IntelPack.exe

[Paolo Airone]

Sul mio PC, con Win XP SP 2, è installato da circa 10 mesi PANDA TITANIUM 2006 + antispyware. Da circa 10 giorni sono assillato da un trojan "SecurDown.A" ovvero "Security.Down.A": PANDA lo rileva MA NON LO CANCELLA. Non appena mi collego in rete mi appare, quasi ogni minuto, un messaggio di Virus neutralizzato. Ho letto le indicazioni di PANDA ed ho eseguito le scansioni in modalità provvisoria e disabilitando il "ripristino". NULLA! Ho lanciato altri software freeware o shareware come ad esempio "trojan Removal": lo vedono, lo cancellano e.... RIAPPARE! Ho loggato con Hijackthis e mi ha individuato un'unica voce sospetta "IntelPack.exe". Ho tentato di "FIXARLA", ma niente da fare!!! NON SI CANCELLA. Ho riavviato anche in modalità provvisoria con il prompt di comando ed ho "tentato" di cancellare l'eseguibile "IntelPack.exe" con comando DOS. NULLA ACCESSO NEGATO! Alla fine ho anche inviato un'email a PANDA, ma sono ancora in attesa. Mentre scrivo mi sono già beccato una 10 di avvisi di rilevato virus! C'è qualcuno che può darmi una mano!!!

[FOXYLADY]

Posta il log di hijackthis

[Paolo Airone]

Ecco qua:
Logfile of HijackThis v1.99.1
Scan saved at 21.20.50, on 16/09/2006
Platform: Windows XP SP2
MSIE: Internet Explorer v6.00 SP2

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
c:\windows\intelpack.exe
C:\WINDOWS\Explorer.EXE
c:\programmi\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\UltimateZip\uzqkst.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\DOCUME~1\ALAN\IMPOST~1\TEMP\UZ_7306\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pinnaclesys.com/pmcsupport
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\intelpack.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PMCS] "C:\Programmi\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [USBToolTip] "C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [PMCRemote] C:\Programmi\Pinnacle\Shared Files\\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programmi\Pinnacle\Shared Files\\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PCTV 310i Antenna Power] "C:\Programmi\Pinnacle\Shared Files\Drivers\Tools\PCTV 310i Antenna Power.exe" /silent
O4 - HKCU\..\Run: [PMCS] "C:\Programmi\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: GTVEpg.lnk = C:\Programmi\Got All Media\Components\GTVEpg.exe
O4 - Startup: GTVRec.lnk = C:\Programmi\Got All Media\Components\GTVRec.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programmi\UltimateZip\uzqkst.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programmi\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

[FOXYLADY]

ciao

in effetti nel tuo log l'unica cosa sospetta è quell'intelpack che non ho prprio idea cosa sia...
Prova in hijackthis ad aprire open the misc tool section>open process manager, selezione la voce che fa riferimento ad intelpack, se è presente e clicca su kill process.
Poi riprova a fare la scansione sempre con hijack e fixare le voci che non riuscivi a fixare.
Fai anche una scansione con ewido
http://www.ewido.net/en/

[Paolo Airone]

Provo quello che hai detto, però devo dirti che ho provato anche EWIDO! Non vede nulla!

[FOXYLADY]

Prova a far analizzare quell'intelpack.exe qui
http://www.virustotal.com/en/indexf.html

[Paolo Airone]

Sembrerebbe che abbia FIXATO, ma adesso proverò a riavviare! A limite ripeto l'operazione in Modalità provvisoria, previa disabilitazione del ripristino, e ti farò sapere. Comunque GRAZIE per l'aiuto!

[Paolo Airone]

Tutte le prove sono cadute nel NULLA, compresa il FIX del file incriminato! Ho paura che si avvicina la "formattazione"!

[andorra24]

Ciao, prova a fare questa operazione, tentare non nuoce:

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre la finestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
c:\windows\intelpack.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

[Paolo Airone]

Grazie per una nuova indicazione. appena possibile proverò anche questa e ti farò sapere!

