Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: zu vpc32.exe*** als Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.09.2004, 17:36   #1
Tramp
 
zu vpc32.exe*** als Trojaner - Standard

zu vpc32.exe*** als Trojaner



Hallöle miteinander

habe bereits viele der Beiträge hier gelesen (nicht alle) und kenn an sich bereits die Lösung meines Probs, neuaufsetzen meines Systems

Vorgeschichte ist:

Win xp home comp wird von allen aus der Familie benutzt, lief auch lange Zeit problemlos, eines Tages wurden I-Anwendungen immer langsamer bis zum Stillstand, bei der Suche durch viele Foren auf Security Task Manager gestoßen, der mir eine vpc32.exe (vollständig vpc32.exe.q_8040_q.ini) als gefährlich anzeigte, weitere Recherche ergab, ist eine Datei von symantec(von denen ich aber gar kein Prog besitze) und gewöhnlich in c/windows/system32/, wo sie sich auch befand
Security TM bietet Möglichkeit der Quarantäne von Dateien, getan und siehe da, lief wieder alles bestens
bis zum nächsten Neustart, gleiches Spiel, nur diesmal klappte Quarantäne erst beim 3. Anlauf und nach Herstellung i-Verbindung war sie bereits wieder da, Resultat: in den letzten Tagen immer Abbruch der I-Verbindung
auf der Arbeit dieses Forum gefunden und viel gelesen, jetzt grad am eigenen comp HijackThis log ausgeführt und dank Forum mal schnell die vpc32 durch kaspersky prüfen lassen wollen, nur leider ist sie nun weg

ich bin nicht so blauäugig zu glauben, das ich das Prob los bin, würde aber gern wissen wollen, ob ich noch mehr eingefangen hab, so das jemand aus meinem log erkennt und würd mich auch interessieren, ob es eine Möglichkeit(real machbar) gibt, den Verursacher solcher Trojaner, sprich, denjenigen, der mir das eingebrockt hat, zu finden (zwecks evtl Strafanzeige)

weiteres Vorgehen System Neuaufsetzen plus die 11 Punkte danach beachten ist mir dank Forum bekannt (hoff war net zuviel oder nicht konkret genug)

Logfile of HijackThis v1.98.2
Scan saved at 17:33:03, on 20.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\msinfo32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{87F72F70-7252-43F7-8D76-3F8D2DFCEF55}: NameServer = 217.237.150.97 217.237.149.161

(special thanks an MountainKing ... viel gelernt aus deinen Beiträgen)

LG Tramp

Alt 20.09.2004, 17:56   #2
MountainKing
 
zu vpc32.exe*** als Trojaner - Standard

zu vpc32.exe*** als Trojaner



Gern geschehen.

Hm, also in deinem Log ist jetzt nicht auf Anhieb etwas Gefährliches zu sehen IMO. Obwohl es komisch ist, dass der Taskmanager offenbar zweimal auftaucht.
Hast du denn schon mal E-Scan durchlaufen lassen? Und worin genau äußert sich das "Langsamerwerden" denn?
__________________


Alt 20.09.2004, 18:12   #3
Tramp
 
zu vpc32.exe*** als Trojaner - Standard

zu vpc32.exe*** als Trojaner



e-scan will ich auch noch versuchen, bevor ich neu aufsetze

das *langsamer werden* ist besonders auffällig bei einem online game, die aktualisierungen dort werden sehr schnell frappierend langsamer (seitenaufbau von 1- 5 min) und dann Abbruch durch Seite nicht gefunden, gefolgt von i-net Verbindung hat sich selbst getrennt

ich staune momentan, das der Störenfried grad nicht aktiv wird, während ich im Forum aktiv bin

erwähnenswert evtl noch eine Begleiterscheinung: bei downloads wird, wenn ich versuche den Zielordner zu wechseln der komplette Vorgang abgebrochen incl Schließen aller Fenster (ohne wechsel Zielordner klappt download)

werde e-scan noch posten wenn ich es hinbekomme (bin kein Profi)

Nebenbeifrage: wie sicher im log gesehen, ist SP2 für Xp net drauf, ich hab soviel negatives drüber gelesen, das ich zurückschreckte, aber bei Beachtung der 11 Punkte nach Neuaufsetzen dürfte mir doch auch mit SP2 nicht mehr soviel passieren, oder irre ich da (logisch auch bei Beachtung der Eigenverantwortung die viele links hier [heise Wetz etc] gut verständlich darlegen)

LG Tramp
__________________

Alt 21.09.2004, 07:00   #4
Tramp
 
zu vpc32.exe*** als Trojaner - Standard

zu vpc32.exe*** als Trojaner



wenn die vpc.exe aktiv ist, wird eine Prüfung bei Kaspersky unmöglich, da zwar andere i-Anwendungen (z.B. googeln) aber eben nicht die Kaspersky.com laufen

der win eigene taskmanager wird beim starten übrigens auch nicht mehr angezeigt, man wird das Ding nur über den sec tas man los

e-scan hat geklappt :

