Mám v počítači vir !

ctfmon.exe je tohle : http://www.liutilities.com/products/wintaskspro/pro cesslibrary/ctfmon/ a TOTALCMD může být náhoda. Jinak bych se pochopitelně obrátil na můj oblíbený antivrus: Panda Antivirus Titatium download a Doporučuju při registraci uvést JINÝ email, chodí jich dost (nadruhou stranu jsem se nikdy nezkošel odhlásit)
Pokud by to byl virus, tak bych to řešil takto nějak:
Já jsem dlouho nic neměl (o čem bych věděl, antivir nemám) nicméně tohle mi připadá dost nebezpečné, vypadá to totiž, že to napadá i exe sobory a komereční viry (myšleno jako spyware) většinou neškoděj timto způsobem. První, co bych v tomhle případě řešil by byla jednoznačně záloha (stejnej formát jako záloha: Typ,Název,Datum+"napsáno viditelně zavirované"). A pak záleží jen na Tobě, jak to máš zařízené, pokud máš celej naistalovanej a nastavenej komp v nějakém image, pak je to jedoduché (neberte to jako s kanonem na vrabce, pokud je imagedisku připraven dobře, pak je obnova rychlejší než antivirus)

dufam ze si nerobis vtipy, pretoze patris medzi tych, ktori su schopni zistit co je to ctfmon.exe. jedine ze by si ho mal nejako modifikovany. povedz aku mas verziu office a urob md5 hash tohoto suboru a hod ho sem. mozme podla verzie zistit ci je mofifikovany alebo nie.
//edit: tu je md5 hash pre office 2000 9.0.8950 sp3 - 24232996a38c0b0cf151c2140ae29fc8

A5BAA91475167161DEA02BA3C4CA4F59 Mám Office 2003 cz verze něco.

Jenomže jde o to, že když natahnu z bezpečného zdroje spoštěcí soubor k Total Commanderu
tak ten soubor je opravdu menší ! A když ho přepíšu a spustím tak na mě vyběhne to upozornění a soubor je
zase o něco větší Navíc když klepnu na nějaký soubor pravým tlačítkem myši tak se počítač zasekne na chvilku.

Toto mi předtím nedělal.

ok, office 2003 nemam, tak ti md5 hash poskytnut nemozem, mozno niekto iny. osobne si ale myslim ze hlaska o ctfmon.exe je len plany poplach a problem je niekde inde. najlepsie by bolo stiahnut trial verziu nod-u a v nudzovom rezime spustit rozsirenu heuristiku, tu ma nod32 ozaj prepracovanu dobre.

Nenadávejte mi za ctfmon.exe. Jsem jen člověk, který zhruba 5. měsíců neodpočíval.
Znovu opakuji , že okamžitě po spuštění mi TC zobrazí tu hlášku co tam uvádím
a pak se ukončí. Toto mi tato instalace Windows (mám ji 2 roky) nikdy nedělala.

Hash mám stejný jako ty a přitom jsem v těchto Windows Office 2000 nikdy neměl. Byly tu jen 2003.

tak potom to mozno bude uplne easy, netreba ziaden antivir.
Squad_leader:\> spust process explorer a zisti ake ine dll pripadne aplikacie ctfmon.exe vola. vsetky standardne nahrad oficialnymi, posluzi ti nato prikaz expand a instalacne CD. nestandardne zmaz, predtym je ale dobre ich este pre istotu odregistrovat(ak su to nahodou COM dll) - regsvr32 /u nazov_dll.dll. ak si si nie isty ci su nestandardne, tak si ich pre istotu odzalohuj.

"Já už jsem ji odstřelil" , aby se nespoštěla komplet z msconfig.exe a stejně to nepomohlo.

nepomohlo je dost vseobecny vyrok. predpokladam ze ti modifukuje stale total commander ale uz ti nehlasi hlasku o ctfmon.exe. btw., tento subor by mal byt este v adresari C:\WINDOWS\ServicePackFiles\i386.
ok, chod do nudzoveho rezimu a skus ci to robi aj tam. ak to tam nerobi, tak to nebude az take zhave. btw., ake subory mas na tom flashdisku, odtial by som zacal.

U TC to dela i v nouzovem rezimu. Jakmile ho spustim (TC) tak se sice rozbehne, ale jak stisknu nejakou klavesu
tak spadne a odhlasi me to (nebo proste nabehne obrazovka k prihlaseni).
To je myslim si dost podivne chovani TC !

Na druhem pocitaci to zase dela to, ze kdyz spustim TC tak ten nejdrive nabehne, ale jak stisknu libovolnou klavesu
tak spadne a CPU vybehne na 100procent a PC prakticky prestane reagovat na klikani i klavesnici.
Zajimave je snad jen to, ze kdyz pouziju pruzkumnik ve Windows tak to snad funguje OK (to prochazeni slozek).

Konzultoval jsem to s kamaradem a ten rikal, ze mel neco podobneho a nemohl to dostat ven. Ze pomohlo
jen formatovat disk. To si ja ovsem nemohu dovoloit. Nakonfigurovat vsechny programy by zabralo tydny casu.

A to si s nekteryma magorama ve skole nemuzu dovolit.

Microsoft Office 2003 (11):

a5baa91475167161dea02ba3c4ca4f59 *ctfmon.exe

To si snad děláš prdel? Ctfmon.exe je regulérní aplikace - panel jazyků.

Co Rootkit Revealer? není tam něco? Autoruns mlčí? Hijackthis?

Ty hlášky, které jsem tady uvedl jsou jen důsledek, ale ne zdroj .....

Nevím kde to svinstvo je.
Ad-Aware SE Professional na to nestačí.
//edit
Tak už je to i v dalším počítači. Tam pro změnu při spuštění TC se vytíží CPU na
100procent(jezisi nefunguje prepinani klavesnice) a TC spadne se stejnou hlaskou.
Vytizeni CPU zustane 100 procent

Co s tebou? Zkus to projet pomocí zkušební verze Prevx1.
products.asp

Prevx1 působí sympaticky. Je dobrý?

muzu ti nastinit utok zmutovanyho padobota
po prihlaseni do win jsem mel presne 3 vteriny nez komp zamrznul - no stacilo me to na spusteni task managera - zjistil jsem ze se spousti dva nezname procesy /nouzovy rezim/odjebat je/autoruns a zjistit co je spousti/jakz takz vycisteno
po spusteni to bylo znova - evidentne tam byla matka ktera generuje dcery a ktera neni na obvyklych mistech k spusteni - no po pul hodce jsem ji mel - nasel jsem ji v rootu disku c:/ jako proces s nazvem explorer.exe - svine vyuzila nedostatku mezi relativnima a absolutnima cestama (v tomto pripade se spousti jako rozhrani explorer.exe z c:/ pac tahle cesta ma vetsi prednost jako systemroot)
jeste na tom bylo zajimavy ze matka (explorer.exe z c:/)mela svuj definicni soubor ktery pri jakekoliv akci menil svou priponu.

pointa:
hledej i na mistech o kterych si myslis ze "tam v zivote ne"
ne vse se spousti pres registry
zkus vyberove spousteni (ms config)-vysleduj u ceho mrcha nabehne (aby popletla system staci mit vhodny nazev a dobre umisteni)
EDIT: v tomto pripade antivir nebyl schopen ji najit (menici se pripona)

Zdravim i kdyz nevim, na ktere strane stojis :)

Skromna otazka -> kolik procent lidi si myslis, ze bude rozumet tvemu prispevku :)

paul wilson

on se nekdo najde
p.s. stojim na sve strane

Samozřejmě, že najde.
BTW: já stojím na malé.

To já zase jednou stál pod vorlojem, to je na Starém městě.

Ale dyk to je snad něco od toho antiviru neee?

http://www.spszl.cz/modules/news/article.php?storyi d=26

Takže vypadá to následovně:

1) Antiviry v kombinaci s antispyware jsou k hovnu
2) Když ten proces terminuji přes Process Explorer
tak se sice ukončí, ale PC se chová dál "divně".
Navíc po spuštění se to tam nasere znovu.

Nevím co mám dělat. Nainstaloval jsem si už i Prevx1 a všichny programy se tváří jakože je
všechno OK.

moznosti je vyrvat z pc disk a prenes ho na neutralni pudu ( jiny nezavirovane pc ), nic nespoustet a nechat ho proverit antivirim ( uplny scan ). Asi me nebudete mit radi, ale v tomto se mi osvedcil Symantec Antivirus ( ovsem ne free, mame v praci corporate antivirus - ja teda ne, mam linux ).

A když nahodíš systém do nouzového režimu, spustíš NOD32 - zaškrtneš všechny možnosti včetně rozšířené heuristiky, prohledáš celý disk - tak to nic nenajde?

Stáhni si mwav.exe - podívej se např. sem: viewtopic.php

Ten total commander tohle pise kdyz je spatne cracklej

Aha. Ale na jiném PC to nepíše.
Navíc mi tam mwav.exe nalezl
Trojan.Win32.VB.aqt a Explorer.exe je infikovaný takže jedině přendat do jiného PC.
A že pravá myš nefunguje to je asi taky totální náhoda stejně jako zatuhávání PC.
Zasraná škola.

Jedná se o virus W32.Detnat.E

Docela dobře se dá poznat podle toho, že nefunguje pravá myš....
prostě že vám to začne dělat paseku.

Nyní po bitvě bude generálem každý, ale fígl je v tom, že když si nevypnete "System Restore"
tak se toho prostě nezbavíte.

Podrobný návod tu:

http://www.symantec.com/security_response/writeup.j sp?docid=2006-060914-0815-99&tabid=3

Jen tak mimochodem tento vir nenajde ani plně aktualizovaný NOD32 s Ad-Aware.
Dokonce dokázal infikovat spouštěcí soubory NOD32 a Ad-Aware takže tyto programy ten vir šíří.

Pokud chcetě žít v klidu (vzpomeňte si na Matrix) tak si vezměte modrou pilulku.
Pokud chcete vědět jak hluboká je králičí nora tak si ani nemusíte brát červenou pilulku,
stačí když stahnete tohle:

viewtopic.php
(Díky Miloslave)

Diky za info. Pisu si do blbajznicku .

symantec rulez

To je ale náhoda, dnes som konečne dopozeral Matrix.

offtopic: Ty mas zapnuty system restore? To je jedna zo stovky zbytocnych chujovin ktore som vo svojich WinXP este tyzden po instalacii nachadzal kdekade poskryvane a vypinal jak debil, za sucasneho nadavania na de-Billa. System restore som nasiel v nastaveniach hned po instalacii to bolo prve co som vypol :)

Celý postup odstraňování viru je velmi zajímavý a poučný.
Postup autora příspěvku je možno sledovat na viewtopic.php
Rádcem byl "Ryan"

Zdravim vsechny,

par informaci ohledne haveti jmenem ctfmon alias.

Tahle havet sice neni extra nebezpecna, ale celkem dost otravna.

Siri se celkem zajimave:
Po spusteni je vir spusteny v pameti a "ciha" na vlozeni/namapovani noveho disku (vlozeni usb flash, namapovani sitoveho disku, vlozeni pametove karty, atd.)
Jakmile k uvedenemu dojde, vir na tomto novem disku vytvori:
- soubor "autorun.inf"
- adresar "recykled," do nehoz ulozi specifikacni soubor desktop.ini, ktery zpusobi, ze adresar vypada jako "kos" od windows, a do tohoto "kose" ulozi svoji kopii.

Po vlozeni/namapovani infikovaneho disku na jinem pocitaci windows bud automaticky spusti vir na disku, protoze najde "autorun.inf" nebo kdyz na disk kliknete v pruzkumnikovi (tento pocitac -> klik na disk), dojde taktez k jeho spusteni. Program obvykle nahlasi chybu (chyba ve viru) nebo otevre disk aby uzivatel nic nepoznal.
Mezitim se vsak zkopiruje do slozky "po spusteni," aby byl spousten pokazde, kdyz se zapne windows a mohl cihat na dalsi disk, ktery napadne.

Tahle potvurka se celkem slusne siri.

Pro odstraneni je potreba:
- ctrl-alt-delete a zabit proces ctfmon
- ve vsech korenovych adresarich smazat autorun.inf a adresar recycled (totez na vsech svych flashkach.
- smazat ctfmon v adresari "po spusteni" v nabidce start

Pro zamezeni sireni:
- Zakazte automaticke spousteni
- A hlavne: jelikoz ho vsichni znami uz na flashkach urcite maji (byli uz u vas na navsteve) -> neotevirejte flashky v pruzkumnikovi dvojklikem, ale klepnutim pravym tlacitkem a zvolenim "otevrit." Pritomnost viru na flashce poznate tucnou defaultni polozkou "Open(0)": ta je prave definovana v autorun.inf a zpusobi spusteni viru.

Nenasel jsem zadne destruktivni ucinky tohoto. Pokud jej chcete zaslat - pochopitelne ciste ke studijnim ucelum (na hrani) - napiste mi na kaliginium@centrum.cz
Pokud ho jiz mate -> at vam neutece, je to nezmar.

S pozdravem Paul Wilson

Jakmile k uvedenemu dojde, vir na tomto novem disku vytvori:
- soubor "autorun.inf"
...

Takze to vyuziva dementnu neskutocne otravnu fcie WinXP, ktora po vlozeni disku ho prehladava a snazi sa spustat blbosti, a este aj vyhadzuje dementne okno s otazkou "co chcete s diskom robit?" aj ked uz s tym diskom davno robim , nechapem ze to moze mat niekto povolene (zakazat sa to da v registroch, stravil som asi hodinu kym som to zakazal, debilny Bill Gates ze by ho porazilo na mieste). Ak si niekto tuto (najdementnejsiu najotravnejsiu aku som kedy na nejakom OS videl) funkciu nevypne, je si sam na vine.

