VPC32.EXE Trojan qui revient tout le temps !!

websurfeur -  
 moiclui -
Bonjour,

j'ai un gros problème,
je viens de réinstaller Windows XP, et j'ai remarqué que je rame, je n'arrive plus à ouvrir le gestionnaire de taches apres que je soit connecté à Internet.

Le fichier qui pose problème est : vpc32.exe
J'ai fait une recherche sur google, on m'indique que c'est un trojan Avkiller...

J'ai redémarrer en mode sans échec, enlevé la réstauration du systeme, supprimé tous les VPC32.exe dans la base de registre.
Mais rien à faire, à chaque fois que je me connecte il réapparait dans le gestionnaire des tâches.
McAfee ainsi que Trend ne détectent rien aidez moi svp :)

Merci d'avance

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le souci central est qu'un fichier nommé vpc32.exe, identifié Trojan Avkiller, s'exécute après connexion Internet sur Windows XP et empêche l'ouverture du gestionnaire des tâches malgré les tentatives de suppression. Plusieurs pistes ont été proposées: utiliser TheKillBox pour supprimer vpc32.exe et les clés de registre, désactiver le démarrage via msconfig pour éviter la réapparition, lancer Sysclean ou un antivirus à jour. D'autres approches consistent à vérifier les mises à jour du système et à tester Sysclean ou des antivirus mis à jour, car le malware peut masquer son activité. En cas de persistance, une analyse avec des outils comme Norman peut localiser le chemin C:/Windows/system32/vpc32.exe et confirmer la détection SandBox/Backdoor, ce qui guide la suppression ciblée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. websurfeur
     
    J'ai utilisé TheKillBox pour supprimer le fichier vpc32.exe.
    J'ai ENFIN réussi a le supprimer, ainsi que les clés dans le registre, mais le trojan persiste (je rame toujours autant et je ne peux pas ouvrir le gestionnaire apres quelques minutes sur le net)

    Par contre, vpc32.exe ne figure pas dans la liste des processus actifs !
    1
  2. bernie61
     
    Re
    a lire les pbm similaires je tanterais de désinstaller Messenger Plus et regardes si pbm persiste;
    A+
    1
  3. websurfeur
     
    Et aussi il réapparait à chaque fois dans la base de registre :(

    (sous le nom Microsoft Update - vpc32.exe)
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. websurfeur
     
    Ca y est, j'ai trouvé le nom de ce virus !
    J'ai posté le trojan (C:\Windows\System32\vpc32.exe) sur ce site : http://www.kaspersky.com/de/remoteviruschk.html

    Ils me disent :

    vpc32.exe - packed with PE_Patch.Morphine
    vpc32.exe - packed with Morphine
    vpc32.exe - packed with UPX
    vpc32.exe Infecté: Backdoor.Rbot.gen

    Quelqu'un pourrait m'aider plus facilement maintenant ? (le scan online sur symantec.fr ne trouve rien)
    0
  6. bernie61
     
    Salut
    Un bon antitrojan: a2free à charger là
    http://www.anti-trojan.net/fr/
    et fais maj avant de lancer
    A+
    0
    1. adrien315 Messages postés 4 Date d'inscription   Statut Membre
       
      merci bocou pour le lien j'espere que ca va m'aider !
      0
  7. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    1) vide le cache de ton navigateur
    http://www.libellules.ch/support/cache.php

    2) désactive ta restauration système
    http://www.libellules.ch/desactiver_restauration.php

    3) redémarre ton pc en mode sans échec
    http://www.ac-astuces.com/affiche.php?astuce=624

    4) relance un scan de ton antivirus

    si ça ne fonctionne pas essaye escan ci-dessous

    5) télécharge eScan Antivirus Toolkit Utility
    et nettoie ton pc avec
    http://www.mwti.net/download/tools/mwav.exe
    http://www.mwti.net/antivirus/free_utilities.asp

    a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.
    0
  8. websurfeur
     
    J'ai lancé a² en mode sans échec, en ayant supprimé la réstauration, il n'a rien détécté...
    Idem pour eScan Antivirus Toolkit Utility :(

    Quand je vais dans Poste de travail pour aller dans c:\Windows\System32\ je ne vois pas le fichier vpc32.exe, pourtant il est bien là !

