Buenas noches,
En primer lugar presentarme ya que este es mi primer post ene ste forum que por cierto me parece muy interesante y útil, sobre para aquellos que no estamos muy puestos en estos temas.
Hace varios días compre el KAV 2009 (v 8.0.0.454) y después de bastantes problemas para instalarlo (ya que anteriormente tenía el Mcafee) por fín lo instalé.
El problema viene cuando quiero actualizar las bases de datos, ya que al cabo de unsos segundos me aparece la típica ventana de windows diciéndome "kaspersky Antivirus ha detectado un problema y debe cerrarse" "Informe a Microsoft de este problema" ......... "para ver los datos que contiene este informe de errores haga click aquí"
El informe de errores incluye los siguientes archivos:
C:\DOCUME~1\PROPIE~1\temp\WERdf8c.dir00\avp.exe.mdmp
C:\DOCUME~1\PROPIE~1\temp\WERdf8c.dir00\appcompat.txt
El sistema operativo es Windows XP Home Edition y SP3.
Adjunto los archivos gsi y avzlog.
Click to view attachment
Click to view attachment
Un saludo y muchas gracias
Full Version: Kaspersky se cierra al actualizar
El GSI indica que tienes software potencialmente incompatible:
También se te recomienda actualizar driver de red:
Tienes el sistema contaminado, al menos estos archivos son muy sospechosos:
C:\WINDOWS\system32\optyhww0.dll
rapiproxystub.dll
help.exe
C:\WINDOWS\system32\urretnd.exe
C:\autorun.inf
C:\gldegkby.cmd
Desinstala/desactiva el Live One Care, elimina restos de McAfee, actualiza driver de red, y que algún Moderador te genere un AVZ Script para eliminar la desinfección, luego desinstala KIS 2009, pasa limpiador de registro CCleaner y RegSupreme y vuelve a instalar KIS 2009.
Saludos.
QUOTE
Software potencialmente incompatible
Programas instalados [1]
=> Windows Live OneCare Protección infantil
Controladores en ejecución
=> Nombre del archivo Mpfp.sys ( find it!) - McAfee Personal Firewall Plus
=> Nombre del archivo mferkdk.sys ( find it!) - SYSCORE.13.3.0.120.x86
=> Nombre del archivo mfesmfk.sys ( find it!) - SYSCORE.13.3.0.120.x86
Programas instalados [1]
=> Windows Live OneCare Protección infantil
Controladores en ejecución
=> Nombre del archivo Mpfp.sys ( find it!) - McAfee Personal Firewall Plus
=> Nombre del archivo mferkdk.sys ( find it!) - SYSCORE.13.3.0.120.x86
=> Nombre del archivo mfesmfk.sys ( find it!) - SYSCORE.13.3.0.120.x86
También se te recomienda actualizar driver de red:
QUOTE
Controladores para actualizar
Plug'nPlay Driver
=> Realtek RTL8139/810x Family Fast Ethernet NIC Nueva actualización disponible
Versión actual: 5.621.304.2005 -> [ Nueva 5.681 WHQL AQUI ]
Disponible para Windows XP
Plug'nPlay Driver
=> Realtek RTL8139/810x Family Fast Ethernet NIC Nueva actualización disponible
Versión actual: 5.621.304.2005 -> [ Nueva 5.681 WHQL AQUI ]
Disponible para Windows XP
Tienes el sistema contaminado, al menos estos archivos son muy sospechosos:
C:\WINDOWS\system32\optyhww0.dll
rapiproxystub.dll
help.exe
C:\WINDOWS\system32\urretnd.exe
C:\autorun.inf
C:\gldegkby.cmd
Desinstala/desactiva el Live One Care, elimina restos de McAfee, actualiza driver de red, y que algún Moderador te genere un AVZ Script para eliminar la desinfección, luego desinstala KIS 2009, pasa limpiador de registro CCleaner y RegSupreme y vuelve a instalar KIS 2009.
Saludos.
Ejecuta este script:
Luego busca el fichero host en windows/system32/drivers/etc/
Editalo, y deja solo la línea 127.0.0.1 localhost.
