Otro novatillo, con el vpc32 & +...

Estado
Cerrado para nuevas respuestas
L

lailola

Nuevo Miembro
Miembro
#1
#1
Hola muchas gracias por la atencion, de antemano.

VPC32 en windows/system32, log del hijackthis:

Logfile of HijackThis v1.98.2

Scan saved at 0:01:11, on 05/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Pelayo\Mis documentos\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\system32\SZIEBHO.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [PinnacleRemote] c:\Archivos de programa\Pinnacle\Shared Files\remoterm.exe

O4 - HKLM\..\Run: [Cn:)slTaskBar] C:\Archivos de programa\Terra\Terra DSL\Cn:)slTb.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [STOPzilla] "C:\Archivos de programa\STOPzilla!\Stopzilla.exe" /autorun

O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [InstantTray] c:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc

O4 - Global Startup: Inicio de HP OfficeJet.lnk = C:\Archivos de programa\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

Problemas con emule, desde que intente previsualizar un .avi, el norman antivirus me da un error de CRC en archivos part.met, el emule se cierra con pantalla de "emule ha detectado un problema y debe cerrarse [....] enviar / no enviar [...]"

Tambien agradecería mucho me dieseis un link para un programa para limpiar de spyware y adware de esos que sea de vuestra aprobación.

Relativo al emule también, muchos problemas de low id a causa del firewall del SP2 de XP a pesar de haber creado reglas para abrir puertos adecuados siguiendo los tutoriales de la pagina.

Tambien frecuentemente a pesar de estar activa la ventana de la barra de tareas de conexión establecida, el IE no va, algúnos programas me dicen que no hay una conexión activa, el msn no se me conecta, el emule no va en mi dirección, pero si que funciona la subida a otros equipos.

Muchas gracias por la pagina y de antemano por los consejos. Espero no olvidar ningún detalle importante
 
A

alnitak

Ex-Admin
Miembro
#2
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hacer clic para expandir...
Hola. Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina este proceso:

vpc32.exe

Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina esta entrada:

[Microsoft Update] vpc32.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina esta entrada:

[Microsoft Update] vpc32.exe

Ya puedes cerrar el editor de registro.

Elimina este archivo:

C:\WINDOWS\system32\vpc32.exe

Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.

El SP2 instalado como actualización da muchos problemas y el sistema no suele quedar bien, te aconsejo bajarte el SP2 en su versión completa y seguir los pasos de este tutorial para crear un CD personalizado de XP + SP2 para después instalarlo en limpio:

Crear CD de Windows XP personalizado con nLite | Manuales

Los problemas de los clientes P2P con el firewall del XP SP2 son conocidos y la mejor solución a mi manera de ver es desactivar este pesimo aborto de firewall y utilizar un firewall de terceros. El mejor programa antispyware en mi opinión es Ad Aware en su ultima versión que creo ser la professional SE 1.4, la home page es: http://www.lavasoft.de/ y con el eMule lo bajas en un momentito.

Sobre el error en el part.met no se cual será la causa pero entra a este enlace:

http://www.emule-project.net/home/perl/hel...ic&topic_id=588

encontrarás varias herramientas para reparar archivos met

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hacer clic para expandir...
 
L

lailola

Nuevo Miembro
Miembro
#3
#3
Hola, Alnitak:

Muchas gracias por la ayuda, aquí están los logs tras seguir los pasos para quitar el vpc32.

El primer log es desde el mismo modo a prueba de fallos (perfil de administrador), nada más acabar las instrucciones que me diste, sin reiniciar ni nada (no se si debía haber reiniciado otra vez a prueba de fallos para ejecutar el hijackthis) y el segundo log es desde el modo normal nada mas reiniciar (no se si este segundo valdra para algo y esta hecho desde mi perfil de usuario).

1er log

Logfile of HijackThis v1.98.2

Scan saved at 13:15:47, on 05/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Pelayo\Mis documentos\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\system32\SZIEBHO.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [PinnacleRemote] c:\Archivos de programa\Pinnacle\Shared Files\remoterm.exe

O4 - HKLM\..\Run: [Cn:)slTaskBar] C:\Archivos de programa\Terra\Terra DSL\Cn:)slTb.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [STOPzilla] "C:\Archivos de programa\STOPzilla!\Stopzilla.exe" /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [InstantTray] c:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc

O4 - Global Startup: Inicio de HP OfficeJet.lnk = C:\Archivos de programa\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_

2ndo log

Logfile of HijackThis v1.98.2

Scan saved at 13:19:03, on 05/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\STOPzilla!\szntsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTSvcCDA.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Norman\NVC\BIN\Zanda.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Pinnacle\Shared Files\remoterm.exe

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\Archivos de programa\Terra\Terra DSL\Cn:)slTb.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\WINDOWS\system32\wscntfy.exe

