| Precedente :: Successivo |
| Autore |
Messaggio |
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
 Inviato: 22 Ago 2008 16:21 Oggetto: Possibile Infezione da CTFMON.EXE |
 |
|
Ciao a tutti,
ero dentro Windows XP per risolvere dei problemini secondari quando ho scoperto che forse ho qualche infezione. L'HD è ha 4 partizioni. In C (Fat32) ho RECYCLED (non vuota), in D (NTFS) nulla, in E (Fat32) ho RECYCLED e RECYCLER (apparentemente vuote), in F (NTFS) non ho nulla.
Piochè ho messo cartelle e file si sistema nascosti, la cartella RECYCLER non la dovrei vedere...
Controllando i files in esecuzione nel task manager ho scoperto che io ho il file ctfmon.exe nelle cartelle tipo cestino Recycled e Recycler (Recycler ce l'ha anche Windows) che sono di un trojan.
Con Avenger ho cercato di cancellare con uno script le cartelle, e il file ivi contenuto. Il file l'ho cancellato e anche le cartelle (come dal report di Avenger) ma al riavvio ci sono ancora, però il file no.
Ho rinominato il file ctfmon.exe che c'è in system32 e in cache.
Adesso all'avvio di Win ritrovo ancora il CTFMON.exe in esecuzione e anche in System32 e Cache, allora l'ho disattivato e li ho cancellati tutti, anche quello rinominato. Infatti ho notato che se cancellavo solo quello col nome giusto mi si riformava quasi subito. Mi ha chiesto il disco di win ma ho rifiutato.
Il notebook sembra che funzioni.
Ora, abilitando la visione dei file e cartelle, in C vedo Recycled (come cartella normale) ma non Recycler.
In D vedo Recycler (semitrasparente). In E vedo Recycled e Recycler (come cartella normale). In F vedo Recycler (semitrasparente).
Vi ho riportato tutto quello che mi sembra possa essere utile, aspetto qualche consiglio per ammazzare anche questo.
Leo
 |
|
| Top |
|
 |
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
| Inviato: 22 Ago 2008 16:51 Oggetto: |
|
|
Allora, dopo tutti sti movimenti, ho riavviato e CTFMON.EXE in esecuzione non c'è, e neanche in system32 e in cache.
Ora come faccio a cancellare le cartelle che non sono il cestino? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Ago 2008 18:03 Oggetto: |
|
|
| ctfmon.exe ha scritto: | Che cos'è il file Ctfmon.exe (ctfmon)?
Ctfmon.exe attiva il processore per l'input di testo (TIP, Text Input Processor) di Input alternativo utente e la barra della lingua di Microsoft Office.
Quali sono le funzioni del file Ctfmon.exe?
Ctfmon.exe controlla le finestre attive e fornisce il supporto per il servizio di input del testo per il riconoscimento vocale, il riconoscimento della grafia, la tastiera, la traduzione e altre tecnologie di input alternativo dell'utente.
È possibile rimuovere il file Ctfmon.exe?
La rimozione di Ctfmon.exe può causare problemi di funzionamento dei programmi di Office XP, pertanto si sconsiglia di rimuoverlo. |
Perché vuoi forzare la cancellazione di quelle cartelle che si ricreano in automatico? (senza prima sapere se servono o meno?).
Fai queste operazioni:
- Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzioni di questo topic per eseguire combofix.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
|
|
| Top |
|
|
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
| Inviato: 22 Ago 2008 23:27 Oggetto: |
|
|
Ho fatto quello che mi hai chiesto:
ho lanciato ATF-Cleaner e CCleaner
ComboFix
HJT
MBAM
Resto in attesa. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 23 Ago 2008 09:08 Oggetto: |
|
|
- Disabilita il tuo antivirus
- Collegati a BitDefender (con IE) e fai la scansione completa.
- Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato TXT), carica il file su WikiSend e posta qui il Forum Link che ti viene assegnato.
