Trojaner-Board - Problem mit VPC32.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Problem mit VPC32.exe (https://www.trojaner-board.de/7734-problem-vpc32-exe.html)

Problem mit VPC32.exe

hallo
mein escan hat viruse gefunden nun komm ich nciht weiter

[0x00000360] 21/09/2004 15:31:40:984 :[msvLclnt.dll]ModuleName = C:\Bases\mwavscan.com
[0x00000360] 21/09/2004 15:31:40:984 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x00000360] 21/09/2004 15:31:43:593 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x00000360] 21/09/2004 15:31:43:593 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x00000360] 21/09/2004 15:31:43:593 :[msvLclnt.dll]TimeOut : ffffffff
[0x00000360] 21/09/2004 15:31:43:593 :[msvLclnt.dll]Priority : NORMAL
[0x00000360] 21/09/2004 15:31:44:109 :[msvLclnt.dll]VirusCount = 104345 Latest Date = 2004/09/21
[0x00000450] 21/09/2004 15:34:20:562 :[msvLclnt.dll][00000001] File C:\WINDOWS\System32\vpc32.exe infected by Backdoor.Rbot.gen
[0x00000450] 21/09/2004 15:34:21:234 :[msvLclnt.dll][00000001] File C:\WINDOWS\System32\vpc32.exe infected by Backdoor.Rbot.gen
[0x00000450] 21/09/2004 15:41:37:750 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{1A105D03-E6CB-4EFB-8845-13D4B1C712E6}\RP10\A0002778.exe infected by Backdoor.Rbot.gen
[0x00000450] 21/09/2004 15:41:38:437 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{1A105D03-E6CB-4EFB-8845-13D4B1C712E6}\RP10\A0002778.exe infected by Backdoor.Rbot.gen
[0x00000450] 21/09/2004 15:42:04:015 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{1A105D03-E6CB-4EFB-8845-13D4B1C712E6}\RP12\A0008133.exe infected by Backdoor.Rbot.gen
[0x00000450] 21/09/2004 15:42:04:703 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{1A105D03-E6CB-4EFB-8845-13D4B1C712E6}\RP12\A0008133.exe infected by Backdoor.Rbot.gen
[0x00000450] 21/09/2004 15:42:44:156 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{1A105D03-E6CB-4EFB-8845-13D4B1C712E6}\RP9\A0000570.exe infected by Backdoor.Rbot.gen
[0x00000450] 21/09/2004 15:42:44:828 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{1A105D03-E6CB-4EFB-8845-13D4B1C712E6}\RP9\A0000570.exe infected by Backdoor.Rbot.gen
[0x00000450] 21/09/2004 15:54:04:000 :[msvLclnt.dll]VirusCount = 104345 Latest Date = 2004/09/21
[0x00000360] 21/09/2004 15:55:10:109 :[msvLclnt.dll]VirusCount = 104345 Latest Date = 2004/09/21

was soll ich tun ???

er komtm immer wieder wenn er aktive wird geht mein internet explorer nciht mehr und emin tasmangaer kann ich nciht mehr öffnen bitte um hilfe

danke schonmal

und meine HJT mal

Logfile of HijackThis v1.98.2
Scan saved at 16:11:14, on 21.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\261203\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEF0B172-7CB8-40E0-9788-B5EE96E16F7C}: NameServer = 192.168.0.1

Dein grundsätzliches Problem ist, dass du dein System offensichtlich nie gepatched hast, es ist absolut notwendig, Windows und den IE regelmäßig per windowsupdate auf den neuesten Stand zu bringen. Andernfalls bietet dein Rechner viele längst geschlossene Sicherheitslücken.
Normalerweise genügt der von dir gefundene Rbot bereits, um eine Neuinstallation zu empfehlen, denn es ist nicht mehr nachvollziehbar, was ein Angreifer mit Hilfe dieses Trojaners angestellt haben könnte.

http://oschad.de/wiki/index.php/Kompromittierung

Nach der Neuinstallation sollten dann einige grundlegende Dinge geändert werden:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Wenn du das auf keinen Fall willst (es wäre allerdings das Beste), solltest du auf jeden Fall schleunigst updaten und deine Passworte alle ändern.

Ansonsten sieht dein Log bis auf

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

im Prinzip sauber aus, aber das hat in dem Fall nicht so viel zu sagen.

SP1 & 2 möchte ichnicht installieren

und ich aheb bis jetzt immer die hotfix installiert

was kann ich noch machen?

das system ist in folge 6 mal neuinstalliert worden und vorher die festplatte formatiert

nach jedem neustart war er wieder da

Hast du die Neuinstallation so vorgenommen wie bei mir beschrieben? Also inklusive Aktivierung der Firewall oder Installation der Patches von CD? Ansonsten bist du, sobald du online gehst, anfällig für diese speziellen Sicherheitslücken, bis du die Patches hast und das kann manchmal schon genügen. Die andere Möglichkeit ist dann noch, dass du keine Orginalversion, sondern eine infizierte Kopie hast oder dass eins der Programme, die du installierst, den Trojaner enthält.

der virus war vorher auch nciht da also ich komm nciht weiter bin am ende mit dem computer abc

Also ich nehme mal an, dass du kein Original-XP hast und deswegen die SP2 nicht installierst. Es muss aber eine ursprüngliche Infektion gegeben haben und die Schädlinge kommen ja nicht durch die Luft, sondern über Datenaustausch, befinden sich also entweder auf deinen Kopien von Originalprogrammen oder heruntergeladenen Dateien/Software (beides könntest du ja mal mit E-Scan checken) oder sie schlüpfen durch Sicherheitslecks wegen fehlender Patche.

Hast du E-Scan denn im abgesicherten Modus ausgeführt?

ja habe ich alles mit e scan schon gemacht kommt immer wieder ich kaufe mir das xp jetzt ;) muss noch so 2wochen halten
naja es geht ja wenn ich taskmanager auf mache nach dem hochfahren wieso auch immer mache ich denn zu hängt sich svchost.exe auf und vpc32.exe wird aktiv