donde puedo averiguar 1 pòco mas sobre este acontecimiento de hoy con respecto al avg y al terrible falso positivo.

Esta tarde estuve en otro aula que tengo con AVG en otro sitio, despues de actulizar todos los equipos decidi pasar el antivirus y o sorpresa no paso nada, ninguno salio el problema. Lo que si me di cuenta que cuando escaneaba user32.dll y otras librerias como la de kernel32 decia que habian cambiado.

Lo que me han llegado hoy comentarios de una tienda de pc aqui donde vivo que este problema se esta dando tambien problemas en pc con otros antivirus como karpeski. Alguien puede confirmar esto ultimo conoceis mas casos distintos de AVG.


PD: por cosas asi cada dia me gusta mas mi mac y linux

Hola,
Me atrevo a especular acerca del por qué de estos bloqueos indeseables al SO o a algunas aplicaciones. Y es que he notado que generalmente esos casos se presentan, al menos en el AVG, cuando ya se han acumulado una gran cantidad de actualizaciones.

1 Debe ser porque son redundantes para la detección de variantes de malware similares. Así que creo que cuando se hace una actualización que contiene información sobre una variante similar, y al encontrar el antivirus una amenaza, este opera diferentes estrategias que entran en conflicto y opta simplemente por bloquear la ruta que utiliza el malware (causando el problema), pero que sin embargo terminan por eliminar el archivo de malware (que no es el archivo infectado que aparece en el reporte e.g. user32.dll en este caso o Ares.exe en otros)

2 ....O tal vez sea un problema entre la integración del AVG con actualizaciones automáticas propias de Windows como sugiere Juvei (pues AVG tiene como costumbre el registrar los cambios cuando se actualiza windows, y 'asume' que todos actualizamos constantemente windows). AVG esperaría entonces que en determinada fecha el archivo fuera reemplazado y/o actualizado, si no asumiría que está viciado. Y quizás sea que a todos los que se nos presentó este problema, compartíamos en común el hecho de tener las actualizaciones automáticas del centro de seguridad de windows deshabilitadas en el momento).

Ambos puntos digamos, explicarían por qué cuando uno reinstala el AVG y luego lo actualiza con el mismo archivo (actualización del día) ya no detecta nada, y todo funciona bien

tengo servidores reparando el problema. Pero no tenian las actualizaciones al dia. solo el avg en dia.

para mi fue 1 problema grave de avg antivirus.

Hola amigos, yo trabajo dando soporte técnico en Buenos Aires y hoy fue una pesadilla, pero con final felíz. Estuvimos toda la mañana haciendo pruebas con una pc infectada y al final dimos con la solución.
Muchas veces me sacó este foro del aprieto, y hoy os quiero devolver el favor con esta solución que encontramos.

ESTA SOLUCION ES PARA AQUELLOS QUE NO PUEDEN INICIAR WINDOWS NI SIQUIERA EN MODO A PRUEBA DE FALLOS PORQUE SE LES REINICIA LA PC


SITUACION

Después de detectar una amenaza el AVG da la opción de Curarla (Heal) y al hacer esto el archivo en cuestión es aislado inmediatamente o en el siguiente reinicio. Resulta que el archivo que hace saltar las alarmas es el user32.dll. Al reiniciar la PC, normalmente esta mañana lo hicieron todos nuestros clientes, y al no estar presente ese archivo que el AVG puso en cuarentena el XP no puede arrancar. Ese archivo user32.dll es el que carga los datos del perfil de usuario de windows, por lo cual si no está, el sistema no puede cargar tus seteos personalizados.
Eso hace que el sistema genere un error crítico y reinicie la pc, incluso en Modo Seguro, porque obviamente no puede cargar la info del usuario a validar.
Kaput!

Al bootear el XP con F8, una de las opciones dice algo así como "continuar el inicio ignorando los mensajes de error" y eso nos llevó a una pantalla azul que mostraba una referencia al winsrv, que según vimos, es el winsrv.dll, en la misma carpeta system32 y que es el encargado del motor de gráficos de Windows, o sea que no puede mostrar la interfaz del sistema si está dañado.

En caso que un virus corrompiera el dll, hay que remplazarlo. Pero al ser un archivo de sistema está protegido por el kernel de Windows...

Pensamos por eso en que lo mejor sería remplazarlos reparando la instalación de Windows, con el CD de instalación, y así reparamos. El sistema booteó con su Win XP SP1 nuevecito y todo anduvo bien. Respiramos. Analizamos el sistema con el AVG y estaba todo limpio. Pasamos a aplicar el SP2, se instaló, reinició, y ahí volvimos a tener el mismo problemón.

