos nuevos ficheros AVZ y GSI que vuelvo a enviar.



Gracias de nuevo.

Attached File(s)

 virusinfo_syscure_2009_07_01.zip ( 36.59K ) Number of downloads: 2

 

[RadarpSP]

Elimina el fichero C:\WINDOWS\bdoscandel.exe
Luego ejecuta msconfig
en la pestaña servicios marca la casilla ocultar los de Microsoft.
Desmarca todos los servicios que quedan salvo los de Kaspersky.
En la pestaña inicio desmarca todo menos avp
Apunta los cambios y reinicia el equipo.

[paquichi]

Eliminado el fichero C:\WINDOWS\bdoscandel.exe
Ejecuto msconfig, marco la casilla 'ocultar los de Microsoft' y desmarco todos los servicios que quedan salvo los de Kaspersky; desmarco todo menos avp en la pestaña 'inicio'.
Reinicio el equipo.

Continua exactamente igual.

Desinstalo K y reinicio con el mismo inicio selectivo anterior.
Vuelvo a instalar K en este modo, pero igual que antes nada indica que haya terminado ya que no pide ni configurar ni reiniciar, simplemente se cierra la ventana de la instalación y listo.
Reinicio con el mismo inicio selectivo anterior.

Continua exactamente igual, ni se ha ejecutado en el arranque, ni ha arrancado el servicio, ni arranca manualmente el servicio, ni desde el acceso directo.

Desinstalo K.
Ejecuto msconfig, desactivo la casilla 'ocultar los de Microsoft' y marco todos los servicios salvo los indicados como esenciales y el 'Windows Installer'; desmarco todo en la pestaña 'inicio'.
Reinicio el equipo.
Instalo K de nuevo, pero como siempre no acaba como esperaba.
Vuelvo a reiniciar en este mismo modo.
No arranca el K, pero compruebo que es porque habría que arrancar otros servicios que están deshabilitados.
Ejecuto msconfig y lo vuelvo a dejar como la primera vez: todos los servicios de Microsoft activados y los demás desactivado excepto el K.
Reinicio.

Continua sin arrancar el K.

Como no se me ocurre que otra cosa puedo hacer, ejecuto el msconfig y lo pongo en 'Inicio normal'

Volvemos a la situación inicial.


Gracias de nuevo.

[harlan4096]

Por ahora se me han acabado las ideas, debe haber algo mal en tu sistema, no es normal ...

Saludos.

[Caos]

Si tienes acceso a otro equipo, prueba a instalar una versión anterior de Kaspersky que genere el disco de rescate de kaspersky basado en pe builder, y prueba con ese cd de rescate, ya que parece que la versión basada en linux te da problemas, revisa que te bajaste la ultima iso del cd de rescate linux.

En cuanto pueda reviso el post con mas detenimiento, y tu avz log.

Saludos

[paquichi]

Gracias a ambos.

El disco de rescate basado en PE builder lo cree desde un equipo con el KAV2009 y lo pasé antes de abrir el Tema actual, no obstante volveré a intentarlo.

También volveré a bajarme la iso del CD linux y lo repetiré.

Ya os comento...


Saludos.

[Caos]

Te detecto algo?

Prueba a realizar el escaneo con la utilidad gratuita Kaspersky Virus Removal Tool , que encontraras en: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Desinstala Kaspersky utilizando la utilidad kav remover, descarga: http://support.kaspersky.com/kis2010/service?qid=208279463

Ya nos dirás.

Saludos

This post has been edited by Caos: 3.07.2009 08:38

[Caos]

Ejecuta este script:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{85d1f590-48f4-11d9-9669-0800200c9a66}');
QuarantineFile('C:\WINDOWS\bdoscandel.exe','');
QuarantineFile('.sys','');
DeleteFile('.sys');
DeleteFile('C:\WINDOWS\bdoscandel.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Despues de ejecutar el script, postea tu combofix log:
Descargalo de aquí

Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.

Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.

[paquichi]

Arrancado con el PE-Builder y escaneado. No encuentra nada.
Descargada de nuevo la iso de CD de rescate.
Arranco con ella y ahora si termina de detectar el hardware, pero se queda pillado con la pantalla en negro en el momento en que creo debería mostrar el 'escritorio' con el K abierto para escanear.

