[Microsoft Update] vpc32.exe

[tabtab]

hallo
mein problem : korgo verschwindet nicht vollstaendig von meinem rechner. ich hab das entsprechende windows update installiert , ein tool zum entfernen des wurms gezogen und im abgesicherten modus ausgefuehrt und auch die systemwiederherstellung deaktiviert. der wurm wurde vom tool gefunden und geloescht - trotzdem findet antivir bei jedem durchlauf wieder files, die mit korgo in verbindung stehen.
jetzt hab ich zweierlei fragen :
1) wie werde ich den ganz los?
2) mein icq (2003 pro) disconnectet nach ner zeit immer - kann das mit dem wurm zusammenhaengen ? oder muss ich in verbindung mit zonealarm etwas beachten? (keep connection alive hab ich bereits aktiviert bei icq)

vielen dank


edit : fuer einige seiten braucht mein browser teilweise auch ziemlich lange nachdem das mit icq aufgetreten ist (firefox)

hier noch das hijack log :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\vpc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Miranda IM\miranda32.exe
D:\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5516158697
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{044C2325-3CA4-4449-A4AD-8004B1FFEDE5}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{044C2325-3CA4-4449-A4AD-8004B1FFEDE5}: NameServer = 217.237.150.225 217.237.150.141

[Computerdirk]

Hallöchen,

Systemwiederherstellung deaktivieren und dann folgende Einträge mit HijackThis fixen:

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

Danach den Rechner im abgesicherten Modus neustarten und diese .exe Datei löschen.

Normal neustarten und nochmal mit Antivirenprogramm scannen.

[Nikita]

Hallo @tabtab

vpc32.exe ist wahrscheinlich nicht der Korgo, sondern:Backdoor.Rbot.gen \W32/Sdbot-HB\oder der "Gaobot"oder W32.Spybot.Worm (falls du KaZaA hast)

W32/Sdbot-HB ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er enthält auch eine Backdoortrojaner-Funktion, die unbefugten Fernzugriff auf den infizierten Computer via IRC-Kanälen ermöglicht, während der Wurm als Dienstprozess im Hintergrund läuft.

W32/Sdbot-HB verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.

Dein PC ist kompromitiert und nicht mehr vertrauenswuerdig.

#Backdoor Functionality
http://www.trojaner-board.de/showpost.p ... ostcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung
______________________________________________________________________
1.Fixen:
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

2.Neustarten

3.Deinstalliere voruebergehend:
<C:\PROGRA~1\ICQ\ICQ.exe
<mIRC
< KaZaA

4.Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Falls du Kazaa hast:
5.Gehe in die Registry

Start<Ausfuehren<regedit

loesche auf der rechten Seite der Registry den Eintrag, falls er existiert:
HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent\"dir0"="012345:<configurable path>"

6.Loeschen:
<C:\WINDOWS\System32\vpc32.exe
<tftp*.* (in Suche, der Suchfunktion von Windows reinkopieren)

7.Aktiviere den XP-Firewall
http://www.dirks-computerecke.de/window ... rewall.htm

8.Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

9.Deinstalliere und lade neu: Antivirus (ist zerstoert)
Antivirus (free)
http://www.free-av.de/
Konfiguriere: <alle Dateien und Heuristik:mittel und mache einen Komplettscann.

10.Falls es doch der <Gaobot< ist, lade dieses Tool:
Download the FxGaobot.exe file from:
http://securityresponse.symantec.com/av ... .tool.html

11.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal

12.TCPview (Systemprozesse, laufende) finden..Ueberpruefe, ob der Wurm noch aktiv ist:
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

11.Gehe in die Registry
Start<Ausfuehren<regedit
Falls dieser Schluessel so existiert:, aendere die N in Y
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N

mfg
Nikita

[Killerjoghurt]

Tach zusammen
bin,nach dem mein Rechner auch von diesem schwulen vcp32.exe wurm befallen wurde,glücklicherweise auf diese Seite gestossen und ich muß sagen Nikita du hast mir echt geholfen.Danke für die ganzen Links und für die super Beschreibung die man doch recht easy verstehen kann.Wär den Wurm jetzt immer noch hat den kann auch nix anderes mehr helfen.Ich hatte gestern schon meinen PC platt gemacht in der hoffnung das er dann wieder sauber ist aber fehlanzeige.Vorher war ich auf diversen Seiten,die mir all möglichen *lol* empfohlen haben(so wie das platt machen)oder mir nen Prog verkaufen wollten welches es sowieso nicht tat(gibt ja noch so andere adressen)
naja ich werd das hier mal noch nen bißchen verfolgen und dazu lernen,hoff ich.
Was mich aber interessiern würde ist ,wie kommt dieser Wurm auf meinen rechner?
hab Zonealarm,Antivir,diverse XP updates und trotzdem...Das einzige was ich nicht aktiviert hatte war die XP Firewall.



