vbc.exe trojan

[Cigano]

Hallo,

Sinds deze week heb ik last van virusjes de eerste 2 dagen last gehad van een vervelend virus die mijn muis overnam en naar my lazy sundays (NIET GOOGLEN OF TYPEN IN ADRESBALK) ging.

Mijn virusscanner is NOD32 full edition, hij vond niks.

Ik heb superantispyware gedownload, helaas liep dit mis met NOD32 en crashte me pc al met opstarten gelukkig in veilige modus deed men pc het wel en scande ik het met superantispyware, dit werkte en vond wat adware dit heb ik verwijderd en om te zorgen dat mijn pc niet crashte heb ik systeemherstel gebruikt.

Nu zit ik met het probleem dat de pc nog steeds niet helemaal zuiver is volgens mij, met opstarten komt er binnen 2 minuten een melding van NOD32 dat VBC.exe een trojan bevat ik heb al opgezocht wat het is maar het schijnt gewoon iets van windows te zijn.

Ook google chrome heeft ineens met opstarten een schermpje met u profiel kan niet etc etc...

Kan iemand mij hiermee helpen?

BVD,

Mark

 

[gebruiker2334]

van NOD32 dat VBC.exe een trojan bevat ik heb al opgezocht wat het is maar het schijnt gewoon iets van windows te zijn.

VBC.EXE is inderdaad een onderdeel van .net framework. Kun je de bestandsgrootte eens controleren.

Anders kan je het bestand eens laten onderzoeken.

Surf eens naar deze site
http://virusscan.jotti.org/nl

Klik op bladeren en verzend het bestand vbc.exe en wacht hiervan het resultaat af.

 

[Cigano]

1142kb.

Het vreemde is als ik het bestand zelf scan, zelfs de hele map C:\Users\Mark\AppData\Local is alles clean.

 

[Cigano]

Alles is clean op jou website seniorke

 

[gebruiker2334]

Eigenlijk moet dat bestand zich hier bevinden.

C:\windows\microsoft.net\framework\2.0.50727\vbc.exe

 

[Cigano]

NOD32 zegt dat het bestand bij local staat, ik heb de vbc bestanden in framework ook gescand, daar is alles ook clean.

 

[gebruiker2334]

Ben je zeker dat het om vbc.exe gaat, en niet om vbcsvc.exe , want dat is een trojan.

 

[Cigano]

 

[gebruiker2334]

Maak eens je map met tijdelijke bestanden leeg , en laat eens horen of NOD32 dan nog meldingen geeft.
Voer dit ook eens uit, en plaats eens de inhoud van het logbestand.

Download hier Mbam MalwareBytes naar je bureaublad.

Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg ervoor dat na installatie deze opties aangevinkt zijn:
Update MalwareBytes' Anti-Malware
Start MalwareBytes' Anti-Malware
Klik daarna op Voltooien.

Als er een een update gevonden wordt, zal deze gedownload en geïnstalleerd worden.


Als er gevraagd word of je de "Evaluatie wil starten" mag je deze weigeren, en kun je later nog inschakelen wanneer je hier gebruik wilt van maken.
Zodra het programma gestart is, klik op het tabblad "Instellingen".
Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
Klik dan op het tabblad "Scanner", kies hier voor "Volledige scan".
Klik vervolgens op "Scannen" om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan klaar is, klik op OK,en daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, en klik dan op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen .Wanneer gevraagd word om de computer opnieuw op te starten, sta je dit toe.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kun je terugvinden door op de "Logs" tab te klikken .

 

[gebruiker2334]

In je afbeelding valt me op dat NOD32 niet actief is. Ik zie het beveiligings icoontje niet rechtsonderaan in de systeembalk staan.

 

[markjantjuh]

Ik zie het beveiligings icoontje niet rechtsonderaan in de systeembalk staan.

Ik zie dat er een driehoekje staat, dit betekent dat als je daar op klikt er ook nog icoontjes staan. misschien staat ie daar?

 

[Cigano]

Dat klopt.

Malwarescan is nog steeds bezig.

 

[Cigano]

22 geinfecteerde bestanden:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Databaseversie: 8384

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

17-12-2011 23:32:06
mbam-log-2011-12-17 (23-31-57).txt

Scantype: Volledige scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Objecten gescand: 290003
Verstreken tijd: 2 uur/uren, 33 minuut/minuten, 32 seconde(n)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 9
Registerwaarden geïnfecteerd: 6
Registerdata geïnfecteerd: 2
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{440QLQLJ-WGF8-5P1P-^^^^$%^^%$#$%^^&%$#KT7D0R1L} (Spyware.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{440QLQLJ-WGF8-5P1P-^^^^$%^^%$#$%^^&%$#KT7D0R1L} (Spyware.Banker) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\Software\DC3_FEXEC (Malware.Trace) -> No action taken.

Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Spyware.Banker) -> Value: HKLM -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Spyware.Banker) -> Value: Policies -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Spyware.Banker) -> Value: HKCU -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Spyware.Banker) -> Value: Policies -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUpdtr (Trojan.Agent.Gen) -> Value: WinUpdtr -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Video Library (Trojan.Agent) -> Value: Video Library -> No action taken.

Registerdata geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> No action taken.

Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:
c:\system\winlogon.exe (Spyware.Banker) -> No action taken.
c:\Users\Mark\AppData\Local\Temp\dclogs\2011-12-16-6.dc (Stolen.Data) -> No action taken.
c:\Users\Mark\AppData\Local\Temp\dclogs\2011-12-17-7.dc (Stolen.Data) -> No action taken.
c:\Users\Mark\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> No action taken.
c:\Users\Mark\AppData\Roaming\WinUpdtr\25340396_msnmsgr.exe (Trojan.Agent.Gen) -> No action taken.

 

[gebruiker2334]

Je hebt de infecties niet laten verwijderen door Mbam.
Doe jij aan internet bankieren?

Rootkits zijn geen eenvoudige infecties en dienen opgelost te worden door specialisten.
Misschien best dit forum raadplegen.

 

[Cigano]

Ik heb dit opgeslagen voor ik het verwijderde, ik heb alles aangevinkt en moest de pc opnieuw starten.

Ja.

 

[gebruiker2334]

Ik wil je niet bang maken, maar de kans bestaat dat je bankgegevens gestolen zijn.

 

[Cigano]

Hoe bedoel je dit ik heb de laatste 2 weken ongeveer niet gebankiert?

 

[Cigano]

Ik heb wel op paypal iets betaald.

 

[gebruiker2334]

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{440QLQLJ-WGF8-5P1P-^^^^$%^^%$#$%^^&%$#KT7D0R1L} (Spyware.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{440QLQLJ-WGF8-5P1P-^^^^$%^^%$#$%^^&%$#KT7D0R1L} (Spyware.Banker) -> No action taken.

c:\Users\Mark\AppData\Local\Temp\dclogs\2011-12-16-6.dc (Stolen.Data) -> No action taken.

Dat bedoel ik, en misschien best je laten verder helpen op een forum waar ze gespecialiseert zijn in dit soort infecties.

 

[Jochem285]

Is er al een oplossing gevonden? Ik heb een soortgelijk probleem met vbc.exe..