Jump to content

Recommended Posts

Tenemos en red 15 ordenadores con el Kaspersky version 11.01.400

SO; Windows XP sp2 y 3 + Windows 7

Sintomas detectados:

Algo hace que todos los archivos en red acad.lsp se modifiquen a acad.lsp_bak.

Asimismo en los ordenadores con Windows XP salen continuos mensajes tipo:

 

"No hay disco. Inserte disco en la unidad \Device\Harddisk1 \Dr2 "

o

"No hay disco. Exception Processing Message c0000013 Parameters...."

 

URGENTE AYUDA

 

Saludos

Share this post


Link to post

Hola,

 

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

 

Sube toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, sube tu getsysteminfo (gsi)

utilizando la ultima versión disponible del mismo, sube tu avzlog para revisarlo, etc...) para que te podamos ayudar.

 

Para generar el getsysteminfo (gsi) revisa este enlace: http://support.kaspersky.com/sp/faq/?qid=208281645

Getsysteminfo (GSI) descarga directa: http://www.getsysteminfo.com/download/GetSystemInfo.exe

 

Para generar el avz log revisa estos enlaces: http://support.kaspersky.com/sp/faq/?qid=208282267 y http://forum.kaspersky.com/index.php?showtopic=116409

AVZ descarga directa: http://www.z-oleg.com/avz4.zip

 

Saludos

Share this post


Link to post

Hola,

 

Eso de los errores que comentas no parece producido por ninguna infección.

 

Me parece mas bien que es algún fallo del sistema o de la red.

 

Postea GSI y AVZ como te han indicado.

 

 

Saludos.

Share this post


Link to post
Algo hace que todos los archivos en red acad.lsp se modifiquen a acad.lsp_bak.

 

Eso parece producido por una Hacktool o virus ARCAD, mira este enlace, te puede ayudar:

 

 

www.forospyware.com/t183309.html

 

Saludos.

Share this post


Link to post

 

El GSi esta aqui

http://www.getsysteminfo.com/read.php?file...8f005e8069f859c

y el AVZ en el archivo adjunto

Como ya he dicho la infección es en diversos ordenadores, la mayoria en W XP sp2 como es el caso de esta y en un solo caso en W7.

El Kaspersky es el internet security 11 version 11.01.400.

 

A parte de renombrar el archivo acad.lsp va creando unos archivos invisibles en las carpetas donde hay archivos que se abren en Autocad 2008 que se llaman acad.fas

Share this post


Link to post

Hola,

 

Este archivo:

 

C:\WINDOWS\system32\r_server.exe

 

¿Lo instalaste tu?

 

Según he visto es un administrador remoto

 

Saludos.

Share this post


Link to post

Sube el AVZ Sysinfo log, pues no está anexo en el mensaje anterior ... por descontado deberías desinstalar todos as aplicaciones/antivirus incompatibles con Kaspersky:

 

=> ESET Online Scanner v3

=> Panasonic Windows Firewall Setting Tool

=> Panda ActiveScan 2.0

=> Windows Firewall Setting Tool

 

Revisa el Propiedades del sistema -> Registro de Eventos en tu GSI, pues te aparecen errores ...

 

Saludos.

Share this post


Link to post

Añado: Restos de Avira, Trend Micro, ....

 

Recomendaciones a falta de recibir el avz log.

 

Instala el Service Pack 3 de Windows Xp y el Service Pack 1 de Windows 7, junto con todas las actualizaciones disponibles de Windows.

 

Desinstala la versión 11.0.1.400 e instala la última versión disponible 11.0.2.556, como ya se ha comentado anteriormente, mientras tu licencia no haya caducado son gratuitas las actualizaciones de tu producto.

 

Saludos

Share this post


Link to post
Hola,

 

Este archivo:

 

C:\WINDOWS\system32\r_server.exe

 

¿Lo instalaste tu?

 

Según he visto es un administrador remoto

 

Saludos.

 

Si, el radmin server me lo instale yo mismo hace tiempo

Share this post


Link to post
Sube el AVZ Sysinfo log, pues no está anexo en el mensaje anterior ... por descontado deberías desinstalar todos as aplicaciones/antivirus incompatibles con Kaspersky:

Revisa el Propiedades del sistema -> Registro de Eventos en tu GSI, pues te aparecen errores ...

