Carpeta AVG Foro » AVG Gratuito » AVG 2011 Edición Gratuita » No puedo iniciar el equipo con AVG instalado
Página 2 de 2 ‹‹12
1.7.2011 13:11 El supuesto rootkit #5155
Responder con cita | Respuesta rápida | Arriba
ErDracu

Avatar

Novato
Fecha de suscripción: 26.6.2011
Comentarios: 12
Adjunto el archivo que detecta el antivirus como rootkit ubicado en %systemroot%/config32/drivers

su nombre es a347bus.sys

http://www.megaupload.com/?d=WTXDDTXQ

Me equivoque. No es el driver virtual de Daemon Tools. Es el de Alcohol 120% (mismos fines, emulación de ISOS como unidades virtuales)
1.7.2011 13:29 Otra vez. #5156
Responder con cita | Respuesta rápida | Arriba
ErDracu

Avatar

Novato
Fecha de suscripción: 26.6.2011
Comentarios: 12
Podemos descartar lo anterior. Se ha vuelto a quedar bloqueado al inicio. Desinstalado el antivirus en modo seguro, el equipo ha arrancado correctamente.
1.7.2011 13:48 Beep! #5157
Responder con cita | Respuesta rápida | Arriba
ErDracu

Avatar

Novato
Fecha de suscripción: 26.6.2011
Comentarios: 12
Otra cosilla, por si sirve de utilidad. Al arrancar sin antivirus, en la pantalla de login de XP, suena un pitido por el altavoz del ordenador (el interno). Antes de que suene el sonido de la pantalla de bienvenida.

Nunca lo ha hecho, es raro. Supongo que será algun hilo colgando del registro o algo así. La cosa es que en el visor de eventos de windows, no sale nada.
1.7.2011 13:57 Secuencia de arranque #5158
Responder con cita | Respuesta rápida | Arriba
ErDracu

Avatar

Novato
Fecha de suscripción: 26.6.2011
Comentarios: 12
Por cierto, para indicar exactamente cuando se queda el PC en idle, he aquí una secuencia del arranque de windows, y marcaré exactamete donde noto el problema.


Inicialización del Núcleo (Kernel):

Cuando la fase de carga del núcleo (Kernel) se ha completado, se inicializa el Kernel y NTLDR pasa control al núcleo (NTOSKRNL.EXE). Es en este momento cuando el sistema muestra la pantalla gráfica con la barra de proceso de carga. Cuatro tareas van a ocurrir durante esta fase:

1) Creación de la clave del registro de Hardware. El Kernel usa los datos recogidos durante la detección de hardware para crear la clave del registro HKEY_LOCAL_MACHINEHARDWARE la cual contiene información acerca de los componentes del hardware y las interrupciones usadas por los dispositivos específicos.

2) Se crea el entorno del Clone Control Set. Se crea copiando el valor del registro almacenado en HKEY_LOCAL_MACHINESYSTEMSelect. Estos datos nunca serán modificados y deben entenderse como una copia idéntica de los datos de configuración de la máquina y por tanto, no reflejará ningún cambio realizado durante la fase de arranque.

3) Carga e inicialización de los controladores de dispositivos. Después de crear el Clone control set el kernel inicializa los drivers de bajo nivel que se han cargado durante la fase de carga del núcleo. El núcleo busca la clave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices para localizar los controladores de dispositivos con el valor 0x1 en la entrada Start. Al igual que en la fase de carga del núcleo el valor de la entrada Group especifica el orden en que serán cargados. Estos controladores se inicializan en el momento en que son cargados.

Si ocurre un error durante la carga e inicialización de uno de estos controladores, realizará la acción que está especificada en la entrada ErrorControl del controlador de dispositivo.

Los valores posibles son:

0x0 (Ignorar)

La secuencia de inicio ignora el error y continúa sin sacar ningún mensaje.

0x1 (Normal)

La secuencia de inicio saca un mensaje, pero ignora el error y continúa la carga.

0x2 (Severo)

La secuencia de inicio falla y continúa, pero usando el juego de control de la Ultima configuración buena conocida. Se ignora el error y continúa.

0x3 (Crítico)

Igual que la anterior, pero si en este caso el error vuelve a suceder, la Ultima configuración buena conocida se detiene la secuencia de inicio con un mensaje de error.

Los valores de ErrorControl aparecen en el registro bajos las subclaves HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNombre_del_servicio_o_dispositivoErrorControl
MAS O MENOS; ENTRE ESTE PUNTO (Despues de la pantalla de carga de XP)

4) Arranque de los Servicios. Después de que el Kernel cargue e inicialice los controladores de dispositivos, el programa Session Manager (SMSS.EXE) arranca estos subsistemas y servicios de Windows. SMSS ejecuta las instrucciones de las claves: BootExecute, Memory Management, DOS Devices y las subclaves del Subsytem.