Despues de ejecutar el script, postea tu combofix log:
Descargalo aquí
Antes de guardarlo, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.
Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.
Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.
Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.
Una vez realizada la limpieza, terminado de usar el ComboFix, se recomienda desinstalarlo, sigue los siguientes pasos:
Ve a Inicio -> Ejecutar -> Teclea o copia y pega el siguiente comando ComboFix /u y pulsa Entrar (enter)
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\gldegkby.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\gldegkby.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\gldegkby.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\gldegkby.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
Luego busca el fichero host en windows/system32/drivers/etc/
Editalo, y deja solo la línea 127.0.0.1 localhost.
Despues de ejecutar el script, postea tu combofix log:
Descargalo aquí
Antes de guardarlo, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.
Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.
Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.
Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.
Una vez realizada la limpieza, terminado de usar el ComboFix, se recomienda desinstalarlo, sigue los siguientes pasos:
Ve a Inicio -> Ejecutar -> Teclea o copia y pega el siguiente comando ComboFix /u y pulsa Entrar (enter)
QUOTE(RadarpSP @ 1.02.2009 11:14) 
Ejecuta este script:
Luego busca el fichero host en windows/system32/drivers/etc/
Editalo, y deja solo la línea 127.0.0.1 localhost.
Despues de ejecutar el script, postea tu combofix log:
Descargalo aquí
Antes de guardarlo, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.
Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.
Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.
Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.
Una vez realizada la limpieza, terminado de usar el ComboFix, se recomienda desinstalarlo, sigue los siguientes pasos:
Ve a Inicio -> Ejecutar -> Teclea o copia y pega el siguiente comando ComboFix /u y pulsa Entrar (enter)
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\gldegkby.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\gldegkby.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\gldegkby.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\gldegkby.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
Luego busca el fichero host en windows/system32/drivers/etc/
Editalo, y deja solo la línea 127.0.0.1 localhost.
Despues de ejecutar el script, postea tu combofix log:
Descargalo aquí
Antes de guardarlo, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.
Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.
Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.
Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.
Una vez realizada la limpieza, terminado de usar el ComboFix, se recomienda desinstalarlo, sigue los siguientes pasos:
Ve a Inicio -> Ejecutar -> Teclea o copia y pega el siguiente comando ComboFix /u y pulsa Entrar (enter)
Muy bueno el manuel RadarpSP... lo felicito y gracias....!!!!
Saludos....
Buenas tardes,
Como ya dije en el primer post, soy un poco profano en la materia, con lo cual me viene la primera duda: ¿Cómo se ejecuta un sript?
Gracias por la paciencia.
Como ya dije en el primer post, soy un poco profano en la materia, con lo cual me viene la primera duda: ¿Cómo se ejecuta un sript?
Gracias por la paciencia.
QUOTE(kasper2009 @ 4.02.2009 15:03)
Buenas tardes,
Como ya dije en el primer post, soy un poco profano en la materia, con lo cual me viene la primera duda: ¿Cómo se ejecuta un sript?
Gracias por la paciencia.
Como ya dije en el primer post, soy un poco profano en la materia, con lo cual me viene la primera duda: ¿Cómo se ejecuta un sript?
Gracias por la paciencia.
Pantalla principal de KIS 2009 -> abajo a la izquierda - > Soporte -> Herramientas de Soporte -> Ejecutar Script AVZ -> copias/pegas el script generador por Radar -> Ejecutar, reinicia el sistema si te lo pide y nos comentas:
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\gldegkby.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\gldegkby.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\gldegkby.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\gldegkby.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
Saludos.
Buenas noches,
gracias por la aclaración. He ejecutado ele script, he desacargado el combofix y adjunto el archivo txt que ha generado.
Click to view attachment
gracias por la aclaración. He ejecutado ele script, he desacargado el combofix y adjunto el archivo txt que ha generado.
Click to view attachment
Ejecuta este script:
El pc se reiniciará. Arranca en modo seguro:
Ejecuta regedit y elimina estas claves del registro:
[
Vacía la papelera de reciclaje, desactiva la restauración del sistema.
