Ctfmon.exe - co to jest?

dojo · 3 Grudzień 2007 22:13

Czym jest plik ctfmon.exe???

Pytam się tak, ponieważ kiedy dostałem pendrive’a od kumpla, mój NOD zaczął krzyczeć, że to wirus. No, plik usunąłem, ale potem okazało się, że ten exek jest w procesach.

Usunąłem go z procesów, potem msconfigiem odznaczyłem, żeby mi sie z systemem nie uruchamiał. Tam sprawdziłem, gdzie ten plik mogę znaleźć…

Plik znajduje się w katalogu “C:\WINDOWS\system32”. I każdy ma go w systemie… Bo pytałem się kumpla, czy go ma… No i go miał. Plik ten znalazł się u niego w procesach - chociaż sam go nie uruchamiał…

A najlepsze jest to, że kiedy zmieniamy mu rozszerzenie lub nazwę, on sam się przywraca do stanu porządku :D.

Piwollo · 3 Grudzień 2007 22:15

Są to zawansowane usługi tekstowe

Można je wyłączyć w Opcjach Regionalnych i Językowych w Panelu Sterowania.

dojo · 3 Grudzień 2007 22:19

No ale jest tam ustawione:

?? ?? ?? ??

Blastboy · 4 Grudzień 2007 04:12

Jest to bardzo popularny ostatnio Trojan.VB.aqt

Objawia się tym, że w moim komputerze gdy klikniesz prawym przyciskiem myszy na partycje to ujżysz opcję Open(0). Po usunięciu go możesz mieć problemy z wejściem na partycję. Przenosi się głównie poprzez urządzenia przenośne (to jest renesans tego typu oprogramownaia, bo ostatnio złośliwe oprogramowanie przenosiło się w ten sposób gdy mało kto miał internet i wiele osób korzystało z dyskietek, do przenoszenia danych). Usunięcie go nie jest bardzo trudne. Na początku wyłączasz go w procesach, potem usuwasz z Windows\system32.

Następnie w opcjach folderów włączasz wyświetlanie plików ukrytych oraz systemowych. Z każdej partycji usuwasz plik autorun.inf Oczyść również folder RECYCLER. Następnie uruchamiasz regedit, wpisujesz w wyszukiwaniu “ctfmon” i usuwasz wszystkie wyniki. Kolejnym krokiem jest uruchomienie msconfig. Z tamtąd odznaczasz “ctfmon”. Uruchamiasz ponownie komputer. Jeżeli po kliknięciu dwukrotnie na partycję będzie chciała wybrać program do jej otwierania (tak jak to się dzieje gdy chcesz otworzyć plik z nieznanym rozszerzeniem) to wybierz Program Files\Internet Explorer\iexplore.exe Jeżeli zamiast partycji otworzy Ci się strona główna, to wpisz w pasku adresu nazwę partycji (np.: “c:”). Niestety nie wiem jak się skutecznie bronić przed ponownym wgraniem się trojana bez pomocy antywirusa, który po prostu go zablokuje.

dojo · 5 Grudzień 2007 16:54

No właśnie. A nie jakieś “zawansowane usługi tekstowe”!! Ktoś tu bajki opowiada!

arekmalek · 5 Grudzień 2007 16:57

Daj log z combofix (temat przyklejony)

