Ctfmon.exe - co to jest?


(Hauserek) #1

f_PLIKIm_1019016.png

Czym jest plik ctfmon.exe???

Pytam się tak, ponieważ kiedy dostałem pendrive'a od kumpla, mój NOD zaczął krzyczeć, że to wirus. No, plik usunąłem, ale potem okazało się, że ten exek jest w procesach.

Usunąłem go z procesów, potem msconfigiem odznaczyłem, żeby mi sie z systemem nie uruchamiał. Tam sprawdziłem, gdzie ten plik mogę znaleźć...

Plik znajduje się w katalogu "C:\WINDOWS\system32". I każdy ma go w systemie... Bo pytałem się kumpla, czy go ma... No i go miał. Plik ten znalazł się u niego w procesach - chociaż sam go nie uruchamiał...

A najlepsze jest to, że kiedy zmieniamy mu rozszerzenie lub nazwę, on sam się przywraca do stanu porządku :D.


(Mail) #2

Są to zawansowane usługi tekstowe :slight_smile:

Można je wyłączyć w Opcjach Regionalnych i Językowych w Panelu Sterowania. :slight_smile:


(Hauserek) #3

No ale jest tam ustawione:

f_WYLACZm_6b45751.png

?? ?? ?? ??


(Blastboy) #4

Jest to bardzo popularny ostatnio Trojan.VB.aqt

Objawia się tym, że w moim komputerze gdy klikniesz prawym przyciskiem myszy na partycje to ujżysz opcję Open(0). Po usunięciu go możesz mieć problemy z wejściem na partycję. Przenosi się głównie poprzez urządzenia przenośne (to jest renesans tego typu oprogramownaia, bo ostatnio złośliwe oprogramowanie przenosiło się w ten sposób gdy mało kto miał internet i wiele osób korzystało z dyskietek, do przenoszenia danych). Usunięcie go nie jest bardzo trudne. Na początku wyłączasz go w procesach, potem usuwasz z Windows\system32.

Następnie w opcjach folderów włączasz wyświetlanie plików ukrytych oraz systemowych. Z każdej partycji usuwasz plik autorun.inf Oczyść również folder RECYCLER. Następnie uruchamiasz regedit, wpisujesz w wyszukiwaniu "ctfmon" i usuwasz wszystkie wyniki. Kolejnym krokiem jest uruchomienie msconfig. Z tamtąd odznaczasz "ctfmon". Uruchamiasz ponownie komputer. Jeżeli po kliknięciu dwukrotnie na partycję będzie chciała wybrać program do jej otwierania (tak jak to się dzieje gdy chcesz otworzyć plik z nieznanym rozszerzeniem) to wybierz Program Files\Internet Explorer\iexplore.exe Jeżeli zamiast partycji otworzy Ci się strona główna, to wpisz w pasku adresu nazwę partycji (np.: "c:"). Niestety nie wiem jak się skutecznie bronić przed ponownym wgraniem się trojana bez pomocy antywirusa, który po prostu go zablokuje.


(Hauserek) #5

No właśnie. A nie jakieś "zawansowane usługi tekstowe"!! Ktoś tu bajki opowiada!


(Arekmalek) #6

Daj log z combofix (temat przyklejony)


(Orzechjuve0) #7

Daj też log z hijack


(Hauserek) #8

HijackThis:


(squeet) #9

Nikt nie opowiada bajek. Wszystko zależy od tego, w jakim katalogu znajduje się plik i jak jest widziany w logu. Poczytaj stary już wątek:

:arrow: http://forum.dobreprogramy.pl/viewtopic.php?p=230096

Plik nie zniknie przez to, że odznaczysz zaawansowane usługi tekstowe. Po prostu ta usługa nie będzie ładowana w tle, nie będzie jej w Menedżerze urządzeń. Nie będzie jej też widocznej w logu HJT (w starszej wersji). Pliki pozostaną.

Pozdrawiam.

EDIT

Wkleiłeś loga - nie ma widocznego procesu ctfmon.exe w Running process, a powodem jest to, że zaznaczyłeś w/w funkcję :slight_smile:

A tu wsio gra. Też mam takie:

Zwróć uwagę na nazwy folderów i nazwę klucza


(Hauserek) #10

Powodem tego, że nie ma go w Running Proces, nie jest to, że jakaś tam funkcja "zaawansowane usługi tekstowe" została wyłączona, tylko to, że został ten proces wyłączony w msconfig, jak zostało to wyżej napisane. Proszę czytać uważnie:


(squeet) #11

A podałem linka, patrzyłeś?

:arrow: http://forum.dobreprogramy.pl/viewtopic.php?p=230096

Dwie inne drogi do tego samego... Nie ma znaczenia, jak wyłączyłeś - efekt taki sam. A pisałem o zaznaczeniu funkcji, bo pisałeś wcześniej, że masz zaznaczone - i do tego się odnosiłem.


(Orzechjuve0) #12

dojo masz program naomi??


(Hauserek) #13

Ale to dziwne, żeby ctfmon.exe był włączony nawet, po wyłączeniu go z Panelu sterowania. Bo on był już cały czas wyłączony, a potem pokazał się, kiedy dostałem tego pendrive'a ...

Nie rozumiem? Co masz na myśli?


(Orzechjuve0) #14

No chodzi mi o program naomi.


(Hauserek) #15

Nie :slight_smile:


(Mental Sick) #16

Radze poczytac chocby tutaj, jesli chcecie rzwiac wszelkie watplwisoci:

http://tiny.pl/jvx8

Coz, w moim przypadku wystarczylo przeczyszczenie pendrive'ow za pomoca AVG. Ale samo AVG milczy, gdy podpinam zainfekowanego pendrive'a o dziwo;p