[Paolo Airone]

Quote:

Originariamente inviato da andorra24

Ciao, prova a fare questa operazione, tentare non nuoce:

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre la finestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
c:\windows\intelpack.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Ho effettuato tutto quello che mi hai indicato, anche se mi piacerebbe sapere quello che ha fatto il software, ma dopo il riavvio automatico (mi è apparso anche il file text nel quale mi veniva avvisato che l'operazione si era conclusa con successo) ho LOGato con HijackThis ed il famigerato file IntelPack.exe era al suo posto. Mi viene da chiederti: non è che l'operazione andava fatta in modalità provvisoria e senza il ripristino di configurazione? GRAZIE ancora per la disponibilità!

[Paolo Airone]

Una cosa strana è successa: Il messaggio di individuazione Virus di PANDA non appare più da MEZZ'ORA (NON ERA MAI SUCCESSO) e comportamenti anomali del PC in rete non avvengono! Cosa ne pensate?

[andorra24]

Prova cosi:

Clicca su start>esegui nella casella digita regedit
Clicca su Ok
Ti si apre il registro di windows,aiutati con i + e portati fino alla chiave segnata in rosso
HKEY_LOCAL_MACHINE <-----Clicca sul + per estendere la chiave
Software <-----Clicca sul + per estendere la chiave
Microsoft <-----Clicca sul + per estendere la chiave
Windows NT <-----Clicca sul + per estendere la chiave
CurrentVersion <-----Clicca sul + per estendere la chiave
Winlogon
Adesso seleziona la cartella in rosso,nel pannello di destra vedrai molti valori.
Seleziona il valore Userinit destro del mouse,seleziona l'opzione "Modifica"
Elimina dalla casella i valori
"c:\windows\intelpack.exe",
Deve risultarti così:
c:\windows\system32\userinit.exe,
Clicca su Ok
Riavvia il pc e vedi come va.

[andorra24]

Quote:

Originariamente inviato da Paolo Airone

Una cosa strana è successa: Il messaggio di individuazione Virus di PANDA non appare più da MEZZ'ORA (NON ERA MAI SUCCESSO) e comportamenti anomali del PC in rete non avvengono! Cosa ne pensate?

Ma quel file e' ancora presente o no??

[blue_tech]

fai una scansione completa dalla modalità provvisoria...
se c'è ancora lo rimuovi

[Paolo Airone]

Quote:

Originariamente inviato da andorra24

Prova cosi:

Clicca su start>esegui nella casella digita regedit
Clicca su Ok
Ti si apre il registro di windows,aiutati con i + e portati fino alla chiave segnata in rosso
HKEY_LOCAL_MACHINE <-----Clicca sul + per estendere la chiave
Software <-----Clicca sul + per estendere la chiave
Microsoft <-----Clicca sul + per estendere la chiave
Windows NT <-----Clicca sul + per estendere la chiave
CurrentVersion <-----Clicca sul + per estendere la chiave
Winlogon
Adesso seleziona la cartella in rosso,nel pannello di destra vedrai molti valori.
Seleziona il valore Userinit destro del mouse,seleziona l'opzione "Modifica"
Elimina dalla casella i valori
"c:\windows\intelpack.exe",
Deve risultarti così:
c:\windows\system32\userinit.exe,
Clicca su Ok
Riavvia il pc e vedi come va.

Scusami se non ti ho risposto subito, ma sono dovuto uscire. Ho già fatto l'operazione che mi hai consigliato sul "registro" e tutto è scomparso. Tuttavia ad un ennesimo log con HijackThis è apparso un BHO con un'estensione numerica ed alla fine "no file". L'ho subito cancellato, ho riavviato il PC e ...TUTTO E' SCOMPARSO e FUNZIONA TUTTO A MERAVIGLIA!!!
UN SENTITO RINGRAZIAMENTO A TE E TUTTI QUELLI CHE HANNO DATO UNA MANO!
Se hai voglia, fammi sapere come funziona quel programma AVENGER. Ancora GRAZIE e COMPLIMENTI!