Gibt es denn überhaupt was sicheres das mir sowas nicht nochmal passiert??
Ach und beim scannen mit AV hat er "Heuristic/Trojan.Downloader gefunden und gelöscht.Der war in meinem JD Tricks Ordner.und ich frag mich ob ich den da mit bei gekriegt habe wo ich mir JD gesaugt habe!?


Naja trotzdem schönen Dank fürs posten.

[Nikita]

Hallo @Killerjoghurt

Win32.Rbot

Bekannt als:: Win32/RBot, Win32.Rbot.AF, Win32.Rbot.AG, Win32.Rbot.AK, Win32.Rbot.AN, Win32.Rbot.AP, Win32.Rbot.AR, Win32.Rbot.AY, Win32.Rbot.BB, Win32.Rbot.BD, Win32.Rbot.BH, Win32.Rbot.C, Win32.Rbot.CK, Win32.Rbot.CP, Win32.Rbot.EH , Win32.Rbot.EU, Win32.Rbot.EW, Win32.Rbot.EX, Win32.Rbot.gen, Backdoor.Rbot.gen (Kaspersky), Win32.Rbot.H , Win32.Rbot.S, Win32.Rbot.SP, Win32.Rbot.W , W32/Sdbot.worm.gen.g (McAfee), W32.Spybot.Worm (Symantec)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

#Der Name ist verschieden, zum Beispiel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update Machine = "wuamgrd.exe"
Rbot erstellt einen Mutex ,ebenfalls von Wurm zu Wurm verschieden. Im genannten Beispiel ist es : "rxlsass01b".

Verbreitung:
1.Via Network Shares (TCP ports 139 and 445)
Rbot can infect remote machines through Windows file sharing. It scans for target machines by probing TCP ports 139 and 445. If it can connect to either of these ports, it then tries to connect to the Windows share:

\\<target>\ipc$

2.Via Exploits
Win32.Rbot can also spread by exploiting vulnerabilities in Windows operating systems and third party applications. If it successfully exploits one of these, it executes a small amount of code on the target machine, which instructs it to connect back to the source in order to retrieve the complete worm executable. These connections back to the source use either the TFTP or HTTP protocol; the worm acts as a TFTP or HTTP server to deliver itself. The ports used for these servers are also configurable, but are often 81 for HTTP and 69 for TFTP.
This is a list of known vulnerabilities that Rbot may exploit:
1. Microsoft Windows LSASS buffer overflow vulnerability (TCP port 445)
http://www3.ca.com/threatinfo/vulninfo/ ... x?id=27886
http://www.microsoft.com/technet/securi ... 4-011.mspx

2. Microsoft Windows ntdll.dll buffer overflow vulnerability (WebDav vulnerability) (TCP port 80)
http://www3.ca.com/threatinfo/vulninfo/ ... px?ID=7287
http://www.microsoft.com/technet/securi ... 3-007.mspx

3. Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP ports 135, 445, 1025)
http://www3.ca.com/threatinfo/vulninfo/ ... x?ID=25454
http://www.microsoft.com/technet/securi ... 3-039.mspx (supersedes original bulletin MS03-026)

4. Microsoft Windows RPCSS malformed DCOM message buffer overflow vulnerabilities (TCP port 135)
http://www3.ca.com/threatinfo/vulninfo/ ... x?ID=25975
http://www.microsoft.com/technet/securi ... 3-039.mspx

5. Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP port 1433)
http://www3.ca.com/threatinfo/vulninfo/ ... px?ID=5705
http://support.microsoft.com/default.as ... us;Q321081
Note: The worm tries the same password list as that used for spreading through shares, including a blank password. The SQL server accounts it attempts to log in to are "sa", "root" and "admin".