Ne tak docela.

Pokud se ti spousti funkce "blbeho prohledavani" s nabidkou, co chces delat, tak das nic a vir se nespusti. Tahle funkce s tim nema nic spolecneho. Leda, ze by jsi zvolit "Prehrat automaticky" -> pak by provedl autorun.inf

pww

To je fuk, kto pouziva priskumnika od de-Billa je si tiez sam na vine

autorun.inf používají třeba flešky s U3. Takže kdo používá U3, ten si asi nebude chtít autorun.inf vypínat.

Neviem co je U3 ale to ma niekto problem spustit rucne to exe, ktore je uvedene v autorun.inf? Ja to robim u CD bezne, ak chcem vidiet co robi autorun, tak si pozriem co je v nom (Totalcommander - F3) a spustim si rucne co chcem, ale autorun v 99.9999% pripadov nechcem

Fleška s U3 se při vložení chová jako CD-ROM (read only medium s jednou aplikací), která se při vložení do USB automaticky spustí, zeptá se na heslo, namountuje další (předtím neviditelné) zašifrované medium a do traye hodí menu s nainstalovanými portable aplikacemi a softwarem pro správu.
Jasně že to jde všechno spustit i ručně - ale kdo by to dělal, když je to tak pohodlné.

Ja.
... ptz. autorun ma vzdy naserie do nepricetna a neda sa to povolit len pre U3.

A to já zas ne
Teoreticky s tebou souhlasím... Ani jsem U3 flešdisk nechtěl, připadalo mi to jako blbost.. ale lenost zvítězila.

A teba nestve ze ked do PC strcis nejake CD tak sa ti zacne kde-co automaticky spustat, pripadne dokonca instalovat () ako to ma vo zvyku autorun k podaktory dementnym CD k casopisom apod?

Zase pokud mate u3 tri disk, tak hned poznate, ze mate vira, protoze se vam prestane spoustet vase aplikace na kterou jste zvykli. :)

No - ona se spouštět nepřestane, protože se spouští z té "read-only" části, kam se vir zapsat nemůže.

MM> To mě samozřejmě dost štvalo, ale zjistil jsem, že už tak minimálně rok žádná CD ani DVD nepoužívám - dneska je nějak všechno onlajn.
Takže jediný okamžik, kdy se CD nebo DVD octne v šachtě je, když někomu něco vypalujeme.

Takže jediný okamžik, kdy se CD nebo DVD octne v šachtě je, když někomu něco vypalujeme.

Ja som na svojom NB s WinXP (vtedy este SP1) zistil ze ked strcim prazdne CD do mechaniky (pred vypalovanim) a mal som povoleny autorun a to dementne prehladavanie medii Windowsami, tak ostaval visiet proces explorer.exe (chudak asi prehladaval to prazdne CD donekonecna aj ked som ho uz vypalil a vytiahol z mechaniky ) - pri vypinani Win vybehlo okno ze ukoncuje sa explorer.exe a cakalo to kym ho neodstrelilo. Ked som vypol autorun (myslim ze staci vypnut v registroch alebo cez tweakui to debilne prehladavanie media) tak problem zmizol.

Teraz ma napadlo ze napr. niektore originalne AudioCD instalovali automaticky nejaky svoj dementny prehravac, prip. dokonca rootkit (sony) - to neviem ci automaticky ale asi ano, takze na zapnutie autorunu ma nikto nepresvedci
Ale ok, ako chces.

Prepacte, ze sa vam tu pletiem do konverzacie, ale minuly tyzden som si kupil novy mp3 prehravac Emgeton M6 Cult a po pripojeni k PC mi na nom NOD oznamil trojskeho kona Win32/PSW.QQRob, tiez v subore Autorun.inf. Moze sa jednat o tento pripadne podobny virus? Nechce sa mi verit, ze by tam bol uz od vyroby.

hih to vypada na kachnu soubor autorun.inf otevri v poznamkovem blokuci nejakem textaku pri vypnutem rez. stitu noda a okopci sem prosim obsah . pak si noda zase spust

To uz nebude mozne, vcera som totiz upgradoval firmware (neprehravalo sa mi korektne video). Pytal som sa len zo zaujimavosti.

skoda rad bych to videl co tam bylo za zlotrilost

Jo, takové věci se stávají..
http://www.lockergnome.com/nexus/windows/2005/09/02 /zen-neeon-mp3-player-infected-with-windows-worm/

zlatej sony rootkit na audio cd

ano moze tam byt aj od "vyroby", emgeton nie je nic slavne, podobne ako sony aj s ich virusmi...