orzechjuve · 5 Grudzień 2007 17:08

Daj też log z hijack

dojo · 5 Grudzień 2007 17:23

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:16:15, on 2007-12-05 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32krn.exe C:\Program Files\Raxco\PerfectDisk\PDAgent.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Raxco\PerfectDisk\PDEngine.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\PROGRA~1\KM9801U\MMHotKey.EXE D:\Programy\D-Tools\daemon.exe C:\Program Files\Lexmark 3300 Series\lxccmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Eset\nod32kui.exe D:\Programy\Free Download Manager\FUM\fumoei.exe D:\Programy\PeerGuardian2\pg2.exe C:\PROGRA~1\KM9801U\HokHIDKC.EXE C:\WINDOWS\system32\lxcccoms.exe D:\Programy\Mozilla Firefox\firefox.exe D:\Programy\FREEDO~1\fdm.exe D:\Programy\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programy\Free Download Manager\iefdm2.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [KM9801U] C:\PROGRA~1\KM9801U\MMHotKey.EXE O4 - HKLM…\Run: [DAEMON Tools-1033] “D:\Programy\D-Tools\daemon.exe” -lang 1045 O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16 O4 - HKLM…\Run: [lxccmon.exe] “C:\Program Files\Lexmark 3300 Series\lxccmon.exe” O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU…\Run: [Free Uploader Oe Integration] D:\Programy\Free Download Manager\FUM\fumoei.exe O4 - HKCU…\Run: [PeerGuardian] D:\Programy\PeerGuardian2\pg2.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: Download video with Free Download Manager - file://D:\Programy\Free Download Manager\dlfvideo.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Pobierz w Free Download Manager - file://D:\Programy\Free Download Manager\dllink.htm O8 - Extra context menu item: Pobierz wszystkie pliki w Free Download Manager - file://D:\Programy\Free Download Manager\dlall.htm O8 - Extra context menu item: Pobierz z &BitSpirit - D:\Programy\BitSpirit\bsurl.htm O8 - Extra context menu item: Pobierz zaznaczone w Free Download Manager - file://D:\Programy\Free Download Manager\dlselected.htm O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - D:\Programy\Free Download Manager\FUM\fumiebtn.dll O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Programy\Ares\chatServer.exe O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe – End of file - 4924 bytes

squeet · 5 Grudzień 2007 17:27

Nikt nie opowiada bajek. Wszystko zależy od tego, w jakim katalogu znajduje się plik i jak jest widziany w logu. Poczytaj stary już wątek:

http://forum.dobreprogramy.pl/viewtopic.php?p=230096

Plik nie zniknie przez to, że odznaczysz zaawansowane usługi tekstowe. Po prostu ta usługa nie będzie ładowana w tle, nie będzie jej w Menedżerze urządzeń. Nie będzie jej też widocznej w logu HJT (w starszej wersji). Pliki pozostaną.

Pozdrawiam.

EDIT

Wkleiłeś loga - nie ma widocznego procesu ctfmon.exe w Running process, a powodem jest to, że zaznaczyłeś w/w funkcję

A tu wsio gra. Też mam takie:

Zwróć uwagę na nazwy folderów i nazwę klucza

dojo · 5 Grudzień 2007 17:33

Powodem tego, że nie ma go w Running Proces, nie jest to, że jakaś tam funkcja “zaawansowane usługi tekstowe” została wyłączona, tylko to, że został ten proces wyłączony w msconfig, jak zostało to wyżej napisane. Proszę czytać uważnie:

squeet · 5 Grudzień 2007 17:36

A podałem linka, patrzyłeś?

http://forum.dobreprogramy.pl/viewtopic.php?p=230096

Dwie inne drogi do tego samego… Nie ma znaczenia, jak wyłączyłeś - efekt taki sam. A pisałem o zaznaczeniu funkcji, bo pisałeś wcześniej, że masz zaznaczone - i do tego się odnosiłem.

orzechjuve · 5 Grudzień 2007 17:39

dojo masz program naomi??

dojo · 5 Grudzień 2007 17:43

Ale to dziwne, żeby ctfmon.exe był włączony nawet, po wyłączeniu go z Panelu sterowania. Bo on był już cały czas wyłączony, a potem pokazał się, kiedy dostałem tego pendrive’a …

Nie rozumiem? Co masz na myśli?

orzechjuve · 5 Grudzień 2007 18:00

No chodzi mi o program naomi.

dojo · 5 Grudzień 2007 18:02

Nie

Faenor · 7 Grudzień 2007 21:29

Radze poczytac chocby tutaj, jesli chcecie rzwiac wszelkie watplwisoci:

http://tiny.pl/jvx8

Coz, w moim przypadku wystarczylo przeczyszczenie pendrive’ow za pomoca AVG. Ale samo AVG milczy, gdy podpinam zainfekowanego pendrive’a o dziwo;p