El Panda no se actualiza

inuitcat · Mensaje por **inuitcat** » 30 Oct 2006, 15:47

Hola, tengo el panda instalado y desde el 3 de agosto que no se me actualiza.

Cada vez que enciendo el ordenador me sale que el archivo pagent.exe ha generado un error y se ha tenido que cerrar. Este mensaje me sale unas 2 o 3 veces al iniciar windows.

Si me pudierais ayudar me hariais feliz.

Gracias de antemano

Mensaje por **msc hotline sat** » 30 Oct 2006, 16:46

Lanza este AV ONLINE y si no te detecta nada, desinstala tu antivirus y vuelvelo a instalar

Si te detecta algo, informanos.

saludops

ms, 30-10-2006

inuitcat · Mensaje por **inuitcat** » 30 Oct 2006, 17:22

msc hotline sat escribió:Lanza este AV ONLINE

Cual?

Un saludo

Mensaje por **msc hotline sat** » 30 Oct 2006, 17:33

Se quedó en el tintero !

Antivirus ONLINE aconsejado

saludos
ms, 30-10-2006

inuitcat · Mensaje por **inuitcat** » 30 Oct 2006, 17:34

ok, ahora os digo algo

Mensaje por **msc hotline sat** » 30 Oct 2006, 17:52

Mientras puedo decirte algo al respecto del PAgent.exe:

https://www.bleepingcomputer.com/startu ... -3957.html

Si no lo detecta el AV online y lo tienes en el disco duro, envianos muestra !!!

Aparte te pediremos log del HJT para analizar, pero tiempo al tiempo...

saludos
ms, 30-10-2006

inuitcat · Mensaje por **inuitcat** » 30 Oct 2006, 18:06

Pues el AV Online que me has dicho no me encuentra nada.

Te pongo el log del HJT

Logfile of HijackThis v1.99.1
Scan saved at 18:07:15, on 30/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\AVTC\PavSrv51.exe
C:\Archivos de programa\Panda Software\AVTC\PSKMsSvc.exe
C:\Archivos de programa\Panda Software\AVTC\AVENGINE.EXE
C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Panda Software\AVTC\ClShield.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe
C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe
C:\Archivos de programa\Palm\HOTSYNC.EXE
C:\Archivos de programa\Panda Software\AVTC\SRVLOAD.EXE
C:\Archivos de programa\Panda Software\AVTC\WebProxy.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\AVTC\ClShield.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = placidferrer.local
O17 - HKLM\Software\..\Telephony: DomainName = placidferrer.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = placidferrer.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = placidferrer.local
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software - C:\Archivos de programa\Panda Software\AVTC\PavSrv51.exe
O23 - Service: Panda AntiSpam Engine (PMShellSrv) - PANDA SOFTWARE - C:\Archivos de programa\Panda Software\AVTC\PSKMsSvc.exe
O23 - Service: Panda IManager Service (PsImSvc) - Panda Software Internacional - C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

A ver si veis algo raro.

Un saludo

Mensaje por **msc hotline sat** » 30 Oct 2006, 18:21

De entrada salta a la vista que estas lanzandpo un PAGENT.EXE que puede ser la madre del cordero:

http://www.bleepingcomputer.com/startup ... -3957.html

mira de enviarnoslo para su analisis, gracias

viewtopic.php?f=2&t=45334

sigo con el analisis
Bueno, pues hay que ver los ficheros de estas dos claves:

O4 - Startup: PowerReg Scheduler.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

Eliminarlas a priori sería un poco aventurado...
Envianos muestras y las analizaremos e informaremos

saludos

ms, 30-10-2006

inuitcat · Mensaje por **inuitcat** » 30 Oct 2006, 18:56

Archivos enviados.

Un saludo

Mensaje por **msc hotline sat** » 30 Oct 2006, 19:36

Mañana los analizaremos en cuanto volvamos al trabajo

Si quieres, sin ningun riesgo, puedes renombrar los dos ficheros a .VIR, reiniciar y comprobar resultados

Si falla siempre puedes volver a renombrarlos a la extension original y si era la vaisa, qiuedarña solo eliminar las claves

Nos cuentas el resultado, gracias

saludos

ms, 30-10-2006

021106MR

Mensaje por **msc hotline sat** » 02 Nov 2006, 10:12

Recibidas las muestras.

En un primer analisis el Pagent indica ser de Oanda y requiere la libreria pagcrypto.dll qie es usada por Panda, por lo que atribuimos la alerta a un miosmo nombre para este fichero que para un gusanom no siendolo el que nos ha enviado, por lo que lo desacartamos.

El otro fichero, PowerReg Scheduler.exe, es un adware qiue pasa a ser controlado con el ELISTARA de hoy

saludos

ms, 2-11-2006

021106ES

Mensaje por **msc hotline sat** » 02 Nov 2006, 18:50

Ya subida nueva version de ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos
ms, 2-11-2006