Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

El problema es que el panda me detecta el fichero c:\archivo de programa\explorer como virus trj/dowloader.gkl pero solo lo detecta cuando el sistema esta iniciado , si cojes ese hd y lo pones en otro pc y le pasa el antivirus no detecta nada .
Incluso le he pasdo varios chequeos online de antivirus y tampoco detectan nada (norton , mcaffe, kasperky,bitdefender).
Pero el antivirus el panda platinum 2006 una vez iniciado el sistema me lo detecta pero no puede desinfectarlo.
Pienso en que puede ser una nueva variante o que igual es una entrada del registro o que con la misma es una onvencion del panda.
Bueno me gustaria que le echarais un ojo a este log haber si veis alguna entrada que se debiera eliminar . ya le he pasado el spy-bot , el adware y varios mas sin ningun resultado positivo .

Logfile of HijackThis v1.99.1
Scan saved at 14:25:24, on 11/02/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
c:\archivos de programa\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\pavsrv50.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\psimsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\SYSTEM32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\wuauclt.exe
C:\Archivos de programa\Bluetooth Software\BTTray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\ARCHIV~1\BLUETO~1\BTSTAC~1.EXE
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 212.51.52.5:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\Documents and Settings\Administrador\Escritorio\msconfig\msconfi g.exe /auto
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - Startup: Arranque automatico Mayordomo.lnk = C:\Archivos de programa\Mayordomo Virtual\mayordomo.exe
O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\Bluetooth Software\BTTray.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {11BD6F81-233F-4B62-BAFB-27ECABD3CBCF} (NTR Activex 1.0.6) - http://www.inquiero.com/inquiero/mod/ntractivex106.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129911214468
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://spyzerotest.ahnlab.com/cyworld/plugin/myfirewall20.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8634A6E-38D5-4AAE-8708-3F3DB92FF9D0} (NTR Activex 1.0.8) - http://www.inquiero.com/inquiero/mod/setup/ntractivex108.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
O16 - DPF: {D6376DD2-C2BD-49B2-A1B1-138F869633F3} (ASPRO Installer Class) - http://acs.pandasoftware.com/activescanpro/as5/asproinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4692/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9247659-2DF2-4526-913F-83E09215EB86}: NameServer = 212.51.33.106
O20 - Winlogon Notify: avldr - C:\WINNT\SYSTEM32\avldr.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Unknown owner - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\pavsrv50.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - PANDA SOFTWARE - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\archivos de programa\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\psimsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe

Aquí tienes un mensaje en el que están esperando tu respuesta.

Por tanto se cierra este. Contesta al que tienes pendiente y una vez lo hayas hecho manda un mensaje privado a algún moderador para que reabra este indicándole las referencias.

Saludos

Como ya diste por solucionado el tema pendiente reabrimos este tema.

El log aparece limpio, ¿tienes acceso al archivo que detecta el Panda? ¿se trata de una carpeta, o que tipo de archivo es: .exe .dll u otros? ¿puedes ver físicamente el archivo?

Si se trata de un archivo y no de una carpeta, entonces para descartar que ese archivo se trate de un malware sube ese archivo a la página de VirusTotal y pega el reporte en este mismo mensaje para su análisis.

Saludos

No doy con la solucion es desesperante le he pasado mil antivirus y en ninguno me lo detecta este es el reporte del fichero que me dice el panda que es el virus trj/downloader.gkl que dice que esta dentro de c:\archivo de programa explorer.exe

Este es el resultado de analizar el archivo "explorer.exe" que VirusTotal ha procesado el dia 13/02/2006 a las 09:37:09 (CET).
Antivirus Version Actualización Resultado
AntiVir 6.33.0.81 13.02.2006 no ha encontrado virus
Avast 4.6.695.0 10.02.2006 no ha encontrado virus
AVG 718 10.02.2006 no ha encontrado virus
Avira 6.33.0.81 13.02.2006 no ha encontrado virus
BitDefender 7.2 13.02.2006 no ha encontrado virus
CAT-QuickHeal 8.00 11.02.2006 no ha encontrado virus
ClamAV devel-20060126 12.02.2006 no ha encontrado virus
DrWeb 4.33 12.02.2006 no ha encontrado virus
eTrust-InoculateIT 23.71.74 11.02.2006 no ha encontrado virus
eTrust-Vet 12.4.2077 13.02.2006 no ha encontrado virus
Ewido 3.5 12.02.2006 no ha encontrado virus
Fortinet 2.54.0.0 13.02.2006 no ha encontrado virus
F-Prot 3.16c 09.02.2006 no ha encontrado virus
Ikarus 0.2.59.0 10.02.2006 no ha encontrado virus
Kaspersky 4.0.2.24 13.02.2006 no ha encontrado virus
McAfee 4694 10.02.2006 no ha encontrado virus
NOD32v2 1.1404 11.02.2006 no ha encontrado virus
Norman 5.70.10 10.02.2006 no ha encontrado virus
Panda 9.0.0.4 12.02.2006 no ha encontrado virus
Sophos 4.02.0 13.02.2006 no ha encontrado virus
Symantec 8.0 13.02.2006 no ha encontrado virus
TheHacker 5.9.4.094 10.02.2006 no ha encontrado virus
UNA 1.83 09.02.2006 no ha encontrado virus
VBA32 3.10.5 13.02.2006 no ha encontrado virus



VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.

Parece ser un falso positivo, aunque de preferencia pega el reporte completo del Panda para analizarlo.

Por lo visto, los diferentes motores de búsqueda de VirusTotal no han detectado virus alguno en ese archivo, inclusive el Panda:

Panda 9.0.0.4 12.02.2006 no ha encontrado virus

Lo que refuerza la teoría del falso positivo.

Supongo que Panda se está dejando llevar por la ubicación de este archivo en tu sistema c:\archivo de programa\explorer ya que la ubicación exacta en Windows 2000 es C:\WINNT\explorer.exe ¿ubicas el explorer.exe en esta carpeta?

¿Como llegó ese archivo a c:\archivo de programa\? si ubicas el archivo en C:\WINNT\ el que se encuentra en c:\archivo de programa\ resulta innecesario, intenta moviendo ese archivo a otra ubicación como por ejemplo en C:\ o en una partición distinta, si la tuvieras, luego verificar si el Panda sigue detectando este archivo como infectado y verifica si el sistema funciona normalmente.

Saludos

he eliminado el explorer de archivos de programa y creo que si era ese el problema . El true prevent era el que llevaba a engaño por estar en una ubicacion incorrecta el explorer.
Seguire mirando
gracias