Weggooien van ftp.exe

[pato]

Ik gebruik de gratis virusscanner Avira Antivir Personal.
Hij meldt een virus, de naam is: "TR/Agent.49664.J".
Het bestand waar het virus in zit is C:\Windows\system32\ftp.exe.
De virusscanner stelt als actie "Deny access" voor, dat heb ik ook gedaan.
Maar de melding dat er een virus zit komt regelmatig terug.
Kan ik ftp.exe weggooien of gaat Windows XP dan problemen geven?

Ik heb TR/Agent.49664.J gezocht in verschillende virusdatabases, maar niet gevonden.
Wel heb ik bij Avira een virus gevonden met een naam die erop lijkt: TR/Agent.40448.

 

[mrmusic]

Doe even een scan met Superantispyware, de gratis versie is goed genoeg.
Voor het scannen wel even updaten:

http://www.superantispyware.com/superantispywarefreevspro.html

 

[gerwag]

hi,
ftp.exe is een onderdeel van windows, het is nl het FileTransferProtocol.
Het is in XP32 44kB groot!
grtz gerrit

 

[gerwag]

Ik kan het vorige bericht niet meer wijzigen dus hier even een toevoeging.

De lengte van de file geeft een grove indicatie of de file hetzelfde is
een betere is even de CRC van de file te bepalen,
als dit getal anders is is er iets aan de file gewijzigd!

Van ftp.exe is de CRC32 : 55323A28

Je kunt dit zichtbaar maken door ftp.exe even aan een rar archive te voeren (winrar)
en dan met winrar op dit archive te klikken. Dan staat de CRC32 er achter.
grtz gerrit

 

[pato]

Ftp.exe is geinfecteerd

Dank voor de reacties!

Ik heb winrar opgehaald, geïnstalleerd en ftp.exe ermee ingepakt om de CRC te bepalen.
Winrar geeft aan:Grootte = 43.008, Ingepakt = 221, CRC32 = A3C2B8B4.
De CRC32 verschilt dus van wat hij volgens Gerrit moet zijn.
Ftp.exe is dus niet o.k.!

Ik begrijp dat ik niet zo maar ftp.exe kan weggooien.
De vraag is dus: hoe kom ik van de geïnfecteerde ftp.exe af?

N.B.:
Ik heb naar de ftp.exe gekeken van mijn tweede computer.
Die is niet geïnfecteerd.
Winrar geeft aan: Grootte = 45.056 , Ingepakt = 17.345, CRC32 = F223E175.
Deze CRC klopt niet met die van Gerrit!
Ik weet niet of ftp.exe verschilt bij verschillende versies van Windows XP.
Op de geïnfecteerde computer staat Windows XP Home Edition, 2002.
Om de tweede computer staat Windows XP Professional, 2002, Service Pack 2.

 

[mrmusic]

Doe even een scan met Superantispyware, de gratis versie is goed genoeg.
Voor het scannen wel even updaten:

http://www.superantispyware.com/superantispywarefreevspro.html

Doe dit nou maar!

 

[lightframe]

Niet zo ingewikkeld doen.

Wanneer er door een AV wordt aangegeven dat er een bestand besmet is en je weet 't niet zo zeker.... controleer dat bestand dan op www.virustotal.com of www.virscan.org

Dan zal dit bestand door meer dan 30 virusscanners worden gecontroleerd.

Als dan alléén je eigen AV er malware in ontdekt is de kans groot dat het een false positive is. Zijn er meerdere scanners die er malware in detecteren dan zal dat bestand ook daadwerkelijk besmet zijn.

Op www.virustotal.com zal na de scan nog veel meer informatie over het bestand te zien zijn. Wil je die informatie ook aan een ander laten zien, kopieer dan de link die na het scannen in de adresbalk staat en post die op het forum.

 

[mrmusic]

Wat is er ingewikkeld aan even een scan doen met Superantispyware wanneer je geinfecteerd bent???

 

[lightframe]

Wat is er ingewikkeld aan even een scan doen met Superantispyware wanneer je geinfecteerd bent???