 

Saludos.

 

 

Ahi va

sysinfo.zip

Edited by sigpasc

Share this post


Link to post

Sigues sin adjuntarlo.

 

Revisa que estes subiendo el fichero sysinfo.zip o virusinfo_syscure.zip que debe contener los ficheros:

avz_sysinfo.htm

avz_sysinfo.xml

 

post-59156-1304086680_thumb.jpg

 

Como alternativa, puedes subirlo a un servidor de ficheros http://www.megaupload.com o http://www.fileserve.com/ y publicar el enlace de descarga.

 

 

Share this post


Link to post
Sigues sin adjuntarlo.

 

Revisa que estes subiendo el fichero sysinfo.zip o virusinfo_syscure.zip que debe contener los ficheros:

avz_sysinfo.htm

avz_sysinfo.xml

 

post-59156-1304086680_thumb.jpg

 

Como alternativa, puedes subirlo a un servidor de ficheros http://www.megaupload.com o http://www.fileserve.com/ y publicar el enlace de descarga.

 

Ahora creo que si, en el post anterior

Share this post


Link to post
Sube el AVZ Sysinfo log, pues no está anexo en el mensaje anterior ... por descontado deberías desinstalar todos as aplicaciones/antivirus incompatibles con Kaspersky:

Revisa el Propiedades del sistema -> Registro de Eventos en tu GSI, pues te aparecen errores ...

 

Saludos.

 

...y eso (registro eventos) como se repara?

Edited by sigpasc

Share this post


Link to post

Este archivo de tu AVZ me suscita dudas;

 

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP11\Bases\Cache\kjim.kdl.05d364b65e516c2a2e5d7d3cff26df44

 

Ademas lo da como sospechoso...

Edited by KASsp

Share this post


Link to post
Este archivo de tu AVZ me suscita dudas;

 

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP11\Bases\Cache\kjim.kdl.05d364b65e516c2a2e5d7d3cff26df44

 

Ademas lo da como sospechoso...

 

No es nada.

 

Share this post


Link to post

Comento lo que hecho:

Los archivos acad.fas se habian multiplicado por miles en la red por todas las carpetas donde existian archivos de autocad. Por lo visto estos archivos se cargan al abrir Autocad modificando su configuración y al mismo tiempo imagino que es cuando se dedica a buscar por la red carpetas y dejar el regalito.

De momento parece que eliminando estos archivos se ha solucionado.

El origen de esto creo (tengo que aislar un ordenador y hacer la prueba) son unos archivos de autocad que recibimos de fuera que al abrirlos preguntaban si querias cargar no se que de fuentes chinas o japonesas.

Si es eso no entiendo por que el antivirus no se entera y como hacer si se puede para "limpiar" esos archivos

Edited by sigpasc

Share this post


Link to post

Si aún tienes algún sistema contaminado, podrías recopilar todos esos archivo que se comentan, comprimirlos y enviarmelos por mensaje privado del foro.

 

Saludos.

Share this post


Link to post

Por lo que veo esos archivos teóricamente deberían ser detectados por Kaspersky:

 

https://www.virustotal.com/file-scan/report...6525-1304442401

 

Al bajar el archivo comprimido (sin contraseña) que me has pasado por mensaje privado, el KIS2012 me los ha detectado desde el módulo de Antivirus para Web:

 

post-5997-1304442841_thumb.png post-5997-1304442848_thumb.png

 

Sin embargo, el módulo de escaneo bajo demanda ni los huele, debe haber algún error ... tendré que informar a KLabs de esta situación ...

 

De hecho he probado a analizar el archivo con mi Kaspersky Anti-Virus 6.0.4 para Workstations, y los detecta perfectamente on demand ... así que debe haber un problema o bien en la red KSN o bien en las bases de los KIS/KAV2010-2011-2012 ...

 

Lo he probado igualmente en una VM donde tengo un KIS2011 y tampoco los ha detectado en on demand ...

