Problem z wirusem (ctfmon.exe)

[Guli17 13]

Jak na screnie

Objawy tego wirusa są takie, że np. nie działa mi wogóle opcja "burn" w kompie :|

Nie moge nagrywać plyt przez nero, zmieniałem nagrywarke i to samo,aa na płyte Sony ostatnio udało mi sie coś nagrać ale na inne już nie...

Myśle,ze to przez tego wirusa, aa i jeszcze jak wchodze w dysk typu "rózne" "gry" lewym myszy to mi nie wchodzi, musze brać PPM > "otwórz"

Wiem, że format na pewno pomoze (i tak zrobie jutro) ale da sie usunąć "bez boleśnie" jakoś tego wirusa ? bo zauwazylem ze moj kolega tez ma takiego wirusa a u mnie on już jest 2gi raz w przeciągu ~3 mies... Avasta (pro) mam cały czas włączonego, rzadko wyłączam, niestety wirus sie wkradł na hdd i teraz nie moge go usunąć ;/ help ;/

 

p.s

Tak sobie myślałem, że ten proces "ctfmon.exe" to chyba systemowy ? dlatego aVast nie chce mi usunąć tego wira ? bo plik ciągle jest w uzyciu ?

Tak ja sobie to wyobrażam

[John Sharkrat 0]

wywal go w trybie awaryjnym. To nie jest plik systemowy. Zobacz w jakim katalogu się znajduje

[Guli17 13]

jak zobaczyc w "jakim katalogu sie znajduje" ?

p.s

tak mi sie wydawalo ze systemowy bo chyba odkąd pamietam zawsze jak bralem alt ctrl delete to on był tam w procesach hm? sam juz nie wiem..

w trybie awaryjnym - probowalem i sie nie dalo

[John Sharkrat 0]

przecież jak wół jest napisane c:\recycled\recycled

[Guli17 13]

sry john, jestem lekko wstawiony i nie zrozumialem Cie po prostu..

 

P.s

nie ma takiego katalogu

c:\recycled\recycled

(mam zaznaczone "pokaz ukryte foldery") i nic ? hm

[John Sharkrat 0]

ustaw avasta aby przeskanował kompa przed startem systemu. Wcześniej aktualizuj program

[Guli17 13]

john robilem tak jak mowisz tylko ze w normalnym trybie - da sie wlaczyc to skanowanie przed zaladowaniem windowsa w trybie AW?

[John Sharkrat 0]

obojętnie w jakim trybie.

[basu 0]

Zaktualizuj, ustaw zeby przed startem systemu skanowal, wyłącz komputer, włącz i vuala!

[John Sharkrat 0]

tak

[Guli17 13]

ustawilem zeby skanowal sie normalnie przed winem, znalazlo wira niby go usunalem ale on dalej jest;/ dzis wieczorem zrobie format (tylko systemu) mam nadzieje ze sie usunie ten wirus :[

[Guli17 13]

Dupa byłem u kolegi na chwile z dyskiem i skopiował mu sie ten wirus i też nie moze usunac go podczas tego skanowania (zanim sie win wlaczy)

albo avast ssie albo jakis dziwny wirus-ja robie dzis format C jak nie pomoże to zmieniam antywirusa

[Galvatron 193]

Przejedź dysk ComboFix'em.

[Guli17 13]

noo nareszcie ktoś kto sie zna na rzeczy!

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Autorun.inf

c:\recycled\Recycled

c:\recycled\Recycled\ctfmon.exe

D:\Autorun.inf

E:\Autorun.inf

Dzięki Galvatron oszczędziłeś mi ~Ok. 10h "pracy"przy kilku kompach (ten wirus ma z 5moich znajomych + ja)

 

pdzr.

[John Sharkrat 0]

przenosisz go na pendrive.

[Hellhound47 0]

przenosisz go na pendrive.

 

W tym cały jest ambaras, że ten wirus może się nazywać jak chce a właśnie jest na każdej pamięci przenośnej której używałeś podczas zarażenia.

[Guli17 13]

John ze co ?

[royalmichael 0]

A ja też mam taki proces cftmon.exe i po wcisnieciu ctrl alt dlt jest pod nazwa uzytkownika "michal" czyli nie systemowy.. dziwne bo Kaspersky/Spyware Doctor/hijackthis mi nigdy nie uznal tego procesu jako zagrozenia a w internecie znalazłem coś takiego: http://www.processlibrary.com/directory/files/cftmon

Więc jak mam virusa?

[Hellhound47 0]

A ja też mam taki proces cftmon.exe i po wcisnieciu ctrl alt dlt jest pod nazwa uzytkownika "michal" czyli nie systemowy.. dziwne bo Kaspersky/Spyware Doctor/hijackthis mi nigdy nie uznal tego procesu jako zagrozenia a w internecie znalazłem coś takiego: http://www.processlibrary.com/directory/files/cftmon

Więc jak mam virusa?

Oh dobry Panie, o ile pamięć mnie nie myli to ten proces jest od jednego z modemów używanych z Neozdradą (sama nazwa pliku z wirusem nie ma nic do rzeczy w tym przypadku, więc all is dobrze ).

[ketsuchy 0]

witam mam podobny problem z wirusem ctfmon.exe. Przeniosłam go sobie na pendrivie (mój antywirus niby go usunął ale teraz mam go tez i na komputerze:/ skanowanie programem antywirusowym nie pomaga, gdyż mimo iż wykrywa wirusa to jednak po skasowaniu wiruso ponownie sie pojawia. Próbowałam skanowac tez Mks Virem ale sytuacja jest podobna, virus wykryta ale nie skasowany. Próbowałam przeskanować komputer również Combofix'em ale po ponownym uruchomieniu komputera problem pojawia się znowu- nie moge pozbyc sie tego wirusa ani z kompa, ani z pendriva chciałbym uniknąc formatowania kompa dlatego prosze o pomoc. Poniżej przesylam loga z HijackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:43:50, on 2009-11-30

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16386)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\System32\WLTRAY.EXE

C:\Windows\System32\mobsync.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\PC Tools AntiVirus\PCTAV.exe

C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

C:\programy\Winamp\winampa.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Nowe Gadu-Gadu\gg.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\Users\KASIA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCTAVApp] "C:\Program Files\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\programy\Winamp\winampa.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [ALLUpdate] "C:\programy\AllPlayer\ALLPlayer\ALLUpdate.exe" "sleep"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"

O4 - Startup: CCC.lnk = ?

O4 - Startup: ctfmon.exe

O4 - Global Startup: QuickSet.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE

O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 6043 bytes

[tehawanka 0]

Pobierz i uruchom OTL

Zaznacz opcje Scan All Users, LOP Check, Purity Check i kliknij Run Scan

Log umieść tutaj i podaj link.

[HoZar 227]

moja siostra tez miała raz rootkita na kompie, nie pamiętam co i w jakiej kolejności robiłem, ale robiłem to kilka razy i w końcu wywaliłem chama

combofix chodził na pewno

[ketsuchy 0]

treść OTL.exe znajduje się tu: http://wklej.org/id/220735/

natomiast nie jestem pewna czy mam tez zamieścić treść Extras.txt, ale na wszeliki wypadek zamieszczam tutaj: http://wklej.org/hash/f1bedc73b3/

[tehawanka 0]

Do okna Custom Scans/Fixes wklej:

:OTL
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O4 - Startup: C:\Users\KASIA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe (Microsoft Corporation)
O32 - AutoRun File - [2009-11-30 14:33:28 | 00,000,123 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-11-30 14:38:14 | 00,000,105 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-11-30 14:09:42 | 00,000,105 | RHS- | M] () - G:\autorun.inf -- [ FAT ]
O33 - MountPoints2\{f37991a9-d40b-11de-a1e7-001c238cb53f}\Shell\Open(&0)\command - "" = G:\Recycled\ctfmon.exe -- [2007-12-08 19:01:36 | 00,020,480 | RHS- | M] ()

:Files
C:\Recycled
D:\Recycled
G:\Recycled
C:\Users\KASIA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

:Commands
[emptytemp]
[Reboot]

Kliknij Run Fix i zatwierdź restart.

Pokaż nowy log Run Scan.

[ketsuchy 0]

Zrobiłam jak kazałeś

log znajduje sie tu: http://wklej.org/hash/2eed452303/