vpc32.exe

[superdavide]

Quote:

Originariamente inviato da easyand
ho eliminato l'exe però nel registro era tutto aposto,nessun valore modificato,è normale?

Lo stesso anke a me, eropieno di voci con vcp32... ma le varialbili erano ok. Nel task nn compare più, anke se ho un fottio di exe ke nn so cosa siano. Speriamo bene.

Grazie Buffus!

[eraser]

mai pregato tanto per un file

[easyand]

io per fortuna non ho nessun processo strano nel task manager

[Buffus]

Quote:

Originariamente inviato da eraser
mai pregato tanto per un file

orpo ancora con sto file!!
ma se abbiamo detto circa 6000000 volte che non si riesce a trovare?

[TheBigBos]

Sto 'stardo de virus... ancora è in giro !

E cmq le protezioni Buffer overflow non funzionano...

[eraser]

Quote:

Originariamente inviato da Buffus
orpo ancora con sto file!!
ma se abbiamo detto circa 6000000 volte che non si riesce a trovare?

non pensi sia un pò strano che è in esecuzione ma non si trova? Se è in esecuzione da qualche parte c'è

[Buffus]

infatti ho scritto non si trova...no che non c'è

[eraser]

le voci sul registro relative a sto file che percorso seguono?

[Buffus]

HKEY_USERS\S-1-5-21-583907252-1645522239-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

dentro qui chiamato vpc32.exe....molte volte descritto come "windows update"........

[Stalker]

Appena spediti:

vpc32.exe (D:\WINDOWS\system32)
wuampd.exe (D:\WINDOWS\Prefetch)

a MrOz ed eraser

[Buffus]

oh raga io non lo trovo....

[Stalker]

[MrOZ]

si tratta di una variante della backdoor rbot

http://www.pestpatrol.com/pestinfo/b/backdoor_rbot.asp


fate un riassunto di tutti i sistemi che avete già utilizzato x eliminarla e che non hanno funzionato.

[eraser]

grazie stalker

per ora (visto il sonno) posso confermare il metodo di rimozione.
Aprire il task manager e killare il processo vpc32.exe

Andare sulle seguenti voci del registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

e cancellare la voce "Microsoft Update"="vpc32.exe"

Infine cancellare il file vpc32.exe sotto la directory di sistema

WINDOWS XP: "C:\WINDOWS\system32"
WINDOWS 2000: "C:\WINNT\system32"

Infine riavviare.

Cmq è una variante del worm RBOT, si connette ad un server IRC, non so quale c'ho sonno non ho voglia di starlo a disassemblare ora

[eraser]

Quote:

Originariamente inviato da MrOZ
si tratta di una variante della backdoor rbot

http://www.pestpatrol.com/pestinfo/b/backdoor_rbot.asp


fate un riassunto di tutti i sistemi che avete già utilizzato x eliminarla e che non hanno funzionato.

sempre in mezzo stai eh

[MrOZ]

Quote:

Originariamente inviato da eraser
sempre in mezzo stai eh

eh... certo



mica posso lasciare tutto a te lo spazio x fare la primadonna

[Bizkit_ITA]

Ciao a tutti.
Innanzi tutto vi ringrazio per l'aiuto che mi state dando con questo problema del trojan vpc. Stavo diventando matto

Volevo sapere se si potevano riassumere procedure e consigli per evitare questo fastidiosissimo problema.
Anche perchè vpc32 sembra eliminato ma a volte torna "misteriosamente".....

Grazie in anticipo per l'aiuto e la pazienza.
Vi voglio bene

[ale$$io]

anche io credo di essere infetto da questo virus xrò una cosa...
a me il pc va bene, non mi rallentra internet, mi apre tutto come il solito ma una cosa.. ogni volta che apro IE mi carica come pagina iniziale un motore di ricerca porno! Se lo tolgo e metto google poi dopo 5 minuti ritorna e mi mette anche ina decina di collegamenti PORNO ai preferiti.

Ho fatto sis spybot che hijackThis. Il primo mi rileva deglie rriri che li correggo e dopoo 5 minuti se rifaccio lo scan riappaiono, mentre il secondo mi trova questa roba qua che adesso posto xchè non so cosa farci.

Logfile of HijackThis v1.98.0
Scan saved at 18.04.51, on 22/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\winsysi.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\winmm64.exe
C:\Programmi\Opera\Opera.exe
C:\Documents and Settings\Ale\Desktop\Programmi vari\HijackThis (Anti Spyware ecc ecc).exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-ex
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{11D7D7F8-D6ED-4542-AB32-4E75810CC6D2}: NameServer = 217.141.255.204 151.99.125.1

Mi fate sapere oltre a che fare anche se ho dei trojan, virus e cazzate varie? Grazie.

[Buffus]

Quote:

Originariamente inviato da Stalker

prendetemi pure per pazzo,ma da me non c'è!!

edit:trovato

[Dante_Cruciani]

non è questo, si trova sempre all'interno di system32

quello ritratto nella foto si trova in windows\prefetch