[Microsoft Update] vpc32.exe\ was ist das ? |
||
---|---|---|
#0
| ||
22.09.2004, 19:30
...neu hier
Beiträge: 2 |
||
|
||
22.09.2004, 19:38
Member
Beiträge: 441 |
#17
Zitat Habe ich irgendwas vergessen/falsch gemacht?Ja, denn dein System ist nicht ausreichend gepatcht. Zitat Ist jetzt die einzige Möglichkeit eine Komplettformatierung und Neuinstallation? Zitat Meiner Meinung nach, Ja. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 22.09.2004 um 19:38 Uhr von Cidre editiert.
|
|
|
||
22.09.2004, 22:20
Member
Beiträge: 890 |
#18
Zitat raman posteteJoanna's patchfinder(w2k) dürfte dir wohl bestimmt auch bekannt sein. Allerdings steht der Support für winXP/2003 noch auf die todo-Liste. Gruß Ajax |
|
|
||
22.09.2004, 22:53
...neu hier
Beiträge: 2 |
#19
Hier gibt es eine Beschreibung zum Virus, die bei einigen Leuten gewirkt hat.
Bei mir hoffentlich auch. http://www.informationsarchiv.net/foren/beitrag-8270.html |
|
|
||
22.09.2004, 23:09
Member
Beiträge: 441 |
#20
Zitat Hier gibt es eine Beschreibung zum Virus, die bei einigen Leuten gewirkt hat.Einige Text-Passagen kommen mir recht bekannt vor. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
12.10.2004, 15:39
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#21
vpc32.exe
Mit dem HijackThis fixen, dann neustarten. O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe Jotti's malware scan 2.41 http://virusscan.jotti.dhs.org/ Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE_PATCH.MORPHINE, MORPHINE, UPX AntiVir No viruses found (2.80 seconds taken) Avast No viruses found (4.56 seconds taken) BitDefender Win32.P2P.SpyBot.Gen (8.78 seconds taken) ClamAV No viruses found (6.45 seconds taken) Dr.Web Win32.HLLW.ForBot (4.11 seconds taken) F-Prot Antivirus W32/Sdbot.ADW (0.37 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (13.57 seconds taken) mks_vir Trojan.Rbot (2.63 seconds taken) NOD32 Win32/Rbot.AQF (2.22 seconds taken) Norman Virus Control Sandbox: W32/Malware; [ General information ] Statistics Last piece of malware found was Worm/Spybot.49734 in doom3-keygen (1).exe, detected by: Scanner Malware name Time taken AntiVir Worm/Spybot.49734 3.67 seconds Avast X 9.27 seconds BitDefender Win32.P2P.SpyBot.Gen 3.96 seconds ClamAV X 6.55 seconds Dr.Web Win32.HLLW.SpyBot 4.60 seconds F-Prot Antivirus X 0.49 seconds Kaspersky Anti-Virus Worm.P2P.SpyBot.gen 4.43 seconds mks_vir Win32.4 1.64 seconds NOD32 probably unknown NewHeur_PE 2.81 seconds Norman Virus Control Sandbox: W32/Backdoor 37.13 seconds * File length: 97280 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\vpc32.exe. * Deletes file 1. [ Changes to registry ] * Creates value "Microsoft Update"="vpc32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". * Creates value "Microsoft Update"="vpc32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". * Creates value "Microsoft Update"="vpc32.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". [ Network services ] * Looks for an Internet connection. * Connects to "owning.ath.cx" on port 153 (TCP). * Connects to IRC Server. [ Security issues ] * Possible backdoor functionality [Authenticate] port 113. [ Process/window information ] * Creates a mutex [JuVeOwnZ]. * Will automatically restart after boot (I'll be back...). (34.60 seconds taken) Onlinescanns: #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #OnlineScan<Dr.Web® < http://www.dials.ru/english/www_av/ #BitDefender Scan www.bitdefender.com/scan/Msie/index.php #Testversion "Antivirus Personal 5.0" http://www.kaspersky.com/trials mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.10.2004 um 16:12 Uhr von Sabina editiert.
|
|
|
||
12.10.2004, 16:18
Member
Beiträge: 1095 |
#22
UND JETZT????????????????????
