Soporte

Restaurar Sophos AutoUpdate tras un falso positivo

  • N.º del artículo: 118323
  • Calificación:
  • 2 clientes puntuaron este artículo 6.0 de 6
  • Actualizado: 26 nov 2012

Problema

Tras un falso positivo, Sophos AutoUpdate no funciona correctamente. Esto se debe a que ciertos archivos de Sophos AutoUpdate han sido borrados o movidos a consecuencia de una detección errónea.

Nota: Para que esto ocurra la opción de limpieza del antivirus debe ser distinta de 'Sólo denegar acceso'.

Detectado por primera vez

Sophos Anti-Virus for Windows 2000+

Causa

La detección errónea ha provocado la eliminación o movimiento de ciertos necesarios para el correcto funcionamiento de Sophos AutoUpdate.

Qué hacer

A continuación se ofrece un programa y un script que permiten restaurar Sophos AutoUpdate en las estaciones afectadas.

El programa y el script realizan los siguientes pasos de remediación:

  • Detener la detección errónea de 'Shh/Updater-B'.
  • Reparar AutoUpdate.
  • Vacía el área de cuarentena en las estaciones.
  • Realizar una actualización.
  • Reemplazar los archivos de Sophos Anti-Virus y Sophos Remote Management System.
  • Generar los siguientes archivos de registro.  Se incluyen todos los archivos afectados:
    • *-Output.txt - archivo de registro del script.
    • *-FalsePosAll.txt - archivos afectados por el falso positivo.
    • *-FalsePosMoved.txt - archivos movidos.
    • *-ToRestoreMoved.txt - archivos movidos que se pueden restaurar.
    • *-FalsePosDeleted.txt - archivos borrados.
    • *-ToRestoreDeleted.txt - archivos que no se pueden restaurar.
    • *-MoveBackLog.txt - archivos restaurados.
    • *-AffectedProducts.txt - identificación dentro de lo posible de las aplicaciones a las que pertenecen los archivos borrados.

Nota: La página http://www.sophos.com/es-es/support/field-search.aspx le ayudará a establecer las programas a los que pertenecen los archivos detectados.

Importante: 

Usar FixIssues.exe (recomendado)

  1. Descargue la herramienta aquí.
  2. Ejecute 'FixIssues.exe' en las estaciones afectadas.

    Nota: Esta herramienta extrae 'FixUpdate.vbs' y lo ejecuta con las siguientes opciones:
    cscript //nologo FixUpdate.vbs /fixIssues:true /useSophosCid:true > "Sophos Fix Script Log.txt"
    Si necesita otras funciones, utilice 'FixUpdate.vbs' con las opciones correspondientes (vea la sección 'Usar FixUpdate.vbs').

    Se crean los siguientes archivos de registro:
    %temp%\Sophos Fix Script log.txt
    %temp%\Sophos Fix Log_[AAAAMMDDHHMMSS].txt
    Y otros en: '%temp%'.

    Utilice la siguiente opción para la ejecución en silencio:
    FixIssues.exe silent

Usar FixUpdate.vbs

Utilice este script si requiere opciones personalizadas.

  1. Descargue el script aquí.
  2. Extraiga los archivos.
  3. Abra la línea de comandos con derecho de administrador.
    • En Windows Vista, Windows 2008 o Windows 7:
      Inicio > Todos los programas > Accesorios > haga clic con el botón derecho en Símbolo del sistema > Ejecutar como > Administrador.
    • En Windows XP: inicie la sesión como administrador.
  4. Acceda al directorio donde extrajo los archivos.
  5. Ejecute el comando:

    cscript FixUpdate.vbs /fixIssues:true

    Además de la opción recomendada /fixissues:true, también se ofrecen las siguientes opciones:

    Opción Descripción
    /fixissues:true|false
    		 Corrige los problemas conocidos.
    /fixissues:true
    /fixissues:false
    /help Muestra la ayuda de uso de la herramienta, como las opciones descritas en este artículo.
    /cid:[ruta] Permite establecer la ruta de acceso al directorio de actualización, en vez de usar la establecida en AutoUpdate. Puede indicar una ruta UNC o una dirección HTTP.
    /cid:\\servidor\sophosupdate\cids\s001\savscfxp
    /cid:http://servidor/sophosupdate/cids/s141/savscfxp
    /clearquarantine:true|false Vacía el área de cuarentena.
    /clearQuarantine:true
    /clearQuarantine:false
    /usesophoscid:true|false Utiliza la ubicación de actualización de Sophos para reemplazar los archivos eliminados.  Utilíce esta opción si no puede acceder a la ubicación configurada.
    /usesophoscid:true
    /usesophoscid:false
    /logpath:[ruta] Copia de los archivos de registro en la ruta especificada.  Los archivos de registro incluyen el nombre del equipo para permitir la identificación en un análisis centralizado de los mismos.  
    /logpath:\\servidor\share
    /logpath:C:\windows\temp
    Importante: El script debe disponer de permiso de escritura en el directorio especificado.
    /checkAffectedProducts:true|false Genera el archivo de registro *-AffectedProducts.txt con la lista de archivos afectados asociados a los productos correspondientes.  Los valores están separados por coma y se puede ver en programas como Microsoft Excel.  Nota: Debe importar el archivo desde Excel para asegurar la disposición correcta de los datos.
    /checkAffectedProducts:true
    /checkAffectedProducts:false

    Nota:
    • Para combinar los registros generados en diferentes equipos, consulte el artículo 118346.
    • Para obtener más información sobre cómo interpretar el registro, consulte el artículo 118348.
    • Para enviar los registros 'AffectedProducts' a Sophos, vea el artículo 118405.
    /updatenow:true|false Fuerza la actualización de Sophos AutoUpdate una vez reparado.
    /updatenow:true
    /updatenow:false
    /restoreMovedFiles:true|false Restaura los archivos movidos durante el falso positivo.
    /restoreMovedFiles:true
    /restoreMovedFiles:false
    /verbose:true|false Activa el registro detallado.
    /verbose:true
    /verbose:false

    Ejemplos:

    cscript FixUpdate.vbs /fixIssues:true /usesophoscid:true

    Asegura la presencia del archivo de detección necesario, limpia el área de cuarentena corrige la instalación de Sophos con Sophos como la fuente de actualización.

    cscript FixUpdate.vbs /fixIssues:true /cid:\\servidor\sophosupdate\cids\s000\savscfxp

    Asegura la presencia del archivo de detección necesario, limpia el área de cuarentena corrige la instalación de Sophos desde la fuente de actualización '\\servidor\sophosupdate\cids\s141\savscfxp'.  Los registros se crean en el mismo directorio del script.

    cscript FixUpdate.vbs /fixIssues:true /cid:http://servidor/sophosupdate/cids/s000/savscfxp /username:usuario /password:contraseña
    Asegura la presencia del archivo de detección necesario, limpia el área de cuarentena corrige la instalación de Sophos desde la fuente de actualización 'http://servidor/sophosupdate/cids/s000/savscfxp' con las credenciales especificadas. Los registros se crean en el mismo directorio del script.
    Si el script no puede obtener la ubicación del CID, la puede especificar mediante la opción /cid:.
    El valor de /cid: puede ser una ruta UNC o una dirección HTTP.

    cscript FixUpdate.vbs /clearQuarantine:true
    Limpia el área de cuarentena.