 

Es asunto es bastante extraño, porque el KIS2012 en el panel de informes si los detecta, al hacer un análisis on demand, pero no avisa de la detección ni ofrece la opción para eliminarlos, mirad esta captura de pantalla:

 

post-5997-1304448304_thumb.png post-5997-1304451551_thumb.png

 

Saludos.

Edited by harlan4096

Share this post


Link to post

Anoche envié la info a uno de los desarrolladores de KLabs, y me acaban de contestar:

 

Hi!

Fixed. It was problem of KSN sad.gif Instructions for user:

1. Disable iChecker and iSwift for full scan

2. Disable network connection

3. Run full scan

If full scan very long and user can not wait he can disable i* for Scan critical areas and run this task.

 

Traducción del mensaje:

 

Solucionado. Era un problema del KSN. Instrucciones para el usuario:

 

1. Desactivar iChecker y iSwift en el Análisis Completo del sistema.

2. Desactivar conexión de red del sistema.

3. Ejecutar un Análisis Completo del sistema.

 

Si el Análisis Completo del sistema va a tardar mucho, puedes seguir los pasos 1 y 2, pero para el Análisis de Áreas/Zonas Críticas del sistema, y correr ésta tarea.

 

Añadido: Si aún así tampoco te los detecta, desactivando temporalmente la Autoprotección de Kaspersky, debes borrar la carpeta Reports que hay dentro de:

 

C:\ProgramData\Kaspersky Lab\AVP11 (en Windows 7)

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP11 (en Windows XP)

 

Lo he comprobado a mi ya me los detecta, aún así, en breve ya estará corregido el error vía KSN.

 

Saludos.

Edited by harlan4096

Share this post


Link to post

Paso informe de la evolución del caso:

Durante el dia de ayer no hubo ninguna incidencia. Los ordenadores que habian tenido más afectación trabajaban al margen del servidor, para intentar controlar cualquier evolución por separado, pero no paso nada. La limpiexa la realice manualmente uno a uno, limpiando la entrada de registro del link que deje el otro dia, los multiples archivos acad.fas y la fuente que creaba en la carpeta Fonts de Autocad.

Ayer cuando vi el reporte anterior hice las modificaciones en el antivirus y esta noche se han hecho los analisis completos. Ciertamente ahora el antivirus si detecta los archivos anteriores.

En los analisis se han encontrado algun rastro (normalmente en papeleras y solo un caso en el propio ordenador (¿?)

Hoy volveremos a conectarlo todo al servidor excepto este ultimo que lo mantendré un tiempo más aislado.

 

Por otro lado y solo en una caso me he encontrado que el analisis se queda bloqueado en el 1% y no hay manera de detenerlo. Si cierro el antivirus y lo vuelvo a ejecutar me dice que la proteccion no esta en ejecucion y no me permite activarla. La unica manera que he encontrado para reiniciar el antivirus es reiniciando el ordenador.

En un par de casos se ha quedado bloqueado en una carpeta llamada Mount PointManager Remote DAtabase, creo que de System Imformation. En otro de un archivo de Windows: winhlp32.exe si no recuerdo mal. De todos modos no creo que tenga que ver con lo otro. Aunque creo que este es el ordenador donde se origino todo.

 

Gracias por todo,

 

SAludos

Share this post


Link to post

Por lo que veo aún no han corregido el problema en el KSN, así que para que dichos archivos se puedan detectar de forma normal, es decir, que por ahora habría que hacer las modificaciones de mi anterior post para que se pudieran detectar.

 

De cualquier forma, sobre los problemas que me comentas de los análisis ... ya habría que ir analizando cada ordenador (viendo sus informes GSI y AVZ Sysinfo) para ver si tienen algún software incompatible, hardware (discos duros) o algún otro tipo de problemas relacionados con el sistema operativo, etc...

 

Saludos.

Share this post


Link to post

Lo que me bloquea el analisis y cualquier cosa que intente hacer con este archivo es el tracking.log dentro de System Volume Information.

Ignoro si ocurre algo si lo elimino (deberia ser a modo prueba de fallos porque sino no se deja

 

Hay algun modo de realizar el analisis evitando este archivo ?

No he encontrado la opcion para hacerlo

saludos

Edited by sigpasc

Share this post


Link to post

 

Puedes desactivar la restauración de sistema, reiniciar y volver a activarla.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.