Bug Panda 2009 (SOLUCIONADO)

[txelitxev]

Ante todo hola a todos/as:

Soy nuevo en este foro y me he decido a entrar porque tenemos un problemon muy gordo.

Os explico: En la empresa tenemos instalado el Panda M.O.P. como sistema antivirus, hasta ahora nos funcionaba de puturru, no ralentizaba las maquinas y no habiamos tenido ninguna infeccion, pero....... hoy a eso de las 18:00 a un compañero le ha saltado el mensaje de que el virus localizado en c:\windows\system32\rpcss.dll ha sido neutralizado pero que es necesaria el reinicio del PC. El compañero a reiniciado el PC y ya no ha hecho carrera, no se le abre la barra de inicio, no puede navegar, no puede hacer copiar-pegar.... y un largo etc. pero eso no es todo porque a otras empresas les ha pasado lo mismo. En la empresa donde trabaja un colega les ha pasado lo mismo en 4 PC!!!! la infeccion en el mismo archivo y los sintomas parecidos. Y ahora mismo me ha llamado una amiga que en su ordenador le pasa idem de idem.



Que esta pasando? Sabeis como solucionar esto? Yo no se pero si usais el panda como antivirus cuidadin!!!!



P.D. como es logico ahora estoy conectado a internet, uso el avast! y no tengo problemas. es un bug de panda???

Todos los PCs que os he dicho usan el Panda y la mayoria el PMOP.



Gracias por todo y espero que no tengais problemas.

[lentejo]

HOLA. si. es cierto parece que es fallo general de panda 2009.



Tengo una tienda de informatica y me han llegado en 2 horas 6 ordenadores con exactamente esos sintomas.



Parece que toca el archivo que describes.



Me he traido un portatil infectado a casa a ver si le puedo dar alguna solucion. voy a intentar con un XP live, arrancar, borrar ese archivo y pegar uno "limpio".



sSsEGUIREMOS INFORMANDO. saludos.



P.D: . solo pasa con los de version 2009, tengo ahora aqui dos PCs con el antivirus 2008 y no han caido.

[lentejo]

HOLA.



Según he leido en otro foro, es un bug de panda antivirus 2009 con los Service pack 3 en castellano.



Parece que la reparación es tan simple como volver a un estado anterior, de la siguiente manera:



reiniciar el equipo en modo a prueba de fallos, borrar el archivo PAVEXP.SIG de la instalación de panda que hay en "C:\Archivos de Programa\Panda Security\Panda Internet Security 2009\

en MS-DOS podeis hacerlo con la orden:



-- del "C:\Archivos de Programa\Panda Security\Panda Internet Security 2009\PAVEXP.SIG"



por último hay que volver a escribir una copia buena del archivo RPCSS.DLL al directorio C:\WINDOWS\System32.



podeis hacerlo con la orden:

-- copy C:\WINDOWS\ServicePackFiles\i386\RPCSS.DLL C:\WINDOWS\System32

[txelitxev]

Gracias lentejo.



Entonces, entiendo que a servidores con windows2000 server o 2003 server no les afectaria este bug, no? uffff



Haber si el mañana pruebo esto y os comento.



Gracias otra vez majo.

[txelitxev]

Por cierto, no encuentro nada de informacion sobre este tema.

Donde te has informado???



graciaaaaaas.

[lentejo]

Respecto a que otros S.O pueda haber afectado, no lo se. Mañana en el trabajo supongo que tendré aluvión de equipos, aunque todo apunta SÓLO a XP + PANDA 2009.



Y si... estoy totalmente sorprendido que en la página de Panda, no ponga ABSOLUTAMENTE NADA DE SU GRAN CAG*DA.



La solución ya la sospechaba, porque un cliente me ha traido un log del panda, que ponia que ése archivo estaba infectado.

Así que mi idea era con un Live XP sobreescribir el archivo que el propio panda rompia, con uno de otro pc NO infectado.



En un foro de Spyware he visto esa solución, que basicamente es lo mismo en modo "a prueba de errores".



Funciona perfectamente. Yo lo he probado en el portatil infectado que me he traido.



P.D: Yo estaba temblando. vendo unos 10 pandas a la semana... ! :).



Por cierto. Si puedes cambia el nombre del tema, en el foro, y pon la palabra "panda 2009" a lo de Infeccion masiva, asi la gente lo encontrara mas facilmente, si te es posible. Gracias. :)

[txelitxev]

Gracias otra vez.



Ya he cambiado el nombre del asunto.



Lo dicho mañana escribo para comentar si a mi tambien me funciona la solucion de lentejo.



Mil gracias.

[jcomba]

Hola gente, si la pc tiene acceso a internet con algun navegador que no sea Internet explorer, puede ser Opera, ingresen a esta web <interceptado>, cualquier problema que tengan les dejo mi mail <interceptado> cualqueir problema cuenten con mi ayuda.



INTERVENCION DE ZONAVIRUS:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044

[julibaga]

Pues a ver si nos dice si le funcionó y yo tomo nota por si me pasa con algún cliente.

Gracias por el apunte.



Salu2

[jcomba]

Yo lo hice con 5 clientes y me funciono, ooviamente no soluciona el problema del panda, pero a penas salga la actualizacion le digo que lo actualisen y deberia andar. Aclaro yo estoy en la parte de reparacion de pc y tengo una tienda informatica.

Saludos Jcomba

[msc hotline sat]

Efectivamente, parece ser que el fichero de firmas pav.sig de la actualizacion de ayer del antivirus de Panda, detecta un falso positivo en el fichero de algunos sistemas de windows RPCSS.DLL y lo borra erroneamente.