Por eso llegamos a la conclusión que no es un virus. Sino que el AVG debe estar bloqueando estos dll con un falso positivo. Observamos que no todos los Windows se "contagiaban". Chequeamos varios casos y se vio que solamente se ven afectados los XP originales en español u OEM que tengan aplicado el SP2, o sea, los que tengan el user32.dll que pesa 578048 bytes. PCs con XP SP1 no se ven afectadas en principio, porque tienen la vieja versión del user32.dll. Así que pasamos a la solución....


SOLUCION

El problema es que si remplazamos el user32.dll y el winsrv.dll con las versiones anteriores, del SP1, pueden generarse conflictos con los otros módulos del SP2 que quieran usar funciones no implementadas, así que el archivo remplazante tiene que provenir de una suerte de SP3, o user32.dll y winsrv.dll que sean posteriores al SP2. De donde sacarlos? Pues muy fácil (aunque nos costó darnos cuenta en su momento jeje), tomamos esos dll de una pc que de pura casualidad habíamos instalado con el compilado Windows XP SP2 UE7, que data de julio de 2007 porque esos dlls vienen parcheados con los hermosos iconos del XPize 4.7. Lo subo a la web y les paso el link de desarga al final del post para que puedan usarlos!

Ya tenemos los dlls candidatos. Cómo remplazar archivos de sistema?
Solo necesitas dos ingredientes:

• el CD de instalación de XP SP1
• copiar los dos dlls remplazantes a un pendrive o bien a otro CD en el caso que tengas dos lectoras.

Apagamos el PC. Ponemos el CD de instalación en la lectora, conectamos el pendrive (o colocamos el segundo CD con los archivos en la otra lectora) donde tenemos los remplazantes. Y encendemos el PC. Es importante que arranquen con los CDs/pendrives colocados, sino no funcionará como debe.
Asegúrense de que el equipo se inicie desde el CD. Según el tipo de mother, esto pueden hacerlo presionando varias veces F8, F11 o F12 en la pantalla de la bios (la primera que ves al encender la pc, e inmediatamente anterior a la que te muestra el logo de inicio de Win XP)

Una vez iniciada desde el CD, en la primer pantalla del instalador le das [R]eparar, eso te lleva a la pantalla negra de la consola de Recuperación. Esperan unos segundos sin tocar nada y aparecerá una línea que pregunta sobre que instalación de Windows trabajarán, generalmente dice "1: C:\WINDOWS" y en ese caso tipean [1] [Enter], a continuación les pedirá la contraseña del administrador y ahi tienen que ingresar ese dato, o Enter, generalmente para que los deje continuar. Hecho esto obtendrán un cursor de DOS que les permitirá trabajar en ese DOS que funciona desde el CD (es importantísimo que no saquen el CD por ningún motivo porque no les va a reconocer los comandos de DOS, por eso les digo que tengan otra lectora o usen un pendrive).
Ahora bien lo que sigue es puro comando de DOS. Suponiendo que usan un pendrive y esa unidad se llama E: deberán tipear:

En el caso que el sistema les pregunte si remplaza versiones anteriores, pongan que SI. El comando "exit" al final es para terminar y reiniciar la PC. Una vez tipeado eso pueden retirar el pendrive y el/los CDs para ver como su PC se inicia normalmente, feliz y sin problemas.

De este modo habrán remplazado las versiones de estos dll por unos más actualizados y que no darán problemas con el AVG.



ESTA SOLUCION ES PARA AQUELLOS QUE PUEDEN INICIAR WINDOWS EN MODO A PRUEBA DE FALLOS

En este caso es más simple. Solamente descarguen el AVG Free desde la web de AVG Free Advisor - Free antivirus and anti-spyware downloads desde otra PC, copienlo a un CD, instálenlo desde ese CD (previamente DESINSTALEN la versión que tenian) y vualá. Reinicien normalmente, conecten a internet y actualícenlo. Y problema solucionado.



CONCLUSION

Hoy Grisoft generó un update de su antivirus AVG Free (no conocemos a nadie que pague la versión FULL) que provoca un falso positivo en el archivo user32.dll del Windows XP SP2 en español. Al intentar curarlo, lo elimina, inutillizando así todo el sistema operativo.
En algunos casos no lo borra, quizá porque el usuario atemorizado apagó la PC o seleccionó Ignorar ante el cartel de la amenaza, pero si bien eso no manda el dll al Vault, lo bloquea para que no pueda ejecutarse, y es por eso que no puede levantar el servicio del winsrv.
Hoy a las 16 hs de Argentina aprox, salió un update de AVG, sin prensa ni datos en su web, que actualizaba la base de datos del programa y lo liberaba de este fallo.