Ik doelde eigenlijk meer op het controleren van de CRC met Winrar. Maar SUPERAntiSpyware is ook geen virusscanner. Prima programma om het systeem mee te scannen bij problemen, maar niet aan te raden om slechts 1 twijfelachtig bestand te controleren.

Wanneer je een bestand heel simpel door meer dan 30 virusscanners kunt laten controleren geeft dat meer zekerheid.

 

[mrmusic]

Superantispyware is juist UITSTEKEND GESCHIKT voor het verwijderen van Trojans!
En wie zegt dat er maar 1 geinfecteerd bestandje is?

Dat online controleren van 1 bestandje schiet niet op, want daarna moet je alsnog gaan scannen en verwijderen!
Immers, krijg je las resultaat dat het bestand schoon is, moet je gaan scannen wat dan de oorzaak is.
Krijg je als resultaat dat het bestandje geinfecteerd is, moet je die infectie gaan verwijderen en scannen wat er nog meer aan de hand is!!!!!!!

 

[lightframe]

Zoals dit topic begint lijkt het meer op een false positive van Avira.
Pato meldt geen enkel ander probleem.

En als blijkt dat het bestand schoon is hoef je juist NIET meer te zoeken naar de oorzaak.
De oorzaak is dan bekend, dat is dan een false positive van Avira.

 

[pato]

Ben blij met de verschillende reacties.
Ik heb beide adviezen gevolgd: scannen door (1) Superantispyware en (2) Virustotal.

(1) - - - - - Superantispyware - - - - -
M.b.v. Perform Quick Scan worden 170 cookies gevonden, de melding is:
Adware.Tracking Cookie [ 170 items ]
Maar verder worden geen virussen gevonden.
Ik heb voor de zekerheid vervolgens in mijn antivirusprogramma (Avira) de Antivir Guard geinactiveerd.
Daarna heb ik m.b.v. Perform Custom Scan van Superantispyware alleen C:\Windows\system32\ gescand.
Ook dit heeft geen virusmeldingen opgeleverd.
Misschien wordt het virus niet gevonden omdat eerder mijn virusscanner "Deny access" gedaan heeft?

(2) - - - - - Virustotal - - - - -
Door 7 van de 37 scanmachines wordt een virus gevonden.
Zie http://www.virustotal.com/nl/analisis/41704fd8491fec0fcca74e781f625ce9

- - - - - Wat nu? - - - - -
Gezien de rapportage van Virustotal lijkt mij duidelijk dat ftp.exe geinfecteerd is.
De vraag blijft: hoe los ik dit op?

- - - - - Nieuwe info - - - - -
Mijn virusscanner meldt nu ook een ander probleem:
In C:\Windows\system32\slotw.exe wordt het patroon gevonden van WORM/IrcBot.52736.2 gevonden.
Blijkbaar heb ik een tweede probleem.
Bij virustotal wordt door 36 van de 36 scanmachines een virus gevonden.
Zie http://www.virustotal.com/nl/analisis/ff288ef2d3ff52343e632651fcbfc522

 

[lightframe]

Dan is het dus duidelijk echt malware. Zeker dat 2e bestand

Heb je ook al het hele systeem gescand met Avira? Zo nee, dan zou ik dat eerst maar doen. Gedetecteerde malware in quarantaine zetten.

 

[pato]

Dus ftp.exe en slotw.exe kunnen zonder problemen in quarantaine gezet worden?
Zo ja, is dat voldoende of moet ik meer doen i.v.m. die 2 bestanden?

 

[lightframe]

Ik had je een mailtje gestuurd. Zou graag ftp.exe willen hebben.
Wel inpakken met een wachtwoord graag, anders wordt het onderweg misschien tegengehouden door een AV.

 

[pato]

Opgelost

Uiteindelijk heb ik ftp.exe en slotw.exe (beide in C:\Windows\system32) weggegooid.
Daarmee is het probleem opgelost.
Bedankt voor alle reacties!