[Microsoft Update] vpc32.exe\ was ist das ?

#0
22.09.2004, 19:30
...neu hier

Beiträge: 2
#16 Hallo!
Ich bräuchte dringend Hilfe mit einem Vpc32.exe Problem.
Kenne mich nicht wirklich mit Sicherheitsfragen aus. Habe mich durch dieses Forum geklickt und einige Tipps ausprobiert.

Habe die Systemwiederherstellung deaktiviert, dann ein hijack-logfile erstellt und selbiges auf hijackthis.com im automatischen checker überprüfen lassen.

Habe dann diese Einträge gefixt

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

Den Prozess vpc32.exe im Taskmanager beendet und die Datei im sytem32 Ordner gelöscht.

Dann habe ich das system mit ad-aware, cwshred, mwav, spybot search and destroy und antivir gescannt >>> alles ohne ergebnis

Von Windowsupdate habe ich auch Sicherheitsupdates heruntergeladen...ich dachte zwischenzeitig das Problem wäre gelöst.

Jetzt ist das Teil aber wieder da und will auf owning.ath.cx connecten.

Mein Logfile sieht so aus:
Logfile of HijackThis v1.98.2
Scan saved at 19:07:37, on 22.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
D:\NEU\hijack\HijackThis.exe
C:\WINDOWS\System32\rasautou.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095861231067
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4393/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{625E1AF2-66BA-4CDA-B2D5-AE3FAF18186E}: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de


Habe ich irgendwas vergessen/falsch gemacht? Ich Kenne mich nicht wirklich aus!
Ist jetzt die einzige Möglichkeit eine Komplettformatierung und Neuinstallation?

Hoffe auf Eure Hilfe
Seitenanfang Seitenende
22.09.2004, 19:38
Member

Beiträge: 441
#17

Zitat

Habe ich irgendwas vergessen/falsch gemacht?
Ja, denn dein System ist nicht ausreichend gepatcht.

Zitat

Ist jetzt die einzige Möglichkeit eine Komplettformatierung und Neuinstallation?

Zitat

Meiner Meinung nach, Ja.

__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 22.09.2004 um 19:38 Uhr von Cidre editiert.
Seitenanfang Seitenende
22.09.2004, 22:20
Member
Avatar Ajax

Beiträge: 890
#18

Zitat

raman postete
Funktioniert leider unter WinNT/NTFS nicht besonders gut, wenn jemand eine Alternative kennt, bitte melden. Von Adinf bin ich nicht so begeistert.
Joanna's patchfinder(w2k) dürfte dir wohl bestimmt auch bekannt sein.
Allerdings steht der Support für winXP/2003 noch auf die todo-Liste.

Gruß
Ajax
Seitenanfang Seitenende
22.09.2004, 22:53
...neu hier

Beiträge: 2
#19 Hier gibt es eine Beschreibung zum Virus, die bei einigen Leuten gewirkt hat.
Bei mir hoffentlich auch.

http://www.informationsarchiv.net/foren/beitrag-8270.html
Seitenanfang Seitenende
22.09.2004, 23:09
Member

Beiträge: 441
#20

Zitat

Hier gibt es eine Beschreibung zum Virus, die bei einigen Leuten gewirkt hat.
Einige Text-Passagen kommen mir recht bekannt vor. ;)
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
12.10.2004, 15:39
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#21 vpc32.exe

Mit dem HijackThis fixen, dann neustarten
.
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe


Jotti's malware scan 2.41

http://virusscan.jotti.dhs.org/
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH.MORPHINE, MORPHINE, UPX

AntiVir No viruses found (2.80 seconds taken)
Avast No viruses found (4.56 seconds taken)
BitDefender Win32.P2P.SpyBot.Gen (8.78 seconds taken)
ClamAV No viruses found (6.45 seconds taken)
Dr.Web Win32.HLLW.ForBot (4.11 seconds taken)
F-Prot Antivirus W32/Sdbot.ADW (0.37 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (13.57 seconds taken)
mks_vir Trojan.Rbot (2.63 seconds taken)
NOD32 Win32/Rbot.AQF (2.22 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information ]

Statistics
Last piece of malware found was Worm/Spybot.49734 in doom3-keygen (1).exe, detected by:

Scanner Malware name Time taken
AntiVir Worm/Spybot.49734 3.67 seconds
Avast X 9.27 seconds
BitDefender Win32.P2P.SpyBot.Gen 3.96 seconds
ClamAV X 6.55 seconds
Dr.Web Win32.HLLW.SpyBot 4.60 seconds
F-Prot Antivirus X 0.49 seconds
Kaspersky Anti-Virus Worm.P2P.SpyBot.gen 4.43 seconds
mks_vir Win32.4 1.64 seconds
NOD32 probably unknown NewHeur_PE 2.81 seconds
Norman Virus Control Sandbox: W32/Backdoor 37.13 seconds

* File length: 97280 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\vpc32.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Microsoft Update"="vpc32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Microsoft Update"="vpc32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Microsoft Update"="vpc32.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "owning.ath.cx" on port 153 (TCP).
* Connects to IRC Server.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex [JuVeOwnZ].
* Will automatically restart after boot (I'll be back...). (34.60 seconds taken)

Onlinescanns:

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#OnlineScan<Dr.Web® <
http://www.dials.ru/english/www_av/
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.10.2004 um 16:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.10.2004, 16:18
Member

Beiträge: 1095
#22 UND JETZT????????????????????
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.10.2004, 16:21
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#23 Loeschen von:vpc32.exe
Worm/Spybot.49734 \Win32.P2P.SpyBot.Gen\Win32.HLLW.SpyBot\ Worm.P2P.SpyBot.gen\W32/Backdoor

Mit dem HijackThis fixen, dann neustarten.
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

Start<Ausfuehren<regedit:

*"Microsoft Update"="vpc32.exe"
loeschen unter dem Schluessel ::"HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
*"Microsoft Update"="vpc32.exe"
loeschen unter dem Schluessel:
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* "Microsoft Update"="vpc32.exe"
loeschen unter dem Schluessel: "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

alle<"Microsoft Update"="vpc32.exe"< RECHTS in der Registry loeschen, damit der sehr gefaehrliche Backdoor aus dem Autostart kommt !!!, dann den PC neustarten

Versteckte Ordner\Dateien anzeigen
#Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

Loeschen: dazu gibst du in die Suchfunktion von Windows ein:
<vpc32.exe
<JuVeOwnZ
<doom3-keyg.exe
<doom3-keygen (1).exe
<doom3
<doom3-keygen (1).exe

Tip:
Onlinescanns:
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#OnlineScan<Dr.Web® <
http://www.dials.ru/english/www_av/
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
#Testversion "Antivirus Personal 5.0" (wenn du diese laedst, must du den aktuellen Virenscanner deaktivieren)
http://www.kaspersky.com/trials
#Antivirus (free)
http://www.free-av.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.10.2004 um 16:32 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.10.2004, 16:30
Member

Beiträge: 1095
#24 UND Nun ?????????????????????????????
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
28.10.2004, 10:00
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#25 Nachtrag:

Zitat:
Die ganzen absurden files wie vpc32.exe, qtask.exe, doom3-keygen.exe, [JuVeOwnZ], football und so alle hab ich gerade gefunden und gelöscht --> HKEY_USERS\S-1-5-21-796845957-562591055-682003330-1004\Software\Microsoft\Search Assistent\ACMru\5603

*****
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.10.2004 um 10:01 Uhr von Sabina editiert.
Seitenanfang Seitenende