PDA

Visualizza versione completa : [XP PRO]eliminare file ctfmon.exe da avvio automatico...


cippico
11-03-2008, 10.22.51
sto installando xp su un pc...a parte driver antivirus winupd e configurazione rete non ho installato altro...

con startupcpl ad ogni avvio mi si rigenera il file in avvio...io lo tolgo e lui si rigenera in avvio...

qualcuno sa da cosa dipende e come posso eliminarlo definitivamente?

...una cosa...su win2000 il file non e´ presente...

grazie a tutti e ciaooo

borgata
11-03-2008, 11.02.10
ctfmon.exe è un servizio importante per l'input. Non mi pare il caso di disattivarlo... ma se vuoi nel primo link sotto è specificato come.

Leggi qui (http://support.microsoft.com/kb/282599/it) la KB microsoft, e visto che ci sei, dai n'occhiata a questo topic (http://www.pcsilenzioso.it/forum/showthread.php?t=2891) (altro forum, se non è consentito levate pure) in cui parla di un virus che si avvia con lo stesso nome.

cippico
11-03-2008, 18.32.42
ctfmon.exe è un servizio importante per l'input. Non mi pare il caso di disattivarlo... ma se vuoi nel primo link sotto è specificato come.

Leggi qui (http://support.microsoft.com/kb/282599/it) la KB microsoft, e visto che ci sei, dai n'occhiata a questo topic (http://www.pcsilenzioso.it/forum/showthread.php?t=2891) (altro forum, se non è consentito levate pure) in cui parla di un virus che si avvia con lo stesso nome.

lo ho anche su xp a casa ma non e' mai in uso...credo sia qualche servizio visto che non ho ancora messo mano a quella sezione...

faro' sapere man mano che procedo con installazione e configurazioni varie...

grazie e ciaooo

AMIGA
11-03-2008, 21.07.44
Il ctfmon.exe da 15k è di sistema quelli da 20k sono trojan,si tratta del solito virus da pen driver.

E' diventato un classico,si tratta di una infezione che si ha introducendo le Pen Driver o altra periferica infettata collegata alla USB (telefonini macchine fotografiche et...).
Viene creato e copiato su tutti i volumi presenti un file chiamato autorun.inf
Se si clicca un volume non sarà aperto,perchè sarà eseguito il contenuto dell'autorun.inf che si presenta così:

[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

In questo caso il file infetto è ctfmon.exe,stesso nome di quello del sistema,solo di grandezza diversa 20k,lo possiamo ritrovare in esecuzione automatica,nella root del sistema,e nei vari formati di backup.
Naturalmente i file sono nascosti ed hanno delle varianti,possono chiamarsi oltre a ctfmon.exe anche AdobeR.exe (da non confondere con Adobe Reader),copy.exe,devinfo.exe.
Dimenticavo di dire che l'infezione si trova nel Recycled del volume infettato,quindi attenzione perchè windows non ti farà mai vedere il contenuto reale di quel volume,ma ti farà vedere quello del sistema.

Per eliminare l'infezione,cercare e cancellare i files elencati,naturalmente dopo averli fatti mollare a windows con Unlocker o dal TaskManager. Cancellare i Recycled di tutti i volumi, eliminare le esecuzioni dal registro dei file citati sopra, con l'ausilio di HiJackThis o utility simili.

Purtroppo alcuni antivirus obsoleti ignorano questa infezione,vanno bene Nod32 e Antivir e qualche altro antivirus.

N.B.

Naturalmente devi scoprire i files nascosti altrimenti non vedi i file citati,otre a
spuntare l'opzione avanzata "cerca nei file e nelle cartelle nascoste" in "Cerca"

- Stumenti
- Opzione cartella
- Visualizzazione
- Spunta Visualizza cartelle e file nascosti
- Togli spunta su Nascondi file protetti di sistema
- Togli spunta su Nascondi le estensioni per i tipi di file conosciuti

cippico
12-03-2008, 11.22.13
domani controllo...credo sia il file di sistema...ma x sicurezza...

vi terro´ informati...

grazie e ciaooo

cippico
12-03-2008, 18.31.32
ho controllato e sembra essere ok...l'eseguibile e' quello da 15k a casa e al lavoro...

oltretutto ora non si ricarica piu' in avvio...

un grazie a tutti ;)

ciaooo