Může být ctfmon.exe vir??

cs

jj tohle jsem si už pročítal..

ctfmon.exe je nejspíš nakažen virem, taky se mi to stalo ten virus se přenáší fleškou v adresáři recycled, dá se to zničit NODem.

jj to by bylo možný.. pač jednak se mi na flashce objevila složka recycled.. a taky jsem si tam nedávno přes ní natáh do pc vir

najdi si soubor C:\WINDOWS\system32\ctfmon.exe, má datum a čas stejný jako okolní soubory, t.j. stejně jako příslušný servicepack. pokud je nakažen virum, bude nejspíš jiný.
adresář recycled se na odpojitelných discích normálně neobjevuje, zkus prozkoumat obsah, klidně antivirem.

Ono si to na flashce vytvoří složku recycled a v ní je ten ctfmon.exe a pak to ještě do rootu hodí autorun.inf.
Takže když nemáte povolen autorun tak se dá z flase jenom vymazat, když už je někde v systému tak nevím, ale NOD ho umí vyléčit.

takže z tý flashky jsem to smáznul.. avast tam našel taky nějakýho červa.... a jdu ještě zkouknout ten ctfmon.exe

/edit.. ten ctfmon je stejně starej jako ostatní.. cca 2.3.2006

měls to na 100% :)
- na flashce se vytvořil adresář recycled - ten na vyjímatelných médiích nebývá
- v něm podezřelý .exe program
- na flashce se vytvořil autorun, "čistě náhodou" vedoucí do koše.

autorun se dá zakázat pro všechny média, což je v případě zavirovaných pc (vlastních či mých známých) jedině dobře. ostatně jak už tu kdosi psal - nikdo normální nemá autorun povolen:

; Vypnuti Autorun pro vsechny media
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

ale myslím, že bys měl ještě zabít automatické spouštění chorého ctfmon.exe a ty jeho zápisy na flashku, to nemusí nutně dělat 15kb ctfmon ale nějaký další program, i když v tom obrázku s výpisem nic jiného podezřelého než tento trojan nevidím.
píšou ti tam: "coolweb search ctfmon.exe parasite variant" - klasika, zase si samoadmin něco sám nainstaloval. vlez do nastavení internet exploreru - správa doplňků - zakaž všechny nablblé nástrojové lišty a vyhledávání, zvláště ty co se jmenují právě "coolweb search"
na odstranění všech výskytů vadného ctfmon.exe bude možná potřeba nouzový režim.

edit: odpovídám asi na nesprávného člověka, sorry, zapomněl jsem to opravit.

během dne jsem se nedostal pořádně k pc.. ale dal jsem noda v nouzovým režimu.. ale pustilo se mi to jako v komandlajně a na konci se to nejspíš vyplo pač jsem tam nic neviděl.... když jsem tedy potom pustil pc v normálním režimu.. zjistil jsem že mi začne nabýhat (trvalo to ještě dýl než předtím.. hlavně po zadání toho hesla než to skočilo na samotnou plochu.. ale to bych ještě oželel.. jenže pak se to zhruba po dvou minutkách seklo a nic jsem s tím už nedokázal udělat.. a tak jsem znova pustil pc v nouzáku a dal avasta... uvidím co to udělá.. zatím to nic nenašlo ale běží to sotva půl hodiny.. dal jsem důkladný test.. a nevíte někdo jestli když by to něco našlo se mě to dotazovalo.. a já bych musel něco zmáčknout aby to pokračovalo dále. jde mi o to jestli můžu nechat pc běžet celou noc a jenom ráno bych zkouknul co všechno to našlo.. a potom se rozhodl co dál dělat. nebo se to musí dělat u každý akce zvlášt

jinak v tom IE nic takovýho nemám..

v ie pro jistotu zakaž všechny doplňky (já to tipoval podle tvého obrázku, viz popis vpravo).

mohl bys vyjet seznam co ti běží v paměti?
start - spustit - cmd.exe [enter] příkaz: tasklist /svc
označit výpis myšem, enterem zkopírovat do schránky, ze schránky ctrl+v sem.

ještě by to chtělo výpis co je nastaveno pro automatické spouštění z registrů, aspoň export větve "run" pomocí 2 příkazů:

regedit /E c:\hlm_run.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
notepad c:\hlm_run.reg

zkopírovat do schránky, ze schránky sem.

no já jsem teĎ ve škole.. ale nevím jestli se dostanu do pc.. pač včera se mi po zapnutí a nalogování do win se mi to po chvíli seklo.. takže uvidím jak to bude dneska a pokusím se to sem dát.. k pc se dostanu až na večeru třeba kolem 7

takže tady je ten výpis z těch registrů...