***********

Me descargo el Virus Removal Tool y el Kavremover10.
Desinstalo K 2010 con AgregarQuitarProgramas
Ejecuto Kavremover y me dice que no está instalado el KAV2010.
Lo ejecuto desde una ventana de comandos, me da un error de que no encuentra un fichero, pero finaliza el proceso e inmediatamente aparece un mensaje del Centro de Seguridad indicando que el equipo está en riesgo, que no tengo instalado ningún antivirus -algo hemos avanzado-.
Vuelvo a instalar el K, pero continúa sin pedir configuración ni reinicio.
Reinicio.
El centro de seguridad me sigue alertando de que no tengo instalado ningún antivirus.
Desde la ventana de comandos vuelvo a desinstalar el 2010, también lo ejecuto con el 2009, con el Kav7 y con el Kav6 -por si acaso-, en todos los casos me dice que se ha desinstalado correctamente y que tengo que reiniciar.
Nada mas reiniciar aparece un mensaje indicando que se ha terminado de instalar los nuevos controladores y que es necesario reiniciar ¿?. No sé si tendrá algo que ver con las últimas desinstalaciones.
Reinicio.
No termina de arrancar, me muestra la pantalla para elegir usuario pero no me deja elegir ninguno, como si nu hubiera terminado de cargar algo...
Reinicio en modo seguro.
Ejecuto Virus Removal Tool. Es tarde y como todavía le queda un 70% apago el monitor y me voy a descansar. Cuando vuelvo y enciendo el monitor, me encuentro la pantalla de elección de usuario, entro y ya no se está ejecutando ni nada, así que no sé si habrá terminado o qué, porque como se autodesinstala al finalizar, y no sé si me habrá dejado algún log por algún sitio. Está tarde volveré a intentarlo, también ejecutaré el script del último mensaje y ya os comentaré.

Imagino que el script hay que copiarlo y ejecutarlo en la ventana de script del AVZ4.exe, si no es así por favor comentadme como lo hago.

Una duda: en caso necesario cómo puedo adjuntar imagenes -mensajes de error, ...-, porque al pinchar en el botón me pide una url. ¿Hay que subirlas a un servidor previamente?

Seguimos en contacto.

Saludos y gracias.

[harlan4096]

Ejecutar un AVZ Script:

http://forum.kaspersky.com/index.php?showt...mp;#entry974447

Saludos.

[paquichi]

Ejecuto Virus Removal Tool. Me detecta un mensaje con un troyano -un phising haciendose pasar por CajaMadrid- pero es mas reciente que el problema y lo elimino. No encuentra nada mas.
Reinicio el equipo e instalo el K2010, como siempre no termina de instalarse. Vuelvo a reiniciar. El K sigue sin arrancar.
Descargo el combofix.exe como 123.exe
Ejecuto el script que me indicas desde el avz.exe y se reinicia automáticamente.
Nada mas arrancar me sale el asistente de nuevo hardware encontrado. Me lo pienso un poco porque creo que no es momento de instalar nada y se bloquea el equipo.
Reinicio, vuelve a salir el asistente de hardware y pulso rápidamente CANCELAR.
Cierro todas las aplicaciones y ejecuto combofix. Me indica que ha encontrado 'rootkit activity' y hay que reiniciar, que tome nota del nombre de unos ficheros por si luego los necesitamos.
ACEPTO y se reinicia.
Al arrancar en la pantalla de usuarios aparece el logo K.
Vuelve a aparecer el asistente de nuevo hardware y CANCELO.
Rearranca el AutoScan y al cabo de un rato finaliza y se reinicia el equipo.
Nuevamente aparece el logo K al arrancar. También el de nuevo hardware...
Aparece una nueva ventana del combofix: 'Preparando log. No ejecute ningún programa...'.
También aparece el Asistente de configuración de Kaspersky.Introduzco el código de activación, pero me dá un Error de activación: No se puede resolver el nombre del servidor. Pero tampoco tengo Internet ni correo.
Enredo un poco y compruebo que se han borrado las direcciones de servidor DNS, las relleno y ... ya tengo conexión y logro activar K.
Reinicio el equipo y ... aparece el logo, arranca el K, ... parece que finalmente todo va bien.

Adjunto el fichero combofix.txt


La verdad empezaba a perder la esperanza. Muchas gracias por la ayuda y por tu tesón en busca del problema.

Si puedes y te quedan ganas despues de echarle un vistazo al log del combofix de comentar algo acerca de lo que estaba modificando el comportamiento del equipo...

Saludos.... y alguna vez pasas por Majadahonda, me mandas un correo y te invito a unas cañas.

Attached File(s)

 ComboFix.txt ( 13.65K ) Number of downloads: 4

 

[Caos]

En cuanto tenga un hueco reviso el combofix, configura el kaspersky con todas las opciones al máximo, y realiza un escaneo completo de tu equipo, revisa también si tienes discos duros usb, o memorias usb por si están infectadas.

Ya nos dirá si Kaspersky te detecta algo.

Saludos

[paquichi]

Bueno parece que todo sigue funcionando correctamente.

He pasado el K a todo el equipo con el nivel de seguridad MAXIMO y como verás en el informe que adjunto encontró un par de Troyanos que fueron eliminados.


Saludos.

Attached File(s)

 Informe_KAV_2010.txt ( 2.05K ) Number of downloads: 2

 

[Visconti12]

Bueno parece que todo sigue funcionando correctamente.

He pasado el K a todo el equipo con el nivel de seguridad MAXIMO y como verás en el informe que adjunto encontró un par de Troyanos que fueron eliminados.
Saludos.

Realmente estos troyanos se encontraban en puntos de restauración, con lo cual si no restauras el sistema no se ejecutarían.