|
|||||||
|
|
|
 |
|
|
Strumenti |
16-09-2006, 19:31
|
#1 |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
IntelPack.exe
Sul mio PC, con Win XP SP 2, è installato da circa 10 mesi PANDA TITANIUM 2006 + antispyware. Da circa 10 giorni sono assillato da un trojan "SecurDown.A" ovvero "Security.Down.A": PANDA lo rileva MA NON LO CANCELLA. Non appena mi collego in rete mi appare, quasi ogni minuto, un messaggio di Virus neutralizzato. Ho letto le indicazioni di PANDA ed ho eseguito le scansioni in modalità provvisoria e disabilitando il "ripristino". NULLA! Ho lanciato altri software freeware o shareware come ad esempio "trojan Removal": lo vedono, lo cancellano e.... RIAPPARE! Ho loggato con Hijackthis e mi ha individuato un'unica voce sospetta "IntelPack.exe". Ho tentato di "FIXARLA", ma niente da fare!!! NON SI CANCELLA. Ho riavviato anche in modalità provvisoria con il prompt di comando ed ho "tentato" di cancellare l'eseguibile "IntelPack.exe" con comando DOS. NULLA ACCESSO NEGATO! Alla fine ho anche inviato un'email a PANDA, ma sono ancora in attesa. Mentre scrivo mi sono già beccato una 10 di avvisi di rilevato virus! C'è qualcuno che può darmi una mano!!!
|
|
|
|
16-09-2006, 20:10
|
#2 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Posta il log di hijackthis
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
16-09-2006, 21:24
|
#3 |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
IntelPack.exe1
Ecco qua:
Logfile of HijackThis v1.99.1 Scan saved at 21.20.50, on 16/09/2006 Platform: Windows XP SP2 MSIE: Internet Explorer v6.00 SP2 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe c:\windows\intelpack.exe C:\WINDOWS\Explorer.EXE c:\programmi\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe C:\Programmi\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe C:\Programmi\Winamp\winampa.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Nikon\PictureProject\NkbMonitor.exe C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe C:\Programmi\UltimateZip\uzqkst.exe C:\WINDOWS\system32\wscntfy.exe C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe C:\PROGRA~1\ULTIMA~1\uzip.exe C:\DOCUME~1\ALAN\IMPOST~1\TEMP\UZ_7306\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pinnaclesys.com/pmcsupport F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\intelpack.exe", O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PMCS] "C:\Programmi\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [USBToolTip] "C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" O4 - HKLM\..\Run: [PMCRemote] C:\Programmi\Pinnacle\Shared Files\\Programs\Remote\Remoterm.exe O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programmi\Pinnacle\Shared Files\\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PCTV 310i Antenna Power] "C:\Programmi\Pinnacle\Shared Files\Drivers\Tools\PCTV 310i Antenna Power.exe" /silent O4 - HKCU\..\Run: [PMCS] "C:\Programmi\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - Startup: GTVEpg.lnk = C:\Programmi\Got All Media\Components\GTVEpg.exe O4 - Startup: GTVRec.lnk = C:\Programmi\Got All Media\Components\GTVRec.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programmi\UltimateZip\uzqkst.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programmi\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe |
|
|
|
|
16-09-2006, 22:01
|
#4 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
ciao
in effetti nel tuo log l'unica cosa sospetta è quell'intelpack che non ho prprio idea cosa sia... Prova in hijackthis ad aprire open the misc tool section>open process manager, selezione la voce che fa riferimento ad intelpack, se è presente e clicca su kill process. Poi riprova a fare la scansione sempre con hijack e fixare le voci che non riuscivi a fixare. Fai anche una scansione con ewido http://www.ewido.net/en/
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
16-09-2006, 22:03
|
#5 |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
IntelPack.exe2
Provo quello che hai detto, però devo dirti che ho provato anche EWIDO! Non vede nulla!