6. Microsoft Universal Plug and Play (UPnP) NOTIFY directive buffer overflow and DoS vulnerabilities (TCP port 5000)
http://www3.ca.com/threatinfo/vulninfo/ ... px?ID=4520
http://www.microsoft.com/technet/securi ... 1-059.mspx

7. DameWare Mini Remote Control Buffer Overflow (TCP port 6129)
http://www3.ca.com/threatinfo/vulninfo/ ... x?ID=26843
http://www.dameware.com/support/securit ... asp?ID=SB2

3.Via Other Malware
Some Rbot variants can also infect remote systems through backdoors created by other malware:

* Win32.Bagle worm (TCP port 2745)
* Win32.Mydoom worm (TCP port 3127)
* Win32.OptixPro trojan (TCP port 3410)
* Win32.NetDevil trojan (TCP port 903)
* Win32.PSW.Kuang trojan (TCP port 17300)
* Win32.SubSeven trojan (TCP port 27347)

Auswirkung:
.Backdoor Functionality
Rbot's main function is to act as an IRC controlled backdoor. It attempts to connect to a predefined IRC server and join a specific channel so that the victim's computer can be controlled. The IRC server, port number, channel and password differ with each variant.

Rbot also listens on TCP port 113 to provide ident services, which are required by some IRC servers.

* download and execute files from the Internet
* retrieve system information such as Operating System details
* retrieve CD keys for certain computer games, if present
* start a SOCKS proxy
* perform denial of service (DoS) attacks
* start several other servers: rlogin, http, tftp. The ports used for these are configurable.
* log keystrokes
* capture video from a webcam, if present
* send e-mail

2.Process Termination
regedit.exe
msconfig.exe
netstat.exe
msblast.exe
zapro.exe
navw32.exe
navapw32.exe
zonealarm.exe
wincfg32.exe
taskmon.exe
PandaAVEngine.exe
sysinfo.exe
mscvb32.exe
MSBLAST.exe
teekids.exe
Penis32.exe
bbeagle.exe
SysMonXP.exe
winupd.exe
winsys.exe
ssate.exe
rate.exe
d3dupdate.exe
irun4.exe
i11r54n4.exe

http://www3.ca.com/securityadvisor/viru ... x?id=39437
________________________________________________________________
Frage: hast du die WindowsUpdates gemacht ?
Welchen Browser benutzt du ?
Du kannst ja mal dein Log vom HijackThis posten.

1.Deaktivieren Wiederherstellung(bei "sauberem System, booten und wieder aktivieren)
XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Analysen:
2.#Prozess-Explorer
http://www.sysinternals.com/ntw2k/freew ... cexp.shtml
3.#ANTS 2.1
http://www.pcbusiness-online.de/common/ ... ileid=1547
4.#Autostart-Manager
http://www.gschwarz.de/download.htm

mfg
Nikita

[Killerjoghurt]

hier erstmal mein hijack:


Logfile of HijackThis v1.98.2
Scan saved at 11:55:05, on 22.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ants\ants.exe
C:\Programme\ants\guard.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KITEMA~1\LOKALE~1\Temp\Rar$EX00.975\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\KITEMA~1\LOKALE~1\Temp\mwavscan.com" /s
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA68DDDF-F33E-41C5-B8C9-949F1F137208}: NameServer = 194.97.173.124 194.97.173.125

benutze mozilla und hab mein zugang von freenet.
was ist diese smss.exe und die lsass.exe?
und warum hab ich gleich 4 oder 5 mal die svchost.exe?eine für das netzwerk das is klar und der rest?

[Nikita]

Hallo @Killerjoghurt

Dein Log ist sauber

1.der eScan muss nicht im Autostart sein, denn er ist kein Guard.
scanne mit HijackThis , hake das hier an und <fix<
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\KITEMA~1\LOKALE~1\Temp\mwavscan.com" /s
dann neustarten

2.Lade Antivirus (free) Nach dem Installationsscann konfiguriere im Scanner UND im Guard: "alle Dateien" und "Heuristik": mittel
< Update das Tool jeden Tag (!)
http://www.free-av.de/

3.FIREWALLS, NETZWERK-SICHERHEIT UND DIE BÖSEN HACKER
http://www.nickles.de/c/s/26-0015-204-1.htm

4.Was deine Fragen betrifft, so sind diese Dienste <4 oder 5 mal die svchost.exe<normal unter Windows, je nachdem was du aktiviert hast .
Dienste deaktivieren
#Windows-Dienste abschalten"!
http://www.dingens.org/

#NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios
- zeitnahes einspielen von Sicherheitspatches(WindowsUpdates)
- kein Download aus nicht vetrauenswürdigen Quellen
- keine eMail Attachments öffnen
usw.
.........................................................................................................................
Gib: smss.exe und die lsass.exe und "svchost.exe unter Windows" in eine deutsche Suchmaschine ein und informiere dich .