A cada casa antivirus le ha pasado, Symantec, Sophos, Panda, Kaspersky, un falso positivo liberado al público en general. Es un problema bastante terrible, pero ningún programador está exento. Esto no es una ciencia exacta, y es en lo que a mí respecta, el primer fallo grave, como dijeron más arriba, en los 4 años que vengo usando el producto. No es para tanto che!

Y si pensaron en demandar a los fabricantes de AVG, piensen primero que es software freeware, se distribuye sin ningún tipo de garantía. Si quieren garantías paguen (pero no se les ocurra crackear los softwares comerciales, ok?).


LINK DE DESCARGA DE LOS DLLS QUE SOLUCIONAN EL PROBLEMA

http://www.ampm-soluciones.com.ar/te...2_y_winsrv.zip

bueno, increiblemente pude solucionar el problema
les cuento que anduve toda la tarde por las casas de computacion de la ciudad con el rigido en la mano, para que algun tecnico me haga el favor de arrancarlo en otra pc, y nada mas que copiar el archivo, pero nadie me ayudo, todos querian que les deje uno o dos dias la pc, que no es tan sencillo, que bla bla bla, siendo que yo ya sabia (por lo que iba leyendo aca) cual era la solucion.
asi que lo que hice fue conseguir el instalador del xp y me hice un disco de inicio como comentaron en post anteriores, con el pe builder, inicie con el cd y copie el dll a su lugar, y todo anduvo barbaro
les cuento que yo no tengo la minima idea de computacion, de sistema, de nada. solamente se instalar y usar algunos programas, y nada mas
pero funciono tan bien la ayuda de este foro que pude hacer todo solo, sin gastar un solo peso
les agradezco un monton y quedo a sus servicios
gracias mil

bueno, parece que los post que añadis corroboran mi sensacion despues de todo un dia peleandome con este entuerto.

Se trata de un falso positivo de la ultima actualizacion del AVG que considera que el user32.dll que se instala con el windowsxp sp2 es un troyano.
Claro, esto afecta a todas las maquinas que no tienen las actualizaciones automaticas activadas (que no son pocas) y que tienen esa version del user32.dll.

Basta con sobreescribir ese fichero (y posiblemente el winsrv.dll) con versiones convenientemente actualizadas de los mismos.

Esta experiencia me ha hecho ver lo importante que es tener siempre a mano un cd de arranque amigable para poder acceder a nuestro disco en caso que el sistema no arranque. Recomiendo BARTPE que se ha portado excelentementeen este trance. ¿alguien sugiere algun otro cd de emergencia que arranque y tal?

saludos

hola a todos..

bueno veo que este tema se ha extendido bastante

muchas gracias a todos por compartir sus impresiones y experiencias sobre el tema, son de gran ayuda y espero que el usaurio que ha abierto el tema logre solucionar el problema con lo que ya han explicado hasta los momentos..

como ya tenemos 3 paginas del tema paremos un poco los post hasta que el usaurio responda y diga sus impresiones de esa manera no le hacemos tan tedioso a el usuario la tarea de leer muchas respuestas

en lo personal (no se me presento el problema) pienso (por lo que he leido hasta los momentos, no he podido leer todo el tema) que la solucion mas sencilla seria entrar en modo seguro (si en tal caso se puede) y desactivar el modulo del AVG que inicia el antivirus, de esta manera no abra problema cuando este inicie e intente mandarlo al baul, en caso de no poderse iniciar de esta manera seria por que el antivirus ha movido dicho archivo al baul, cosa que se puede solucionar con un disket de inicio de DOS para copiar el archivo a su ruta original..

como ya expresaron esto no es una infeccion en el archivo si no un problema en las firmas del AVG que lanzan ese (muy problematico) falso positivo..

esperemos que el usaurio que abrio el tema responda para que de sus impresiones,

Os pongo el enlace de mi weblog. Allí explica como lo he solucionado, pero en comentarios hay otras soluciones incluso más fáciles.

Hola Kent, me dí de alta especialmente para poder agradecerte la ayuda con respecto al inconveniente que nos generó a algunos la actualización del AVG. Gracias a tu clara y muy didáctica explicación pudimos parar los incansables reinicios de muchos pcs en el centro educativo donde trabajo. Gracias de nuevo por tu aportación y a todos los responsables de este foro. Espero, en algún momento, poder estar a la altura y aportar soluciones.
Saludos cordiales desde Valencia.
...Un argento fuera de las pampas.