__________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
12.10.2004, 16:21
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#23
Loeschen von:vpc32.exe
Worm/Spybot.49734 \Win32.P2P.SpyBot.Gen\Win32.HLLW.SpyBot\ Worm.P2P.SpyBot.gen\W32/Backdoor Mit dem HijackThis fixen, dann neustarten. O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe Start<Ausfuehren<regedit: *"Microsoft Update"="vpc32.exe" loeschen unter dem Schluessel ::"HKLM\Software\Microsoft\Windows\CurrentVersion\Run". *"Microsoft Update"="vpc32.exe" loeschen unter dem Schluessel: "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". * "Microsoft Update"="vpc32.exe" loeschen unter dem Schluessel: "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". alle<"Microsoft Update"="vpc32.exe"< RECHTS in der Registry loeschen, damit der sehr gefaehrliche Backdoor aus dem Autostart kommt !!!, dann den PC neustarten Versteckte Ordner\Dateien anzeigen #Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen Loeschen: dazu gibst du in die Suchfunktion von Windows ein: <vpc32.exe <JuVeOwnZ <doom3-keyg.exe <doom3-keygen (1).exe <doom3 <doom3-keygen (1).exe Tip: Onlinescanns: #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #OnlineScan<Dr.Web® < http://www.dials.ru/english/www_av/ #BitDefender Scan www.bitdefender.com/scan/Msie/index.php #Testversion "Antivirus Personal 5.0" (wenn du diese laedst, must du den aktuellen Virenscanner deaktivieren) http://www.kaspersky.com/trials #Antivirus (free) http://www.free-av.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.10.2004 um 16:32 Uhr von Sabina editiert.
|
|
|
||
12.10.2004, 16:30
Member
Beiträge: 1095 |
#24
UND Nun ?????????????????????????????
__________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
28.10.2004, 10:00
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#25
Nachtrag:
Zitat: Die ganzen absurden files wie vpc32.exe, qtask.exe, doom3-keygen.exe, [JuVeOwnZ], football und so alle hab ich gerade gefunden und gelöscht --> HKEY_USERS\S-1-5-21-796845957-562591055-682003330-1004\Software\Microsoft\Search Assistent\ACMru\5603 ***** __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.10.2004 um 10:01 Uhr von Sabina editiert.
|
|
|
||
Ich bräuchte dringend Hilfe mit einem Vpc32.exe Problem.
Kenne mich nicht wirklich mit Sicherheitsfragen aus. Habe mich durch dieses Forum geklickt und einige Tipps ausprobiert.
Habe die Systemwiederherstellung deaktiviert, dann ein hijack-logfile erstellt und selbiges auf hijackthis.com im automatischen checker überprüfen lassen.
Habe dann diese Einträge gefixt
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
Den Prozess vpc32.exe im Taskmanager beendet und die Datei im sytem32 Ordner gelöscht.
Dann habe ich das system mit ad-aware, cwshred, mwav, spybot search and destroy und antivir gescannt >>> alles ohne ergebnis
Von Windowsupdate habe ich auch Sicherheitsupdates heruntergeladen...ich dachte zwischenzeitig das Problem wäre gelöst.
Jetzt ist das Teil aber wieder da und will auf owning.ath.cx connecten.
Mein Logfile sieht so aus:
Logfile of HijackThis v1.98.2
Scan saved at 19:07:37, on 22.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
D:\NEU\hijack\HijackThis.exe
C:\WINDOWS\System32\rasautou.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095861231067
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4393/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{625E1AF2-66BA-4CDA-B2D5-AE3FAF18186E}: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de
Habe ich irgendwas vergessen/falsch gemacht? Ich Kenne mich nicht wirklich aus!
Ist jetzt die einzige Möglichkeit eine Komplettformatierung und Neuinstallation?
Hoffe auf Eure Hilfe