Panda ha respuesto a un usuario, sobre dicho problema, con este texto:




[quote="Panda"]
... los pasos a seguir son los siguientes:



1.1-Inicio > Ejecutar > Msconfig Se abre la Utilidad de configuracion del Sistema

1.2-Dar click sobre la Pestaña Inicio

1.3-Dar click sobre la Opcion Deshabilitar Todo



Nota: En caso de no aparecer la Barra de tareas Presionar la tecla de windows manteniendo presionada esta tecla presionar la tecla R y con esto aparecera el cuadro de dialogo Ejecutar



Saldra un mensaje que dice Salir sin reiniciar o reiniciar elegir reiniciar durante el reinicio presionar la teclar F8 para ingresar al menu que nos permitira entrar en modo

seguro o en modo a prueba de errores.



Una ves dentro de modo a prueba de errores realizar el siguiente procedimiento:



2.1-Inicio > Busqueda > en las de busqueda seleccionar opciones avanzadas, seleccionar las opciones:

Buscar en carpetas de Sistema

Buscar en achivos y carpetas ocultos

Buscar en Subcarpetas

2.2- Buscar el nombre del archivo que detecta que puede ser "rpcss.dll"



Apareceran dos resultados



C:\WINDOWS\system32

C:\WINDOWS\ServicePackFiles\i386



El archivo de la segunda opcion es el que debemos de copiar y pegarlo en la ruta del primer resultado esto es decir se tiene que remplazar este archivo

se puede copiar y pegar en caso de que no permita pegar se debe de generar el siguiente proceso



3.1-Dar clic derecho sobre el archivo seleccionar la opcion enviar a elegir la opcion carpeta comprimidad en zip

3.2-Al crearce la carpeta esta se crea enl la misma ubicacion s

3.3-Dar doble clic sobre la carpeta extraer to aqui se debe de seleccionar esta ruta C:\WINDOWS\system32



Esto es solo para recuperar el sistema a continuacion se debe realizar el siguiente proceso





Deberá descargar el archivo pav.zip de la siguiente dirección:



http://www.pandasoftware.es/virus_info/disclaimer.htm



Ingrese sus claves de Usuario y contraseña de Panda.



Guarde el archivo en la carpeta Panda, creada en la raiz de la unidad C:



Descomprima el archivo Pav.zip en la misma carpeta Panda de la raíz de la unidad C: (Obtendra el archivo llamado pav.sig)



Una vez que haya descomprimido el archivo, usted deberá seguir las siguientes instrucciones:



Descomprima el archivo Pav.zip en la misma carpeta "Panda" de la unidad C: (el archivo ya descomprimido tiene el nombre de Pav.sig, y el tamaño aproximado es de 60Mb)



En su solucion Antivirus, pulse el botón Configurar del Módulo de Actualizaciones.

Deshabilite la opcion referente a las actualizaciones automaticas.

En el apartado Lugar de Actualizacion, cambie a la opcion Unidad CD o RED.

Pulse el botón (como una carpeta) para seleccionar la ubicacion C:\Panda

Pulse el botón Aceptar.

En la ventana de configuracion de Actualizaciones, pulse el botón Aceptar.

En la ventana principal del panda, en el modulo de actualizaciones, pulse el botón Actualizar Ahora.



Por ultimo dar clic sobre Solucionar en el panda pide reiniciar se reinica el sistema y todo queda nuevamente en orden.



Nota: En caso de que el explorador de internet no se abra volver a reinstalar el archivo "rpcss.dll" nuevamente dar clic en solucionar y queda todo solucionado.[/quote]

En definitiva, nada de infeccion masiva, simple deteccion erronea con los ficheros de firmas de la actualizacion de ayer, que se resuelve volviendo a copiar el fichero borrado y actualizando el fichero de firmas con el actual ya mejorado, y añado que si con lo indicado anteriormente se tiene algun problema, simplemente arrancar con el CD de instalacion, acceder con R a la consola de recuperacion y copiar de nuevo el RPCSS.DLL a la carpeta de sistema, bien con la copia de dicho fichero de un equipo con el mismo sistema, o bien probando con el que puede haber en el propio equipo, escribiendo:





copy  C:\WINDOWS\ServicePackFiles\i386\RPCSS.DLL   C:\WINDOWS\system32\   <enter>



y a continuacion, arrancar en modo seguro con funciones de red y sustituir el fichero PAV.SIG por el actual descargandolo de la web de Panda, como indican ellos mismos, o el que dice lentejo si es el caso: "C:\Archivos de Programa\Panda Security\Panda Internet Security 2009\PAVEXP.SIG", quizas depende de la version instalada, ... o de otro fallo de Panda al escribir el texto anterior.



Si se quiere evitar lo ultimo indicado, tras sustituir el RPCSS.DLL conforme indicado, tras arrancar en modo seguro puede desinstalarse el Panda, y arrancando luego en modo normal, volverlo a instalar con el fichero de firmas actual, que ya no tiene este problema.



No siendo usuarios de Panda, ya que somos mayoristas de McAfee, cabe decir que algun falso positivo lo podemos tener todos, si bien hay que reconocerlo y asumirlo, ademas de evitarlo en lo posible, pero somos humanos...



Y con ello creo que queda bastante claro el problema y su solucion, no es cuestion de hacer apología sobre el mismo ni darle mas vueltas a lo que no es un virus sino un fallo puntual de Panda, por lo que, con todo lo indicado, damos por solucionado el Tema y procedemos a cerrarlo.



saludos



ms, 17-1-2009





[img]http://img138.imageshack.us/img138/4893/closed2ur0.gif[/img]

[msc hotline sat]

NOTA POSTCIERRE:



Se complementa en https://foros.zonavirus.com/viewtopic.php?f=5&t=27495



saludos



ms, 18-1-2009