- BootExecute.

Ejecuta los comandos de esta clave antes de arrancar ningún servicio.

- Memory Management Key.

Crea la información del fichero de paginación necesario para el Virtual Memory Manager.

DOS Device Key.

Crea los enlaces simbólicos (links) que direccionan ciertas clases de comandos al componente correcto del sistema.

- SybSystems key.


Y ESTE PUNTO, DADO QUE LA PANTALLA QUEDA EN NEGRO Y EL LOGON NO SE CARGA.


Arranca el subsistema Win32, el cual controla toda la entras / salida (I/O) y los accesos a la pantalla de video y posteriormente arranca el proceso de WinLogon.

LOGON:

El proceso de Logon comienza al finalizar la fase de inicialización del Kernel. El sistema automáticamente arranca el programa WINLOGON.EXE, el cual arranca el Local Security Authority (LSASS.EXE) y nos muestra la pantalla de Logon. Se puede arrancar en este momento aunque Windows no haya terminado de inicalizar los controladores de dispositivos (drivers) de la red.

Posteriormente, el controlador de servicios (Service Controller) ejecuta y realiza una búsqueda final en la clave Services del registro, buscando los servicio con un valor 0x2 en la entrada. Estos servicios, incluyendo el servicio de Workstation y el servicio Server, son marcados para cargarse automáticamente.

Los servicios que son cargados durante esta fase están basados en los valores de la clave DependenOnGroup o DependOnService de las entradas en HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices.

El arranque de Windows no se considera finalizado y correcto hasta que el usuario se haya conectado. Después de este Logon correcto, el sistema copia el Clone Control Set a las claves de LastKnownGood.
7.7.2011 09:10 Re: Con la instalación por defecto (Antivirus + Antirootkit + Antisuplantación) persiste. #5169
Responder con cita | Respuesta rápida | Arriba
rrodri

Avatar

Moderador
Fecha de suscripción: 4.1.2011
Comentarios: 375
Hola,

decidimos pedir ayuda sobre este tema a un nivel mas arriba. La cosa es que han estado investigando y nos dicen que el problema de viene originado por AVG.

Las copias de proteccion de videojuegos utilizan un rootkit como driver. Si el parche utiliza un nivel bajo en tecnicas para evitar dichas amenazas o se utiliza de manera erronea podría causar problemas que se han descrito en este post anteriormente. Por esta razon creemos que este rpoblema no está conectado con AVG.

De todas maneras, miramos de investigar sobre el fichero que nos envió.

Saludos.

**********************************************************************
Equipo AVG Free
8.7.2011 11:53 Otros derroteros. #5170
Responder con cita | Respuesta rápida | Arriba
ErDracu

Avatar

Novato
Fecha de suscripción: 26.6.2011
Comentarios: 12
Sospecho más que el problema no radica en el rootkit del parche no cd.

Sospecho que el problema reside en el driver de alcohol 120% que se carga como servicio en el momento que te indico. Probablemente el antivirus cargue su módulo antes, en la ultima instancia de la carga del kernel, posicionandose como el primer servicio, y al ejecutarse a347bus.sys, al encontrarse avg con una presunta amenaza de rootkit en proceso de ejecución, detiene la el proceso. Al no terminar, windows queda en espera de instrucciones, y al ser un proceso automático, no continua con ello.

Probablemente la eventualidad de que a veces, el equipo arranque y otras no, se deba a que en ciertas ocasiones, alcohol 120% arranca el equipo con las unidades virtuales montadas, y en otras, se montan bajo demanda (desconozco porqué)

He probado con heuristica de la competencia (avira) y el problema desapareció. (Aunque avira detecta otros falsos positivos, como el acceso directo a los drivers de mi tarjeta de sonido, aunque son más manipulables)

Por cierto. el pitido en la pantalla de logon, estaba provocado por al carga de un servicio tardío, de red, una respuesta de out of time de un servicio de no-ip.org para cargar mi ip a un DNS. Ejecutando el programa como aplicación en segundo plano, y no como servicio, el pitido desapareció. No estaba relacionado con este problema.

Cabe destacar que avg ya ha tenido problemas anteriormente con un driver similar, el de ciertas versions de Daemon Tools, luego yo iria mirando por ahí. Lo del No CD, sería un falso positivo, simplemente ;)
Página 2 de 2 ‹‹12