Log von @renato --> Backdoor: vpc32.exe

von **Nikita** am 19.11.2004, 12:45

ob du mir meine log kontrollierst
mein computer läuft nähmlich nicht mehr richtig
und die cpu auslastung ist oft sehr hoch
kann auch den Adobe photoshop nicht öffnen / schließt sich automatisch beim laden

also hier mal mein log
Logfile of HijackThis v1.98.2
Scan saved at 17:03:52, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\sygatepf\smc.exe
E:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
E:\winamp 5\Winamp\winampa.exe
E:\Nero\incd\InCD.exe
C:\WINDOWS\System32\vpc32.exe
E:\antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\antivir\AVGUARD.EXE
E:\antivir\AVWUPSRV.EXE
E:\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
E:\winamp 5\Winamp\winamp.exe
E:\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] E:\winamp 5\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] E:\Nero\incd\InCD.exe
O4 - HKLM\..\Run: [SmcService] E:\sygatepf\smc.exe -startgui
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\antivir\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\officexp\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\officexp\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{09A7C80E-DC5C-4CBF-A4EB-C5CB75276AC9}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{09A7C80E-DC5C-4CBF-A4EB-C5CB75276AC9}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{09A7C80E-DC5C-4CBF-A4EB-C5CB75276AC9}: NameServer = 194.183.128.35,194.183.128.36

von **Nikita** am 19.11.2004, 12:54

Hallo@renato

Backdoor: C:\WINDOWS\System32\vpc32.exe
Creates a mutex [JuVeOwnZ].
* Will automatically restart after boot (I'll be back...). (34.60 seconds taken)
___________________________________________________________________________

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Start<Ausfuehren<regedit (reinschreiben)
die Registry oeffnet sich

Registry
Start -> Ausführen -> regedit -> Bearbeiten -> Suchen ->

vpc32

loesche RECHTS in der Registry, alles, was du findest.
.........................................................................................................

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

PC neustarten

Loesche:
<C:\WINDOWS\System32\vpc32.exe

Deinstalliere (unbedingt) den Antivirus und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

klicke auf: awn2k3e.exe und scanne alles, was es zu scannen gibt.
...........................................................................................................
Einstellung Firewall:...blocke diese Nachrichten !!!!!!!!!!!!
* Looks for an Internet connection.
* Connects to "owning.ath.cx" on port 153 (TCP)
Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

Dann poste das Log noch mal.

mfg
Nikita

Log von @renato --> Backdoor: vpc32.exe

Log von @renato --> Backdoor: vpc32.exe

Ähnliche Themen

Wer ist online?