C:\NORMAN\Nvc\BIN\ZLH.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\NORMAN\Nvc\BIN\NIP.EXE

C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

C:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Pelayo\Mis documentos\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\system32\SZIEBHO.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [PinnacleRemote] c:\Archivos de programa\Pinnacle\Shared Files\remoterm.exe

O4 - HKLM\..\Run: [Cn:)slTaskBar] C:\Archivos de programa\Terra\Terra DSL\Cn:)slTb.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [STOPzilla] "C:\Archivos de programa\STOPzilla!\Stopzilla.exe" /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [InstantTray] c:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

O4 - Global Startup: Inicio de HP OfficeJet.lnk = C:\Archivos de programa\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_

\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/\_/

Estoy siguiendo el tutorial de SP2 + XP con nlite que me diste, en cuanto lo complete te comento si te resulta interesante el resultado. Mi equipo es nuevo y viene configurado con dos discos duros de 160 gb, hay algúna indicación previa para evitar algún problema particular respecto a la reinstalación de XP + SP2?

Gracias por los consejos respecto al adware, en cuanto instale un Firewall mejor me pondre con él.

Respecto al Firewall, cual crees que debería bajar, teniendo en cuenta que el uso que pretendo darle al equipo con la conexión a internet es principalmente descarga peer to peer (emule solamente, que antes me iba muy bien, con el pc viejo, sin SP2 y si consigo volver a tener un resultado óptimo, no necesito más) y también para juegos en linea y algo de navegación?

De nuevo agradecerte de todo corazón tu inestimable ayuda, Alnitak.
 
L

lailola

Nuevo Miembro
Miembro
#4
#4
Acabo de ver esta linea al revisar el mensaje para ver si se entendia, en el segundo log, el que hice tras reinciar y desde el modo normal:

O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

No se mucho de esto, pero creo que algo debo haber hecho mal que aquí sigue el proceso, no?

a] Que lo que hice desde el modo seguro lo tenía que haber hecho desde el perfil de usuario y no desde el de administrador?

b] O tal vez es que tengo que seguir todos los pasos hasta anular el proceso si es que existe con el administrador de tareas y después cerrar el explorer y coger esa linea que puse arriba con el hijackthis en modo seguro y darle a fix y después volver a enviar otro log para ver si se arregló?

c] Repetir todo fijándome bien en todos los pasos

Espero dar en el clavo con algúna de las respuestas y hacerte escribir lo menos posible, que encima que ayudas... Gracias de nuevo
 
L

lailola

Nuevo Miembro
Miembro
#5
#5
Por cierto, la versión completa de SP2, es la que se llama Service Pack 2 para profesionales y desarrolladores de TI que ocupa 260 MB?

Es que no he visto ninguna otra...
 
A

alnitak

Ex-Admin
Miembro
#6
#6
Hola lailola

Los logs debes tomarlos desde tu mismo usuario y entrando al sistema normalmente. Si entras desde otro usuario o desde el administrador se dejarán de ver todas las entradas del HKEY_CURRENT_USER que son el área de registro reservada a los usuarios y si los tomas a prueba de errores se dejarán de ver la mayoría de los procesos que necesito ver.

Sobre esta entrada:

O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

Si habías eliminado físicamente el archivo vpc32.exe entonces no te has vuelto a infectar por tener esa clave en el HKEY_LOCAL_RUN y es suficiente que marques esa casilla con el HjackThis y le des a fix.

Si no habías eliminado el archivo entonces te habrás vuelto a infectar y deberás repetir los pasos anteriores pero esta vez desde tu usuario para incluir la remoción de esa ultima entrada.

La versión del SP2 a la cual me refiero es precisamente la que nombras.

Sobre firewall, yo no cambio Outpost por ninguna, es simplemente fantastica.

Sobre los conflictos que pueda generar el SP2 en tu equipo, si lo instalas directamente con XP no veo que de muchos pero si puede ser incompatible con algún driver, por ejemplo yo he tratado de actualizar los drivers de mi NVidia inmediatamente después de instalar el sistema y no he podido meter la versión que se baja desde el mismo Windows Update porque al hacerlo el sistema no reiniciaba normalmente.
 
L

lailola

Nuevo Miembro
Miembro
#7
#7
outpost v 2.12 o oupost pro v 2.1.303.4009? lo bajo de la mula o lo hay de freeware en algún lado? El vpc32 ia ta limpiao y no ha vuelto a salir, el SP2 grande ia ta listo y el cd nuevo de XP SP2 en proceso, ia te informare de que tal me va cuando acabe con tol ajuste. Muchas gracias
 
A

alnitak

Ex-Admin
Miembro
#8
#8
Existe una versión freeware pero si lo bajas de la mula mejor y bajate entonces la ultima versión que viene con algúnos errores corregidos.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie