squeet
(squeet)
3 Czerwiec 2005 12:15
#1
Witam, bardzo bym prosił o bardzo dokładne zapoznanie się z treścią tego posta:
http://forum.dobreprogramy.pl/viewtopic … highlight=
I odpisanie, czy to jest proces, który trzeba usunąć z pamięci (nie plik, ale proces)? Interesuje mnie to, gdyż w wielu logach widzę ten proces, który nie jest wymagany, a Spybot S&D zapala to na czerwono i rozpoznaje jako szpiega… Jak się troszkę poszpera w sieci, to rzeczywiście…
Ja poleciłem moim znajomym wywalenie tego, nic się nie stało a wydajność systemu wzrosła…
Proszę o opinie i pozdrawiam
maniooo
(maniooo)
3 Czerwiec 2005 12:30
#2
Witam,
Plik ctfmon32.exe jest szkodnikiem, co tam jest wyraźnie napisane.
Won z nim. Spybot rzadko się myli.
Dla podwyższenia morale - Autorytecik:
http://www.searchengines.pl/phpbb203/lo … 30924.html
squeet
(squeet)
3 Czerwiec 2005 12:34
#3
To w takim razie dlaczego logi z HijackThis, które zawierają ten proces, uważane są za czyste? W takim razie trzeba wszędzie tam, gdzie znajduje się ten proces, wskazywać go niewątpliwie do usunięcia!
zauważ, że proces nosi nazwę:
A i tak jest rozpoznawany jako szpieg:
Ja jak mówię, po wyrzuceniu tego wpisu, zaobserwowałem zwiększenie szybkości pracy systemu…
maniooo
(maniooo)
3 Czerwiec 2005 12:36
#4
Witam,
Zwróć uwagę, że nazwa startowa tego badziewia też jest ctfmon.exe ,
natomiast plik, który to uruchamia ma nazwę ctfmon32.exe .
Jeżeli plik, który to uruchamia to ctfmon.exe , to wszystko gra.
Na to trzeba zwracać uwagę.
PS Przeczytaj podany przeze mnie wcześniej link.
squeet
(squeet)
3 Czerwiec 2005 12:42
#5
No ok, czytałem:
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ntvdm.exe C:\Program Files\Winamp\Winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\devldr32.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Winamp\winamp.exe C:\Documents and Settings\ggg\Pulpit\Nowy folder (2)\hijackthis1.99.1\HijackThis.exe C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F3 - REG:win.ini: load=C:\YDPDict\watch.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\Winampa.exe” O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [outpost_uninst] C:\DOCUME~1\ggg\USTAWI~1\Temp_uninstop.exe /u O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 7333158968 O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
Nie ma wyżej użytej nazwy ctfmon32.exe , tylko ctfmon.exe . Tak więc jak rozpoznam, co uruchamia proces…
Czyżby subtelna różnica?
Prawidłowo:
Klucz HKCU i nazwa CTFMON.EXE w system32 = pasek językowy PL na pasku zadań.
Badziew:
maniooo
(maniooo)
3 Czerwiec 2005 12:46
#6
Witam,
Pierwsze pogrubienie to nazwa startowa. Może ona wprowadzać w błąd.
Drugie pogrubienie to nazwa pliku, którym jest uruchamiany proces.
Jeżeli jest to ctfmon.exe w katalogu
C:\WINDOWS\System32
to, jak już pisałem, wsio jest OK.
Gdyby był to ctfmon32.exe , to masz trojana.
squeet
(squeet)
3 Czerwiec 2005 12:48
#7
Czyli to… Wszystko sprowadza się do tego wpisu i jego źródła…
maniooo
(maniooo)
3 Czerwiec 2005 12:49
#8
Witam,
W rzeczy samej.
Głównie do jego źródła, ścieżki dostępu i nazwy pliku.
squeet
(squeet)
3 Czerwiec 2005 12:52
#9
Czyli już rozumiem
A ten prawidłowy proces można wyłączyć tak:
I wtedy już nie będzie wątpliwości Czyż nie?
maniooo
(maniooo)
3 Czerwiec 2005 12:55
#10
Witam,
squeet:
Czyż nie?
Oczywiście tak.
A wyłączyć można także przez msconfig.
squeet
(squeet)
3 Czerwiec 2005 12:59
#11
I nie ma problemu
Dziękuję bardzo za wyjaśnienie mi tego problemu. Mam nadzieję, że przyda się ta rozmowa przy spornych sytuacjach
Pozdrawiam!