Pagina 1 van 1
Win32/Fynloski.A
Geplaatst: 05 feb 2013, 17:10
door ubremoved_539
Ik heb de laatste tijd al verschillende meldingen gekregen op de file C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe alsook net nog met de backdoor omschrijving Win32/Fynloski.A (Microsoft Security Essentials). Het process id verwijst dus naar de betreffende vbc.exe die steeds actief is in m'n task manager en als omschrijving heeft "Visual Basic Command line compiler".
Het rare is dat ik over de file zo meteen niets verdachts kan vinden en ze tevens voorzien is van een geldig Microsoft code signing certificaat ?
Is dit een false positive ? Heeft nog iemand deze file (63.927.595 bytes) actief onder Windows 7 ?
Re: Win32/Fynloski.A
Geplaatst: 05 feb 2013, 17:21
door TiTanium
Aanwezig:
Locatie: C:\Windows\Microsoft.NET\Framework\v2.0.50727
1,11 MB (1.169.224 bytes)
Re: Win32/Fynloski.A
Geplaatst: 05 feb 2013, 17:22
door meon
Kijk met
Sysinternals TCPview of de resource monitor eens naar waar het proces verbindt? Op basis daarvan kan je vaak zien of het iets legitiems is of niet.
In Win8 is die file 1.171.520 bytes.
Als jouw file 60 MB is moet je eens kijken of er alternate datastreams aan de file gekoppeld zijn.
Re: Win32/Fynloski.A
Geplaatst: 05 feb 2013, 20:10
door ubremoved_539
TiTanium schreef:Aanwezig:
Locatie: C:\Windows\Microsoft.NET\Framework\v2.0.50727
1,11 MB (1.169.224 bytes)
Bizar... ik ga nu terug kijken en zie in Windows Explorer 1.142 KB en via properties (1.169.224 bytes)
Op dit moment heeft de file ook geen alternate data streams.
In had in MSE ook aangegeven een quarantaine te doen... dus waar komt deze file vandaan (of is dat system restore) ?
Raar is dat ik de laatste maanden al verschillende keren die vbc.exe in vizier heb gehad
Re: Win32/Fynloski.A
Geplaatst: 05 feb 2013, 20:45
door jaker
Windows 7:
Locatie: C:\Windows\Microsoft.NET\Framework\v2.0.50727
Grootte: 1,11 MB (1.169.224 bytes)
Grootte op schijf: 1,11 MB (1.171.456 bytes)
Tijd: vrijdag 5 november 2010, 2:58:15