  6. Una vez probado en algunas estaciones, distribuya el script al resto de estaciones afectadas (según su método de distribución: directiva de grupos de Microsoft, Zenworks, PsExec, Altiris, etc.).  En los siguientes artículos se describe cómo distribuir scripts en una red con diferentes herramientas:
    • Con PsExec, vea el artículo 118337
    • Con Active Directory Group Policy (GPO), vea el artículo 118338
    • Con Enterprise Console, vea el artículo 118351
  7. Una vez finalizado, compruebe que el icono de Sophos aparece en la bandeja del sistema.  De lo contrario, reinicie la sesión para que se cargue el escudo. También puede cargarlo de forma manual ejecutando Almon.exe: Inicio | Ejecutar y escriba:
    32 bits: C:\Archivos de programa\Sophos\AutoUpdate\Almon.exe
    64 bits: C:\Archivos de programa (x86)\Sophos\AutoUpdate\Almon.exe

Información técnica

El script comprueba la existencia de agen-xuv.ide y javab-jd.ide. Para detener la detección errónea de 'Shh/Updater-B': si javab-jd.ide no existe, lo copiará en la carpeta de archivos de detección y reiniciará el servicio de Sophos Anti-Virus. También vacía el área de cuarentena.

El script procesa el archivo de registro de Sophos Anti-Virus para identificar los archivos afectados. Restaura los archivos movidos. En cada paso se genera un registro para su diagnóstico.

Si es necesario, repara la instalación de Sophos AutoUpdate.

Al final se inicia una actualización.

Las alertas en la consola deberán quitarse de forma manual.

Problemas conocidos

No se pudo corregir el problema.
Póngase en contacto con soporte técnico. Error 1038

Este es un error genérico y se puede deber a diferentes causas. 

  • Puede ocurrir si la ruta c:\windows\system32 (o c:\winnt\system32 en Windows 2000) no se encuentra en la variable de entorno PATH. Para evitar este problema, utilice FixUpdate.vbs con la ruta completa

    %windir%\System32\cscript.exe FixUpdate.vbs /fixIssues:true
  • Envíe el registro con el prefijo "Sophos Fix" en %temp% a soporte técnico de Sophos para su análisis.

Aparece el mensaje de error: "La versión detectada de Script Host no es compatible. Se requiere la versión 5.6"

Debe disponer de Windows Scripting Host versión 5.6 o posterior.  Para Windows 2000, vea el artículo: http://www.microsoft.com/es-es/download/details.aspx?id=20240.

El script muestra el error 'Faltan archivos de SAU' y 'Error al cargar recursos externos (0x8007007e)'

El directorio de actualización no incluye los archivos necesarios. Primero resuelva el problema con el faso positivos en el equipo con Sophos Update Manager y asegúrese de que el directorio de actualización se encuentra actualizado.

El script falla y se muestra el error 'FixUpdate.vbs (136, 9) (null): No se pudo encontrar el módulo especificado.' o 'RestoreCacheFilesFromCID - La reinstalación de SAU falló porque se está realizando una actualización' y 'FixUpdate.vbs(135, 26) (null): 0x800700C1'

El script no se puede ejecutar porque existe alguna otra instalación de Windows en curso.

  1. Abra el Administrador de tareas (Inicio | Ejecutar | Escriba: taskmgr.exe | Pulse Intro) y seleccione la ficha 'Procesos'.
  2. Haga clic en el encabezado 'Nombre de imagen' para ordenar alfabéticamente.
  3. Seleccione 'msiexec.exe' y haga clic en 'Terminar proceso'.  Acepte la advertencia.
  4. Repita el proceso con otros msiexec.exe que puedan existir.

Compruebe en la ficha 'Procesos' que existe sólo una instancia de msiexec.exe.  Ejecute el script de nuevo.

Si el error se repite:

  1. Detenga el servicio de Windows Installer (Inicio | Ejecutar | escriba: services.msc | Pulse Intro).
  2. Seleccione el servicio y deténgalo.
  3. En el Administrador de tareas, termine los procesos msiexec.
  4. Cambie el servicio Windows Installer a inicio manual.

Nota: Si continúan apareciendo procesos msiexec compruebe que no existen otras aplicaciones intentando actualizarse o instalarse.  Cierre los programas que no sean esenciales, incluyendo aquellos con iconos en la bandeja del sistema.


 
Si necesita más ayuda, póngase en contacto con soporte técnico.

Valore el artículo

Muy malo Excelente

Comentarios

© 1997 - 2013 Sophos Ltd. Todos los derechos reservados. Aviso legal Privacidad Cookie Information