trojan **exmodulbf.exe

[jaco1]

heb hier een pc staan met xp pro sp2
hier op zit een virus,trojan horse 22exmodulbf.exe
het getal veranderd telkens,om het half uur komt deze op
met een ander getal.
het begint meteen data van mijn pc,te uploaden via internet?
als ik het kill in taakbeheer,is het voor 29min stil.
maar dan start het weer?
op de pc staat avg en spyware doctor.
vind geen virus met deze progie's
op google gezocht maar niet echt een oplossing kunnen vinden.
wie heeft voor mij DE oplossing.

 

[nono]

Je kan met dit proggie eens kijken wat er zoal draait op je pc en e.e.a. verwijderen: "Hijackthis"

 

[Kilroy]

Als je weet hoe het heet kun je het toch zoeken en eruit smijten?
Grtz.

 

[Black Tiger]

Vaak krijg je dit soort grappen ook wel gevonden met The Cleaner (www.moosoft.com), een speciale trojanscanner.

Het feite dat de exe file van naam verandert maar nog meer het feit dat ie steeds vanzelf weer komt, geeft aan dat een ander bestand deze .exe file aanmaakt.
Heel vaak betreft dat een .dll bestand. Vaak bijv. een .dll bestand wat aangeroepen word als je Internet Explorer opent of Outlook Expres of een bepaald programma.
Geheid dat dit ook in je registry zit.

The Cleaner en Hijackthis zijn dan toch de beste methodes om het er uit te halen.
Mocht je er zelf geen verstand van hebben kun je hier een log plaatsen dan kijken wij er eens naar.

 

[jaco1]

Ja dat vermoeden had ik ook al.
heb adwarealert geinstaleerd.
deze vond een download accellerator,wbocx.ocx in system32
na opruimen lijkt het er op dat het weg is?
het start nu niet meer op,na herstart pc of netwerk.
ik houd de pc nog wel ff een dag hier op internet,kan ik ff kijken
of het niet meer terug opstart.
dus hoop maar dat het nu over is.

 

[Black Tiger]

Nou, ik ben bang dat dit niet zal helpen, het is een bestand wat in \windows\system32 thuis hoort, ik heb hem hier ook op staan.
Maarja, eens afwachten, misschien dat ie bij jou geinfecteerd was.

 

[duiveltje]

Mischien het proberen waard.

Trojanhunter 4.0.
succes

 

[jaco1]

(bt) als ik in mijn eigen pc kijk staat hij daar niet in system32
dus mischien hoort het bij een programma,maar dus niet (denk ik)
in win xp zelf.
maar okay,de pc met de trojan werkt nu weer goed.
heb hem nu net van internet afgehaald,heeft de laatste 20 uur
geen probs meer gegeven,zelfs niet na opnieuw opstarten.
dus hoop maar dat het nu okay is.

 

[MAS3]

Ik heb ook ff gekeken en ben het bestand niet tegen gekomen.
Dan kan het natuurlijk nog zo zijn dat het een onderdeel is van een bepaald programma.
Maar als je dan googled naar dat wbocx.ocx bestandje (plus process info), dan vind je wel degelijk vermeldingen dat dit een viezerik is of kan zijn.

Dus daarom denk ik dat het heel zo'n slecht idee niet is deze te verwijderen.
Maar een tipje voor iedereen die ook eens een dergelijk verdacht bestand tegen komt:
Als je niet zeker weet of het echt de boosdoener is, dan rebooten naar veilige modus.
Op die manier worden er zowat geen dll en ocx bestanden geladen.
Daarna kun je het betreffende bestand een andere (maar duidelijke) naam geven.
Zo kun je van bestand.dll dus rotbestand.dll maken.
Hierdoor zal het niet meer opgestart kunnen worden.

Een bestand dat in gebruik is, kun je niet hernoemen of verwijderen dus vandaar de veilige modus.
Hierna eens normaal opstarten en een en ander goed testen.
Gebruik ook programma's die belangrijk voor je zijn, zoals office toepassingen of weet ik wat.
Dan kun je vaststellen of je iets gewijzigd hebt dat toch noodzakelijk blijkt.

Wanneer alles nog lekker werkt, kun je de rotzak dus zonder meer verwijderen.
Op die manier ben je redelijk veilig bezig.
Natuurlijk zet een goed schoonmaak programma eerst alles wat ie herkent in een "vault" zodat je m vandaar altijd nog terug kunt halen.
Maar maar al te vaak stelt men deze zo in dat ie na een herstart of een bepaalde tijd geleegd word.

 

[Black Tiger]

Het kan zijn dat ik hem in de system32 heb omdat ik ook download accelerator heb, maar ik heb verder geen last van problemen.

