Ik heb de laatste tijd al verschillende meldingen gekregen op de file C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe alsook net nog met de backdoor omschrijving Win32/Fynloski.A (Microsoft Security Essentials). Het process id verwijst dus naar de betreffende vbc.exe die steeds actief is in m'n task manager en als omschrijving heeft "Visual Basic Command line compiler".
Het rare is dat ik over de file zo meteen niets verdachts kan vinden en ze tevens voorzien is van een geldig Microsoft code signing certificaat ?
Is dit een false positive ? Heeft nog iemand deze file (63.927.595 bytes) actief onder Windows 7 ?
Win32/Fynloski.A
-
ubremoved_539
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 434 keer
- Bedankt: 1972 keer
-
TiTanium
- Moderator
- Berichten: 5797
- Lid geworden op: 27 feb 2007, 02:15
- Locatie: Antwerpen 2
- Uitgedeelde bedankjes: 721 keer
- Bedankt: 472 keer
-
Provider
Aanwezig:
Locatie: C:\Windows\Microsoft.NET\Framework\v2.0.50727
1,11 MB (1.169.224 bytes)
Locatie: C:\Windows\Microsoft.NET\Framework\v2.0.50727
1,11 MB (1.169.224 bytes)
Computer: Be Quiet! Dark Base 900 ~ i7 7820X ~ 32GB DDR4 ~ 1080Ti Strix OC
Home Assistant: NUC8i3BEH2 ~ 16GB DDR4 ~ Conbee II
Monitor: Asus 27" ROG Strix XG27WQ Curved
Mobile: Samsung S24 Ultra 1TB & Samsung Tab S9 Ultra 5G
Unifi: Dream Machine Switch: 2x 8 POE-60W ~ 2x Flex Mini AP's: U6-mesh ~ AC-Mesh
Provider: Telenet OneUP for 5 ~ CV8560E
Home Assistant: NUC8i3BEH2 ~ 16GB DDR4 ~ Conbee II
Monitor: Asus 27" ROG Strix XG27WQ Curved
Mobile: Samsung S24 Ultra 1TB & Samsung Tab S9 Ultra 5G
Unifi: Dream Machine Switch: 2x 8 POE-60W ~ 2x Flex Mini AP's: U6-mesh ~ AC-Mesh
Provider: Telenet OneUP for 5 ~ CV8560E
-
meon
- Administrator
- Berichten: 16757
- Lid geworden op: 18 feb 2003, 22:02
- Twitter: meon
- Locatie: Bree
- Uitgedeelde bedankjes: 582 keer
- Bedankt: 780 keer
-
Provider
Kijk met Sysinternals TCPview of de resource monitor eens naar waar het proces verbindt? Op basis daarvan kan je vaak zien of het iets legitiems is of niet.
In Win8 is die file 1.171.520 bytes.
Als jouw file 60 MB is moet je eens kijken of er alternate datastreams aan de file gekoppeld zijn.
In Win8 is die file 1.171.520 bytes.
Als jouw file 60 MB is moet je eens kijken of er alternate datastreams aan de file gekoppeld zijn.
-
ubremoved_539
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 434 keer
- Bedankt: 1972 keer
Bizar... ik ga nu terug kijken en zie in Windows Explorer 1.142 KB en via properties (1.169.224 bytes)TiTanium schreef:Aanwezig:
Locatie: C:\Windows\Microsoft.NET\Framework\v2.0.50727
1,11 MB (1.169.224 bytes)
Op dit moment heeft de file ook geen alternate data streams.In had in MSE ook aangegeven een quarantaine te doen... dus waar komt deze file vandaan (of is dat system restore) ?
Raar is dat ik de laatste maanden al verschillende keren die vbc.exe in vizier heb gehad
-
jaker
- Elite Poster
- Berichten: 1014
- Lid geworden op: 20 sep 2010, 21:51
- Locatie: Meerhout
- Uitgedeelde bedankjes: 275 keer
- Bedankt: 90 keer
- Recent bedankt: 1 keer
-
Provider
Windows 7:
Locatie: C:\Windows\Microsoft.NET\Framework\v2.0.50727
Grootte: 1,11 MB (1.169.224 bytes)
Grootte op schijf: 1,11 MB (1.171.456 bytes)
Tijd: vrijdag 5 november 2010, 2:58:15
Locatie: C:\Windows\Microsoft.NET\Framework\v2.0.50727
Grootte: 1,11 MB (1.169.224 bytes)
Grootte op schijf: 1,11 MB (1.171.456 bytes)
Tijd: vrijdag 5 november 2010, 2:58:15
Internet/TV: Orange Zen Fiber + TV Vlaanderen
Kabelmodem: Arris CM3500B
Router: Netgear R7000 met FreshTomato
Mobiel: Mobile Vikings / Samsung Galaxy S23
Kabelmodem: Arris CM3500B
Router: Netgear R7000 met FreshTomato
Mobiel: Mobile Vikings / Samsung Galaxy S23