    Que faire ? :(
    0
  9. bernie61
     
    Re
    as-tu fais toutes MAJ de windows?
    as-tu configuré Outils/options des dossiers/affichage
    et là voir fichiers cchéset fichiers systèmes (3 lignes à coher ou décocher)
    essaies alors ceci
    tu charges sysclean là:
    http://fr.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com
    tu décomprimes puis charges la MAJ de cet antivirus là : http://217.110.201.54/AVEU895.zip
    et tu la places dans le répertoire \AVEU895
    puis tu scannes en mod sans échec ou VGA en lançant SYSCLEAN.COM
    A+
    0
  10. websurfeur
     
    Tient, après un reboot, vpc32.exe est réapparut...
    Voici le log HiJackThis :

    Logfile of HijackThis v1.97.7
    Scan saved at 15:55:09, on 19/09/2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Messenger Plus! 3\MsgPlus.exe
    C:\WINDOWS\System32\vpc32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\EUROBA~1\erobar.exe
    C:\Documents and Settings\Gonshiro\Local Settings\Temporary Internet Files\Content.IE5\8PA3KLU7\HijackThis[1].exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
    O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4A94E92F-E177-4DEB-AD6E-4D12A5903FDC}: NameServer = 212.27.32.177 213.228.0.212
    0
    1. masterbob
       
      Salut ,...
      Aujourd hui je suis de bonne hummeur alors je vais t aider .. . . . .
      C'est tout con, il suffit d aller dans démarrer => exécuter .. la tu
      tape "msconfig". Tu va dans l option démarrage et tu décoche vpc32.exe. Il sera toujours sur ton pc mais ne se lancera plus au demarrage et donc se sera une cle innofansive.

      //**--__+ByE+__--**\\
      0
  11. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    ça m'étonne qu' eScan Antivirus Toolkit Utility ai scanné correctement ton pc en 13 minutes, relance le correctement afin qu'il scanne tes disques!!!!!!!!!

    tu doit cocher la case "drive"
    0
  12. websurfeur
     
    C'est bizarre, il me créer un dossier C:\!Submit\ à chaque fois que je redémarre ! Avec 2 fichiers dedans : tftp.exe et vpc32.exe
    0
  13. websurfeur
     
    Bon pour le dossier "!Submit" c'est normal c'était le backup de KillBox, sinon j'ai fait ce que tu m'as dis, j'ai lancé eScan Toolkit en cochant "Drive" mais il n'a rien détécté aidez moi :(

    vpc32.exe n'est plus sur mon disque dur, ni dans les processus actifs, ni dans la base de registre mais le trojan est toujours là !
    0
  14. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    essaye ça ==>

    télécharge sysclean ici (nettoyeur):
    http://fr.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com

    puis télécharge lpt176.zip ici (fichier de définitions de virus/pattern file):
    http://fr.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt176.zip

    dézippe ensuite lpt176.zip et tu obtiendras le fichier lpt176.zip

    un fois obtenu le fichier lpt$vpn.176 tu lance sysclean.com

    et tu clique sur le bouton scan.

    a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.

    si le numéro de numéro de pattern a changé voir ici==>
    http://fr.trendmicro-europe.com/enterprise/support/pattern.php

    télécharger la derniére version de sysclean et des définitions de virus a chaque nouvelle utilisation.
    0
  15. Utilisateur anonyme
     
    TFTP (Trivial File Transfer Protocol) tftp.exe
    tftp.exe, un programme natif Windows : exploité par de nombreux virus et worms (W32/Blaster-A, W32/Netsky , W32/Sasser.worm etc...)

    tu devrais installer un bon firewall......

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  16. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    vpc32.exe est un fichier sain s'il se trouve dans le répertoire de symantec.

    VPC32.exe est un fichier de norton antivirus.

    on peut le trouver ici par exemple ==>
    C:\Program Files\Norton AntiVirus\vpc32.exe
    0
  17. Utilisateur anonyme
     
    il faut rajouter ça ds les fix de l'hijack

    C:\WINDOWS\System32\vpc32.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"<-- et bien sûr à éviter..

    les lignes 04 = 1) ctrl+alt+supp (arrêt des processus par le gestionnaire des tâches) et 2) fix dans l'hijack
    - on fixe en mode sans échec
    - on reboote pour vider la mémoire
    - on vide le cache internet
    - la corbeille
    - nettoyage de disque

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  18. bernie61
     
    Salut
    biza car n'est pas sur mon NAV2004
    A+
    0
  • 1
  • 2
  • 3