Reinicia y activa la restauración.
Por si acaso comprueba este archivo c:\windows\WLXPGSS.SCR y mira en sus propiedades quién es el fabricante. Si no es de microsoft o es de confianza lo eliminas.
Desinstala el combofix: Para ello pausa el Kaspersky, ejecuta : combofix /u o como hayas llamado al programa. Activa Kaspersky.
Descarga el superantispyware http://www.superantispyware.com/ y lo pasas. Nos pones el log sin hacer nada.
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\archivos de programa\DemoPb402.exe');
DeleteFile('c:\documents and settings\Propietario\kgbwyd.exe');
DeleteFile('c:\windows\system32\drivers\ndisio.sys');
DeleteFile('c:\windows\system32\secupdat.dat');
DeleteFile('c:\documents and settings\Propietario\vhawii.exe');
DeleteFile('c:\documents and settings\Propietario\whifegx.exe');
DeleteFile('c:\windows\system32\MRT.INI');
DeleteFile('c:\documents and settings\Propietario\fabxmtd.exe');
DeleteFile('C:\v63enh.exe');
DeleteFile('c:\windows\system32\urretnd.exe');
DeleteFile('c:\windows\system32\optyhww1.dll');
DeleteFile('C:\imo.exe');
DeleteFile('c:\windows\QTFont.qfn');
DeleteFile('c:\windows\QTFont.for');
DeleteFile('c:\windows\system32\optyhww0.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\archivos de programa\DemoPb402.exe');
DeleteFile('c:\documents and settings\Propietario\kgbwyd.exe');
DeleteFile('c:\windows\system32\drivers\ndisio.sys');
DeleteFile('c:\windows\system32\secupdat.dat');
DeleteFile('c:\documents and settings\Propietario\vhawii.exe');
DeleteFile('c:\documents and settings\Propietario\whifegx.exe');
DeleteFile('c:\windows\system32\MRT.INI');
DeleteFile('c:\documents and settings\Propietario\fabxmtd.exe');
DeleteFile('C:\v63enh.exe');
DeleteFile('c:\windows\system32\urretnd.exe');
DeleteFile('c:\windows\system32\optyhww1.dll');
DeleteFile('C:\imo.exe');
DeleteFile('c:\windows\QTFont.qfn');
DeleteFile('c:\windows\QTFont.for');
DeleteFile('c:\windows\system32\optyhww0.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
El pc se reiniciará. Arranca en modo seguro:
Ejecuta regedit y elimina estas claves del registro:
[
CODE
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cbvcs"="c:\windows\system32\urretnd.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{240fa0fc-9b7f-11db-a1e0-0014a56d9b94}]
\Shell\AutoRun\command - E:\x.cmd
\Shell\open\Command - E:\x.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{99ESP9C2-4FED-15CF-AAE5-62CB5F2X4512}]
c:\recycler\S-1-5-21-1254416572-1263425100-317347820-0350\system.exe
"cbvcs"="c:\windows\system32\urretnd.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{240fa0fc-9b7f-11db-a1e0-0014a56d9b94}]
\Shell\AutoRun\command - E:\x.cmd
\Shell\open\Command - E:\x.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{99ESP9C2-4FED-15CF-AAE5-62CB5F2X4512}]
c:\recycler\S-1-5-21-1254416572-1263425100-317347820-0350\system.exe
Vacía la papelera de reciclaje, desactiva la restauración del sistema.
Reinicia y activa la restauración.
Por si acaso comprueba este archivo c:\windows\WLXPGSS.SCR y mira en sus propiedades quién es el fabricante. Si no es de microsoft o es de confianza lo eliminas.
Desinstala el combofix: Para ello pausa el Kaspersky, ejecuta : combofix /u o como hayas llamado al programa. Activa Kaspersky.
Descarga el superantispyware http://www.superantispyware.com/ y lo pasas. Nos pones el log sin hacer nada.
Para eliminar las claves en el registro que te comenta RadarpSP
Ejecuta este script:
Saludos
Ejecuta este script:
QUOTE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Saludos
Buenas tardes,
Adjunto el log después depasar el superantispyware.
Adjunto el log después depasar el superantispyware.
Enviame un mensaje privado con este fichero comprimido con winrar y con contraseña "infected"
C:\WINDOWS\SYSTEM32\DRIVERS\JPFUQRIE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\JPFUQRIE.SYS
Buenos dias,
Pongo el archivo aquí porque no estoy seguro de que haya llegado el mensaje privado
Adjunto retirado:
Pongo el archivo aquí porque no estoy seguro de que haya llegado el mensaje privado
Adjunto retirado:
QUOTE(kasper2009 @ 14.02.2009 07:29)
Buenos dias,
Pongo el archivo aquí porque no estoy seguro de que haya llegado el mensaje privado
Pongo el archivo aquí porque no estoy seguro de que haya llegado el mensaje privado
Hola que tal, aqui esta la respuesta:
New malicious software was found in the attached file. Its detection will be included in the next update. Thank you for your help.
No tengo idea porque no lo ha detectado la HEUR
, por otro lado SI lo detecta la sombrilla como: TR/Dropper.GenSaludos
Buenas noches,
Quiere eso decir que un día de estos se actualizará el antivirus sin que aparezca el msg de que Kaspersky ha detectado un problema y debe cerrarse, o tengo que hacer alguna cosa más?
Gracias
Quiere eso decir que un día de estos se actualizará el antivirus sin que aparezca el msg de que Kaspersky ha detectado un problema y debe cerrarse, o tengo que hacer alguna cosa más?
Gracias
QUOTE(kasper2009 @ 16.02.2009 20:37)
Buenas noches,
Quiere eso decir que un día de estos se actualizará el antivirus sin que aparezca el msg de que Kaspersky ha detectado un problema y debe cerrarse, o tengo que hacer alguna cosa más?
Gracias
Quiere eso decir que un día de estos se actualizará el antivirus sin que aparezca el msg de que Kaspersky ha detectado un problema y debe cerrarse, o tengo que hacer alguna cosa más?
Gracias
Si aún te sigue el problema de que K. se cierra o no actualiza, genera de nuevo el GSI y el AVZ log, por si aún se nos ha escapado algo o ha quedado algún resto. posiblemente a veces la mejor opción después de realizar una desinfección del sistema es desinstalar KAV/KIS, pasar un buen limpiador RegSupreme y volver a instalarlo una vez ya está todo limpio.
Saludos.
El fichero que me has enviado, ha sido añadido a las firmas como: Rootkit.win32.agent.hqc .
Click to view attachment
Genera un nuevo gsi y un nuevo avz log para revisarlos.
Desinstala completamente Kaspersky, reinicia el equipo, pasale un buen limpiador de registro (jv16, regsupreme (modo normal no agresivo), ccleaner (gratuito), etc...), e instala Kaspersky de nuevo, y nos cuentas si asi te actualiza bien, postea también el log de las actualizaciones de kaspersky para revisarlo.
Saludos
Click to view attachment
Genera un nuevo gsi y un nuevo avz log para revisarlos.
Desinstala completamente Kaspersky, reinicia el equipo, pasale un buen limpiador de registro (jv16, regsupreme (modo normal no agresivo), ccleaner (gratuito), etc...), e instala Kaspersky de nuevo, y nos cuentas si asi te actualiza bien, postea también el log de las actualizaciones de kaspersky para revisarlo.
Saludos
Buenas noches,
Bueno por fín se ha solucionado todo y ya se actualiza sin problemas.
Muchas gracias por vuestra ayuda.
Adjunto el log AZV
Click to view attachment
Bueno por fín se ha solucionado todo y ya se actualiza sin problemas.
Muchas gracias por vuestra ayuda.
Adjunto el log AZV
Click to view attachment
Elimina el fichero C:\autorun.inf. Antes enviamelo por pm.
Desactiva el Superantispyware del inicio.
Desactiva el Superantispyware del inicio.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.