[Microsoft Update] vpc32.exe

[panse]

der hat auch nix gefunden.
scheint clean zu sein - aber warum kam dann die fehlermeldung??

[Nikita]

Suche mal unter <systemsteuerung <die Ereignisanzeige

Durch den Event Viewer (=Ereignisanzeige) erhälst du Hiweise auf Probleme mit Anwendungen, einzusehen in der entsprechenden Log-Datei.

"Die Ereignisanzeige dient zur Verwaltung von Protokollen, die Informationen zu Programmen, Sicherheit und Systemereignissen auf dem Computer aufzeichnen. Mithilfe der Ereignisanzeige können Ereignisprotokolle angezeigt und verwaltet, Informationen zu Hard- und Softwareproblemen gesammelt sowie Windows-Sicherheitsereignisse überwacht werden."

Was ist angegeben fuer den betreffenden Zeitpunkt ?

mfg
Nikita

[panse]

Hallo,

folgendes habe ich gefunden:

Ereignistyp: Warnung
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1517
Datum: 23.09.2004
Zeit: 18:28:10
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: NAME
Beschreibung:
Die Registrierung des Benutzers "NAME\*lol* you" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Ereignistyp: Informationen
Ereignisquelle: AVWUpSrv
Ereigniskategorie: Keine
Ereigniskennung: 4097
Datum: 23.09.2004
Zeit: 18:29:53
Benutzer: Nicht zutreffend
Computer: NAME
Beschreibung:
Die Beschreibung der Ereigniskennung ( 4097 ) in ( AVWUpSrv ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: Service started!.

Ereignistyp: Informationen
Ereignisquelle: WMDM PMSP Service
Ereigniskategorie: Keine
Ereigniskennung: 105
Datum: 23.09.2004
Zeit: 18:29:58
Benutzer: Nicht zutreffend
Computer: NAME
Beschreibung:
The service was started.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Ereignistyp: Informationen
Ereignisquelle: H+BEDV AntiVir
Ereigniskategorie: AntiVir
Ereigniskennung: 4096
Datum: 23.09.2004
Zeit: 18:30:04
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: NAME
Beschreibung:
Der AntiVir Dienst wurde erfolgreich gestartet!

Ereignistyp: Informationen
Ereignisquelle: LoadPerf
Ereigniskategorie: Keine
Ereigniskennung: 1001
Datum: 23.09.2004
Zeit: 18:34:13
Benutzer: Nicht zutreffend
Computer: NAME
Beschreibung:
Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge Last Counter und Last Help.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 2e 09 00 00 2f 09 00 00 ..../...
0008: 17 07 00 00

Ereignistyp: Informationen
Ereignisquelle: LoadPerf
Ereigniskategorie: Keine
Ereigniskennung: 1000
Datum: 23.09.2004
Zeit: 18:34:14
Benutzer: Nicht zutreffend
Computer: NAME
Beschreibung:
Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 0c 14 00 00 ....
....
sonstige einträge gab es beim entsprechenden zeitpunkt nicht.

[Nikita]

Hallo @panse

Ereignistyp: Warnung
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1517

Das Ereignis tritt auf, wenn bei einem Programm oder einem Dienst die Registrierung geöffnet ist, während Windows XP abgemeldet wird.

Ansonsten gibt es keine weiteren Hinweise auf Ungewoehnliches....

Mache folgendes:
1. ueberpruefe die Prozesse (vielleicht findest du noch die "worm.exe"
http://www.sysinternals.com/ntw2k/freew ... cexp.shtml

2.http://www.trojancheck.de/
http://www.trojancheck.de/
ich weiss es nicht genau, aber du musst das Tool nach jedem Booten neu aktivieren

mfg
Nikita

[panse]

nein, habe nichts gefunden.
den trojanercheck hab ich aktiviert.

naja, ist zwar seltsam, wird aber wohl alles in ordnung sein.

vielen dank für die hilfe

[NightBeast]

Also @ nikita

von den hier:

"#Loesche:
C:\WINDOWS\System32\fbhgkh.dll
D:\RECYCLER\S-1-5-21-1606980848-602609370-725345543-1003\Dd111.exe
C:\WINDOWS\System32\ClrSchP028.exe
C:\WINDOWS\System32\SHAgentNew.dll
C:\WINDOWS\preInsTT.exe "

Konnte ich nur die letzten beiden finden, die aber schon mit .mwt hinten dran umbenannt waren.

Sphj.fix konnte mei mir nix finden,obwohl bei mir immernoch die Einträge von diesem about:blank drinne stehen.

adaware mag ich überhaupt nicht. Das Teil hat bei mir schon zwei mal etwas gefunden was sofort nach einem neustart entfernt werden musste. Das heisst also, dass beim hochfahren adaware sich öffnete und Datei entfernte. Doch es muss wohl zu vielgelöscht haben und deshalb war dann das gesammte system beschädigt und ich musste formatieren.

Ebenfalls sagst du, dass ich so viel scannen muss. Mein scan mit escan hat insgesammt 2:30 stunden gedauert. Also geht das schonmal garnicht, wenn ich dann noch mit AntiVir doppelt scannen muss.

Bist du dir denn sicher dass dann die vpc32.exe weg sein wird? Ich verstehe zb. nicht wieso ich andere Sachen weg machen muss obwohl das blöde VPC32.exe noch immer da ist. Bisher hat mich nur VPC32.exe gestört, weil ich nach ner Zeit immer neustarten muss.

[Nikita]

Hallo @NightBeast

C:\WINDOWS\System32\vpc32.exe wurde auch umbenannt. Du kannst die exe suchen und manuell loeschen.
Aber das Problem ist der Mutex vom Backdoor.(ich weiss leider nicht, welcher es ist)

Die Idee vom mehrmaligen Scannen (im Normal- und abgesicherten Modus) und mit verschiedenen Tools ist schon ganz richtig.

Wenn ich so einen verseuchten PC wie du haette , wuerde ich scannen, bis zum "Umfallen"...soll heissen, bis alle Scanns sauber bleiben.

Man sollte schon die Zeit aufbringen, wenn man nicht neu formatieren will.

mfg
Nikita

[NightBeast]

Hey, ich weiss nicht warum, aber es scheint alles ok zu sein.

AntiVir hat blos einen bereits umbennanten virus gefunden, aber mein hjt log scheint gleich besser zu sein.


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\Yztoolbar\YzToolBar.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.arcor.de/night9/nighthouse/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Verknüpfung mit YzToolBar.lnk = C:\Programme\Yztoolbar\YzToolBar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA10334-6ADC-4F32-83E1-1C17851D140F}: NameServer = 217.237.150.97 217.237.149.161
O18 - Protocol hijack: mhtml -



Und überhaupt kann ich endlich wieder meine Startseite verändern. Dabei hat das sphjfix nix gefunden ^^

[Nikita]

Hallo @NightBeast

Hast du das korrekt kopiert? O18 - Protocol hijack: mhtml -

So langsam kommen wir der Loesung naeher...
Auch auf die Gefahr hin, wass du mir virtuell Pruegel androhst...aber ich moechte, dass du noch mal mit Escan scannst (im Normalmodus) und dann das uebliche aus dem Viewer rauskopierst.

mfg
Nikita

[tjdus]

@Nikita

Ich habe diesen Wurm auch.Hab ihn aber durch deine beschreibung wegbekommen.Aber er kommt nach jeder formatierung wieder.Wie verhinder ich dass er immer wiederkommt ?

[NightBeast]

Soo, danke erstmal an dich Nikita. Jaa ich habe alles korrekt kopiert ^__^


Also, heute hab ich nicht mehr die Zeit für den scan aber morgen bestimmt ^^

mfg

Beasty

[Nikita]

Hallo @tjdus

Du darfst nicht "drueberinstallieren"

Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/window ... rewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
http://www.firebird-browser.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern

mfg
Nikita

[NightBeast]

Verdammt! Ich bin heute aufgestanden und wollte mit escan scannen und schon war vpc32.exe wieder da!!!!!!!!!!!!!!!!!! Man



edit:: > So, ich habe nun mit antivir gescant und er hat nix finden können.

Jetzt mit escan im normal modus:

File C:\WINDOWS\System32\vpc32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\mIRC\Weisseradler-Script 1.071\Weisseradler-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.



Ich habe meine Windows Firewall angeschaltet (interene Verbindungsfirewall)

und lade mir jetzt das Programm http://www.dingens.org/ runter.

------------------------------------------------------------

Habe mir auch diesen Thread hier angeguckt:
http://www.chip.de/forum/thread.html?bwthreadid=669696

So wie ich das verstehe ist Backdoor.Rbot.gen so schlimm, dass ich mein System lieber neuaufsetzten sollte, den man kann nun nix mehr machen, weil der Rechner absolut nicht mehr sicher ist. Stimmt das Nikita?

[Nikita]

Hallo @NightBeast

So wie ich das verstehe ist Backdoor.Rbot.gen so schlimm, dass ich mein System lieber neuaufsetzten sollte, den man kann nun nix mehr machen, weil der Rechner absolut nicht mehr sicher ist. Stimmt das Nikita?

Ja, das stimmt......

#Backdoor Functionality
http://www.trojaner-board.de/showpost.p ... ostcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung
__________________________________________________________________

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/window ... rewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
http://www.firebird-browser.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern

FIREWALLS, NETZWERK-SICHERHEIT UND DIE BÖSEN HACKER
http://www.nickles.de/c/s/26-0015-204-1.htm
Personal Firewalls
http://www.joergkrusesweb.de/internet/s ... dex-2.html

mfg
Nikita

[tjdus]

Hi @ Nikita

Gibt es zu dem Wurm nich irgendein windows update?
Ich würde nämlich gerne meine XP Firewall auslassen,da ich Einschränkungen dadurch habe!z.B funktioniert QSC IP Fonie nicht mehr dadurch was ich dringends benötige

MfG Tjdus