Gruss
Nikita

[Killerjoghurt]

danke danke
werd mich gleich mal umschauen nach der smss und lsass exe
hast es echt drauf

[panse]

11.Gehe in die Registry
Start<Ausfuehren<regedit
Falls dieser Schluessel so existiert:, aendere die N in Y
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N

ich habe bei mir unter diesem key 3 verschiedene werte:
[list=] HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = Y [/list]
[list=] HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = N [/list]
[list=] HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = N [/list]

ist das so ok, oder muss ich alle 3 in Y umwandeln?

[NightBeast]

So, hi. Nunja ich habe den Virus jetzt auch schon seit ca. 1 woche und ich muss sagen, dass mir bsichen nix geholfen hat.

Selbstverständlich habe ich die systemwiederherrstellung ausgeschalten um den system restore zu entleeren. Ebenfalls alles mit HJT gefixed und anschließen im safe mode mit Norton gescannt. Ich habe die Datei sogar einfach gelöscht. Für einen Augenblick scheint alles OK zu sein doch die File kommt irgendwann wieder.

Wenn ich neuboote habe ich den Prozess echt nicht am laufen und ich kann ca. 30 min ohne Probleme arbeiten doch dann gehts von vorne los; wenn ich meinen Taskmanager öffnen will dann wirder blos als symbol in der taskleiste angezeigt und ich kann nicht darauf zugreifen. Auch Programme und von mir verknüpfte Ordner auf dem Desktop werden nicht geöffnet. Erst wenn ich herunterfahren will muss ich den taskmanager und die programme per "sofort beenden" schließen, denn sie scheinen doch im Hintergrund zu laufen.

Ehrlich gesagt habe ich den Verdacht, dass vpc32.exe nicht die eigentliche infizierte datei ist. Ich denke sie wird von etwas anderem immer wieder erstellt und aufgerufen. Haben nicht alle mit dem gleichem Problem Mozilla oder Firefox als Browser? Ich zb. benutze auch firefox.

Ich meine, wenn der restore ordner geöscht ist (systemwieder... aus) und die registry sauber ist dann kann die Datei vpc32.exe doch nicht einfach so auftauchen.

Ich selber kann das Ding nichtmehr ertragen...

[jofe]

@Nikita
Habe Deine Anleitung auch ausgeführt. Vielen dank dafür!

Mein hijacklog sieht so aus:
Logfile of HijackThis v1.98.2
Scan saved at 23:01:12, on 22.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
D:\NEU\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5861231067
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{625E1AF2-66BA-4CDA-B2D5-AE3FAF18186E}: Domain = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8C0C9E6-08CB-47E9-B372-6A1CD3DAC75D}: NameServer = 128.176.0.12 128.176.0.13
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de


Hoffe das ist jetzt alles ok! Vielleicht kannst du ja mal nachsehen. thx

[Nikita]

Hallo @NightBeast

Der Backdoor hat einen Mutex, also das loeschen der vpc32.exe bringt nicht viel
Du musst noch mit Escan scannen.

1. Die exe mit Hilfe von HijackThis aus dem Autostart nehmen

Systemwiederherstellung deaktivieren und dann folgende Einträge mit HijackThis fixen:

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

neustarten und mit Escan arbeiten.

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/inde ... topic=3867
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde

mfg
Nikita

[Nikita]

Hallo @Panse

Ich habe dein Log vom HijackThis nicht hier, weiss also nicht, welcher Virus dein System angegriffen hat.

Allerdings sollteHKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
in "Y" veraendert werden
und
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
in "0"

Poste mal dein Log, denn so einfach blind in der Registry rumzustellen ist nicht angebracht.

mfg
Nikita

[Nikita]

Hallo @jofe

Dein Log ist sauber

mfg
Nikita

[NightBeast]

ja was nun? soll ich es in den base oder bases ordner entpacken?

Und kann ich das Programm erst updaten und dann erst imabgesichertemmodus starten? Würde einfach nicht gern im abgesichertem modus internet anschalten um das Programm dann abzudaten