Ik heb met google gezocht en kwam niet zo gek vele tegen als zou dit een viezerik zijn. Wel zag ik dat er veel cracks voor te vinden waren. Maar dat wil niet zoveel zeggen, er zijn tegenwoordig genoeg viezerikken aan het rondwaren, ook met filenamen die gelijk zijn aan bestandsnamen die wel in orde zijn.
Maar als ie nu weer goed werkt, des te beter dan. Misschien moet ik dan ook voor de zekerheid nog eens gaan scannen, wordt toch weer tijd ervoor.

Een bestand dat in gebruik is, kun je niet hernoemen of verwijderen dus vandaar de veilige modus.

Zelfs dan is zo'n vervelend bestand in sommige gevallen niet te verwijderen omdat het in gebruik zou zijn.
Mocht iemand dit tegenkomen, neem dan het gratis programma Unlocker die het bestand vrijgeeft. Overigens ook handig voor avi files die blijven "hangen" als windows ze weer eens niet vrijgeeft.
Veilige modus gebruiken is daarmee ook niet perse noodzakelijk.

 

[Kilroy]

Bij mij zit ie er ook niet in.
Maar als je naar de file eigenschappen kijkt, wat krijg je dan te zien?
Je weet wel, rechter muisknop en eigenschappen, version en company name etc.
Grtz.

 

[Black Tiger]

Bij mij is ie goed, de info klopt:
Bestandsversie: 3.0.0.1
Beschrijving: WindowBlinds : DirectSkin
Copyright: Copyright (C) 2002 Stardock.Net, Inc

Bij een zoektoch met google naar het bestand kreeg ik ook de informatie omtrent Windowsblinds en DirectSkin. Schijnt ook niet gratis te zijn.
Als ik verder ga kijken bij de informatie onder "opmerkingen" staat er het volgende:
This OCX control is not for free use. Only for use by licensed customers of Stardock.Net, Inc

 

[blokr]

Je kan voor de zekerheid hier:

http://www.hijackthis.nl/forum/viewforum.php?f=4&sid=806d25515b911402e97ba82b49231408

je register even laten controleren op malware en andere infecties. Ik heb trouwens download accelerator eruit gekiept, omdat ik iedere keer na een scan met Adaware de nodige troep kon verwijderen. Bleek zelfs dat deze accelerator helemaal geen versnelling in het downloaden gaf!

 

[Black Tiger]

Die Hijackthis kan ik zelf uitlezen. Mijn download accelerator geeft overigens wel een behoorlijke stuw in de snelheid, alleen gebruik ik hem niet meer vaak.
Hitman pro geeft daar een paar meldingen van maar ik heb wel een pro versie van die download accelerator dus dat geeft verder geen problemen.

Voor mensen die Hijackthis niet zo goed begrijpen is het zeker een handige tip om die eens te plaatsen op het Hijackthis forum, je komt soms de vreemdste dingen tegen inderdaad.

 

[blokr]

Mmm, HitmanPro is niet meer wat het ooit geweest is BT. Even googelen of andere forums lezen dan ben je weer op de hoogte. Of de nieuwe versie is niet te installeren of het geeft conflicten met virusscanners of het geeft DAB weer ergens onterecht de schuld van Of terecht, wie zal het zeggen! Ik heb DAB en HitmanPro eraf geknikkerd en draai AdAware, Spy Sweeper en A-Squared en dat is op dit moment afdoende. Volgend jaar is het wellicht weer een andere combinatie. Het is net stuivertje wisselen bij die scanners!

 

[Black Tiger]

Ik ben voldoende op de hoogte.
Daarom heb ik er ook geen problemen mee, maar waarheidsgetrouw mag inderdaad wel aangegeven worden dat ik voordat gestart wordt, eerst de configuratie open en dan Spysweeper (want die is toch al verlopen of anders bijna) en de virusscanner uitschakel zodat hij deze beiden niet installeert. Nod32 is namelijk niet nodig want daar draait hier al de volledige versie van.
Daarnaast kan de gevorderde gebruiker, mocht zich wat voordoen, wel een oplossing vinden via google en internet.

Maar het klopt inderdaad wel wat je zegt, er worden sinds de nieuwe versie wat meer problemen gemeld met Hitman Pro.
Natuurlijk heeft het automatisme ook ietwat een nadeel dat je niet zelf kunt bepalen wat weggehaald word.
Terecht dat je daarop een aanvulling geeft, want mijn informatie was uitsluitend toegespitst op gevorderde gebruikers die weten waar ze mee bezig zijn en dat was in dit geval wat mijn comment betreft zeker een misser.
Waarvoor dank!