Total Number of Files Scanned: 66907
Mon Sep 20 23:00:15 2004 => Total Number of Virus(es) Found: 19
Mon Sep 20 23:00:15 2004 => Total Number of Disinfected Files: 0
Mon Sep 20 23:00:15 2004 => Total Number of Files Renamed: 14
Mon Sep 20 23:00:15 2004 => Total Number of Deleted Files: 3
Mon Sep 20 23:00:15 2004 => Total Number of Errors: 0
Mon Sep 20 23:00:15 2004 => Time Elapsed: 00:49:46
Mon Sep 20 23:00:15 2004 => Virus Database Date: 2004/09/20
Mon Sep 20 23:00:15 2004 => Virus Database Count: 104327

File C:\WINDOWS\System32\wuampd.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\vpc32.exe.q_8047A01_q infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\vpc32.exe.q_8047A01_q.old infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\vpc32.exe.q_8047C01_q infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\vpc32.exe.q_8047C01_q.old infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\All Users\Dokumente\!ReadMe.exe infected by "Backdoor.Gobot.u" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\All Users\Dokumente\Setup.exe infected by "Worm.Win32.Pinom.c" Virus. Action Taken: File Deleted.

wenn ich alle aufführen soll, muss ich das log nochmal komplett durchforsten :-S

Logfile of HijackThis v1.98.2
Scan saved at 07:54:01, on 21.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Anke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{87F72F70-7252-43F7-8D76-3F8D2DFCEF55}: NameServer = 217.237.150.97 217.237.149.161

bitte auch meine Frage nach evtl machbarer Verfolgung der/des Verursacher/s beantworten, wenn es einer weiß

LG Tramp

Alt 21.09.2004, 08:48   #5
Cidre
Administrator, a.D.
 
zu vpc32.exe*** als Trojaner - Standard

zu vpc32.exe*** als Trojaner



@ Tramp

Hier findest du eine Lösung:
http://www.trojaner-board.de/showpos...16&postcount=6

__________________
Gruß, Cidre


Alt 21.09.2004, 12:12   #6
Tramp
 
zu vpc32.exe*** als Trojaner - Standard

zu vpc32.exe*** als Trojaner



@Cidre

vielen Dank, ich kenn es bereits aus mehreren Threads

wissen würde ich nur noch wollen, ob

- Verursacher ausfindig zu machen sind
- SP2 für XP mehr Sinn als Unsinn macht ?

ansonsten hilft der Thread evtl jenen, die sich auch mit vpc32.exe rumärgern

LG Tramp

Alt 21.09.2004, 12:31   #7
Cidre
Administrator, a.D.
 
zu vpc32.exe*** als Trojaner - Standard

zu vpc32.exe*** als Trojaner



Zitat:
- Verursacher ausfindig zu machen sind
http://www.pctipp.ch/helpdesk/kummer...iren/25611.asp

Zitat:
- SP2 für XP mehr Sinn als Unsinn macht ?
Imho macht es Sinn bei einem Otto Normal User.
Aber in deinen Fall eher noch nicht, da du ja wie bereits gepostet, MountainKing´s 11 Punkte abarbeiten willst und dies in der Regel völlig ausreichend ist. Dann liegt es an dir, ob du dir selbst Malware installierst. Siehe http://www.mathematik.uni-marburg.de...ompromise.html
Noch ein negativer Punkt des SP2, ist die Kompatibilität zu diversen Programmen.
Ich persönlich, würde mit der Installation des SP2 noch warten.

Lies dir dazu diesen Thread durch, eventuell mußt du dich anmelden:
__________________
Gruß, Cidre


Antwort

Themen zu zu vpc32.exe*** als Trojaner
.exe, abbruch, adobe, bho, dateien, einstellungen, ellung, explorer, foren, hijack, hijackthis, hijackthis log, home, internet, internet explorer, kaspersky, log, meinem, messenger, microsoft, monitor.exe, neustart, programme, prüfen, quara, security, suche, symantec, tcpip, temp, trojane, trojaner, windows xp



Ähnliche Themen: zu vpc32.exe*** als Trojaner


  1. Wieder VPC32.exe
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (5)
  2. vpc32 Problem.
    Plagegeister aller Art und deren Bekämpfung - 08.10.2004 (1)
  3. Problem mit VPC32.exe
    Plagegeister aller Art und deren Bekämpfung - 22.09.2004 (8)

Zum Thema zu vpc32.exe*** als Trojaner - Hallöle miteinander habe bereits viele der Beiträge hier gelesen (nicht alle) und kenn an sich bereits die Lösung meines Probs, neuaufsetzen meines Systems Vorgeschichte ist: Win xp home comp wird - zu vpc32.exe*** als Trojaner...
Archiv
Du betrachtest: zu vpc32.exe*** als Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.