|
|
|
|
|
16-09-2006, 22:09
|
#6 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Prova a far analizzare quell'intelpack.exe qui
http://www.virustotal.com/en/indexf.html
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
16-09-2006, 22:10
|
#7 |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
IntelPack.exe3
Sembrerebbe che abbia FIXATO, ma adesso proverò a riavviare! A limite ripeto l'operazione in Modalità provvisoria, previa disabilitazione del ripristino, e ti farò sapere. Comunque GRAZIE per l'aiuto!
|
|
|
|
|
16-09-2006, 22:29
|
#8 |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
IntelPack.exe4
Tutte le prove sono cadute nel NULLA, compresa il FIX del file incriminato! Ho paura che si avvicina la "formattazione"!
|
|
|
|
|
16-09-2006, 22:35
|
#9 |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Ciao, prova a fare questa operazione, tentare non nuoce:
scarica avenger sul desktop http://swandog46.geekstogo.com/avenger.zip Decomprimi l'archivio Avvia il file avenger.exe Seleziona l'opzione "Input Script Manually" Clicca sulla lente d'ingrandimento Ti si apre la finestra "View/edit script" All'interno del box bianco, copia e incolla il seguente codice in neretto: Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs Files to delete: c:\windows\intelpack.exe Clicca sul pulsante Done Clicca sull'icona del semaforo verde Rispondi Yes Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente. |
|
|
|
|
17-09-2006, 09:56
|
#10 |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
IntelPack5
Grazie per una nuova indicazione. appena possibile proverò anche questa e ti farò sapere!
|
|
|
|
|
17-09-2006, 10:34
|
#11 | |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
Quote:
Ho effettuato tutto quello che mi hai indicato, anche se mi piacerebbe sapere quello che ha fatto il software, ma dopo il riavvio automatico (mi è apparso anche il file text nel quale mi veniva avvisato che l'operazione si era conclusa con successo) ho LOGato con HijackThis ed il famigerato file IntelPack.exe era al suo posto. Mi viene da chiederti: non è che l'operazione andava fatta in modalità provvisoria e senza il ripristino di configurazione? GRAZIE ancora per la disponibilità! |
|
|
|
|
|
17-09-2006, 10:59
|
#12 |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
IntelPack6
Una cosa strana è successa: Il messaggio di individuazione Virus di PANDA non appare più da MEZZ'ORA (NON ERA MAI SUCCESSO) e comportamenti anomali del PC in rete non avvengono! Cosa ne pensate?
|
|
|
|
|
17-09-2006, 11:05
|
#13 |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Prova cosi:
Clicca su start>esegui nella casella digita regedit Clicca su Ok Ti si apre il registro di windows,aiutati con i + e portati fino alla chiave segnata in rosso HKEY_LOCAL_MACHINE <-----Clicca sul + per estendere la chiave Software <-----Clicca sul + per estendere la chiave Microsoft <-----Clicca sul + per estendere la chiave Windows NT <-----Clicca sul + per estendere la chiave CurrentVersion <-----Clicca sul + per estendere la chiave Winlogon Adesso seleziona la cartella in rosso,nel pannello di destra vedrai molti valori. Seleziona il valore Userinit destro del mouse,seleziona l'opzione "Modifica" Elimina dalla casella i valori "c:\windows\intelpack.exe", Deve risultarti così: c:\windows\system32\userinit.exe, Clicca su Ok Riavvia il pc e vedi come va. |
|
|
|
|
17-09-2006, 11:06
|
#14 | |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Quote:
|
|
|
|
|
|
17-09-2006, 15:04
|
#15 |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 299
|
fai una scansione completa dalla modalità provvisoria...
se c'è ancora lo rimuovi 
|
|
|
|
|
17-09-2006, 21:48
|
#16 | |
|
Member
Iscritto dal: Jul 2006
Città: Salerno
Messaggi: 134
|
IntelPack7
Quote:
UN SENTITO RINGRAZIAMENTO A TE E TUTTI QUELLI CHE HANNO DATO UNA MANO! Se hai voglia, fammi sapere come funziona quel programma AVENGER. Ancora GRAZIE e COMPLIMENTI! |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:50.