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"a vast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe "
"Logitech Utility"="Logi_MwX.Exe"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"
"mouseElf"="C:\\PROGRA~1\\TWINTO~1\\Mouse Elf.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run\OptionalComponents]

[HKEY _LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run\OptionalComponents\MAPI]
"Installe d"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run\OptionalCompo nents\MSFS]
"Installed"="1"

a za druhé mě se nepodařilo spustit ten tasklist je to správně napsané???

teď jsem to projížděl hijackthis a podle netu to nic nenašlo všechno bylo bezpečné

v "run" nic podezřelého.
příkazy C:\WINDOWS\system32\tasklist.exe a taskkill.exe jsou součástí jen xp profi, v home chybí, jak jsem si dnes všim, ale jdou z profi dokopírovat.

druhá možnost je použít pslist z balíku utilit PsTools:
ve správci souborů někam rozbalit stažený PsTools.zip, vlést do té složky a v příkazovém řádku [cmd.exe] spustit:
pslist.exe -s 8
výpis označit a sem zkopírovat.

taky pro tebe můžou být užitečné jejich další nástroje:
AutoRuns - zobrazuje přehledně co se spouští po startu, jde zatrhnout jen co se má příště spustit. výpis podobných informací, snad ještě podrobnější, dělá ten hijackthis.
Process Explorer - sleduje běžící procesy; něčím podobným zabíjím nežádoucí spyware/viry/atd.
Process Monitor - pro číhání na podezřelé aktivity
... a další

rad pouzivam tieto nastroje bohuzial, proti sucasnym nakazam ich nie je mozne realne pouzit, pokial kod uz bezi, samozrejme to iste plati aj o "zazracnych nastrojoch" ako SAS, hijackthis a pod., poslednu skusenost mam z vykendu, binarka svthost.exe, nakaza klasifikovana rozne napr. Backdoor.SdBot a pod.

neaktualizovany NOD a Kaspersky instalovane po nakaze si ani netukli, po aktualizacii, NOD detekoval iba nevyziadane zmeny v subore hosts ale dalej nebol nic schopny urobit, Kaspersky ho uspesne odstranil

samozrejme ziadny z nastrojova ako SAS, hijackthis a pod nic nedetekoval, co sa dalo ocakavat a podotykam, ze sa vobec nejedna o ojedinelu vec, skor je to uz bezne

ak niekto chce testovat, binarku mozem poskytnut, nedoporucujem vsak spustat inac ako vo virtualnej masine prip. sandboxe

Je nějaký reálně použitelný sandbox na win, pro, jak bych to řekl, ne zrovna fabriku o 100 000 lidech?Spíš malá síť a zvědavější user. Mi přijde na mysl jen zastaralá Tiny (a potom co ji koupil ten moloch, je zcela nepoužitelná).

napr. Sandboxie, www.sandboxie.com

ten ne. je tak nějak naprd.

ja s nim problem nemam

nevím jak ostatním ale ten ps tools mi nešel stáhnout a přes googel jsem nic nenašel (možná jsem hledal blbě)..

a pokud už nic nepomůže začínám zálohovat nejdůležitější data a udělám format..

jinak včera mi spyware terminator našel nějakej keylogger.. že prej odesílá informace o mě co dělám nějaký třetí osobě..
ani avast nic nenašel.. nevím jaký program mám ještě používat .. jsem s tím docela v koncích jako laik

pslist i tasklist máš v processlist.zip
ale když už se někdo drbe s keyloggerem, bude ho chtít skrýt a tyto výpisy procesů nemusí stačit.

k zabránění úniku dat slouží obousměrný firewall (ne ten v xp). formát systému není bůhvíjakým lékem, není jasné odkud jsi ten spyware nebo co chytil a zda ho nebudeš mít brzy nainstalován zas.

cestou by mohlo být v cizím pc na tvém připojeném disku najít tyto podezřelé ctfmon.exe, smazat a nahradit je správnou verzí.
zvláště při podezření že jde o keylogger (rootkit) doporučuju číst třeba zde: http://www.grisoft.cz/faq.num-241?srch=rootkit#faq_ 241

edit: aha, už formátuješ. nevím jestli může pomoct instalace nějakého antirootkitu dříve, než tě zas něco podobného napadne.
já tyto anti- nástroje nemiluju, dávám přednost omezenému účtu ve win, a snažím se nestahovat a neinstalovat kdejakou blbost, ani na nic podobného neklikat v poště/im.
předpokládám že máš zvlášť systémový a datový disk, protože kdo si nechá nakazit pc jako admin, ten neformátuje naposled.

no při surfovaní na netu si davám pozor.. jestli jsem měl dvakrát vir za svou éru PC ale vždycky jsem se ho dokázal zbavit.. kdežto tohle jsem si přitáhnul z flashky.. a jelikož si nevypínám pc ale dávám ho jen do režimu spánku.. tak to restartuju třeba jednou za týden no tak on tam mohl být zalezlí třeba týden a projevilo se to až po restartu.. ale teD už s tím stejně nic neudělám.. doufám že se mi zas dlouho nic nepodaří natáhnout.. ale jinak ti děkuju za pomoc

když jsem odpoledne vymýšlel postup jak se takového svinstva zbavit, trochu jsem si počet a zkouknul nějaké flash videa zde: http://www.lodusweb.net/index.php?option=com_conten t&task=view&id=67&Itemid=71 (doporučuju shlédnout).
a hned mě to nadšení na jednoduché řešení zase přešlo.
s běžným spywarem takový potíž nebývá, to fak stačí najít a zabít třeba jednoduchým starterem.
pro kontrolu si ověř, že tvůj nový systém nemá povolen autorun z žádných zařízení; jak ostatně nikdo - že - nemívá nastaveno.
pro jednoduchost ať to nemusíš hledat, se to vypíná takto:

; Vypnuti Autorun pro vsechny media
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

(bezpečnější variantou je nemít furt admošský účet)

to je zvláštní mě se při startu také spuští ten ctfmon.exe ale na flash disku ktery puzivam nic jak recycler nebo co to bylo nemam ale system my naběhne během 20 sekund a přihlášení je spíše rychlejší než ly pomalejší :D

Je to zavirovaný jak prase a recycler (Koš)se normálně na flash discích NEOBJEVUJE, to je blud a kdo to píše, je trdlo...

Doporučuji ti stáhnout program na tvorbu HijackThis.Stáhnout můžeš zde.

http://www.trendsecure.com/portal/en-US/tools/secur ity_tools/hijackthis/download

A potom se obrátit na fórum www.viry.cz
Nedávno jsem ho využíval i já,protože jsem měl nechutně zavirovanej komp....A úspěšně mi poradili.Pokud máš ale nějakého trojana nebo červa, tak nepočítej s tím, že by ti to mohl nějakej antivir úspěšně odstranit.
Jestli tam opravdu něco máš,tak budeš potřebovat nástroje jako je SDfix a další.

Viz můj případ.
viewtopic.php

Pozri:
http://www.processlibrary.com/directory/files/ctfmo n

takže jsem to ničím nevyřešil.. a teď akorát formátuju a budu instalovat nový OS.. ale děkuji všem za snahu

//edit a do háje.. já si vůbec nevšimnul toho příspěvku nademnou.. sic nevím jestli by to pomohlo bo ne ale aspon za pokus to mohlo stát.. ale teď už je stejně pozdě

tak jsem teda kompletně zformátoval disk všechno nově nainstaloval.. a když jsem pustil spybot a schválně se podíval.. tak jsem zjistil že se to tam zase ukazuje u toho ctfmon.exe takže to nejspíš bude nějaká blbost kterou dělá spybot

možné to je - až na ten autorun předtím, "čistě náhodou" vedoucí do koše.

pro jistotu můžeš někde stáhnout nebo použít ve správci souborů nějaké počítátko checksum (md5), a uložit si kontrolní součty všeho co se automaticky spouští po startu (výpis viz msconfig.exe). stejné soubory můžeš nechat zkontrolovat na jiných pc.

no není bez těch spybotů (a bez trvalých administrátorských práv) líp?

no není bez těch spybotů (a bez trvalých administrátorských práv) líp?

asi je..

Téměř COKOLIV může být virus. Měl jsem virus watermark.exe,a ten nakazil soubory,z kterých se pak klonoval. Tento program by si měl "skartovat" pomocí AVG,a resetovat (reinstalovat) systém. Vymazat celý počítač (nejen C)-čili formátovat všechny disky,harddisky,flashky,dvd,cd a vše co si v celym životě použil.

prázdniny propukly plnou mentální silou.

Tohle nevypadá na prázdniny, alébrž na nějaké prostříhání se z klecového lůžka.

Aspon som sa dnes pobavil, musis proste znicit uplne vsetko co si kedy vzivote pouzil, vsetko na kopu a zapalit

Vsetci sice vieme co tym chcel povedat, ale mysliaci clovek si len vypne autorun a nespusta tentopocitac...