Infine, fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
| Inviato: 23 Ago 2008 14:42 Oggetto: |
|
|
Io con questi server ci litigo proprio...
Pensavo che ci veniva direttamente l'indirizzo per scaricare i files log., invece mmi,i ci sono venuti solo i no comunque cliccandoci sopra si aprono i links.
Adesso farò quello che mi hai chiesto. |
|
| Top |
|
|
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
| Inviato: 23 Ago 2008 22:14 Oggetto: |
|
|
SystemScan
http://wikisend.com/download/831346/23_08_2008_22_02_report_SystemScan.txt
Kaspersky
http://wikisend.com/download/538082/Report_Kaspersky_23082008.txt |
|
| Top |
|
|
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
| Inviato: 23 Ago 2008 22:16 Oggetto: |
|
|
| Inoltre bitdefender ha fatto la scansione ma nel file htm non ha salvato nulla, come già è successo un'altra volta. |
|
| Top |
|
|
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
| Inviato: 27 Ago 2008 15:16 Oggetto: |
|
|
| Nessuno mi dà una mano? |
|
| Top |
|
|
flyngvfactor87
Dio maturo
Registrato: 12/03/08 14:11
Messaggi: 7030
Residenza: Casa mia
|
| Inviato: 27 Ago 2008 15:52 Oggetto: |
|
|
Sii paziente...appena Bdoriano o Sante torneranno ti sapranno dare sicuramente una mano... 
 |
|
| Top |
|
|
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
| Inviato: 27 Ago 2008 19:35 Oggetto: |
|
|
Ok, aspetterò
ciao
|
|
| Top |
|
|
baciami
Semidio
Registrato: 02/09/07 15:40
Messaggi: 287
Residenza: toscana
|
| Inviato: 27 Ago 2008 19:58 Oggetto: |
|
|
| ciao kaspersky ti ha trovato 5/6 troiai..nel frattempo ti consiglio di eliminarli manualmente |
|
| Top |
|
|
leodis
Eroe in grazia degli dei
Registrato: 21/07/08 20:46
Messaggi: 155
|
| Inviato: 27 Ago 2008 22:49 Oggetto: |
|
|
| Fatto |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 28 Ago 2008 09:58 Oggetto: |
 |
|
Chiedo scusa, mi ero proprio dimenticato di te... 
Andiamo a vedere i 5/6 troiai rilevati da Kaspersky...
D:\Downloads\installer-6390-34-Xilisoft-3GP-Video-Converter-3-1-Italian.exe Infected: not-a-virus:AdWare.Win32.FakeInstaller.e
D:\FU-Setup_LE.exe Infected: not-a-virus:AdWare.Win32.Rabio.dk
AdWare = software pubblicitario (advertising software)
Installando i 2 programmi sopra indicati, viene anche installato un software pubblicitario. Poco pericoloso ma molto fastidioso.
D:\Outlook Express\Posta\Posta eliminata.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen
D:\Outlook Express\Posta\SPAM.dbx Infected: Trojan-Downloader.Win32.Agent.lyg
In questo caso, vengono segnalati dei messaggi di Outlook Express contenenti virus. Per eliminarli, si entra in Outlook Express e si cancellano i messaggi incriminati dalle cartelle segnalate (Posta eliminata e SPAM).
La cancellazione diretta dei files, cancella tutti i messaggi delle cartelle segnalate.
E:\produkey.zip Infected: not-a-virus:PSWTool.Win32.ProductKey.aa
Questo è un tool della NirSoft per recuperare il codice delle proprie installazioni MS (Windows/Office/SQL Server/etc...).
Non è da considerare un virus/trojan, quanto un tool che, se usato male, potrebbe favorire la pirateria.
E:\E-Mule\Incoming\Stellar Phoenix Windows Data Recovery 3.0.0.1 (Key Serial)(1) Updated-Fixed 01-2008.zip Infected: P2P-Worm.Win32.Kapucen.b
Questo è propriamente un virus. 
Ho controllato il log di SystemScan e non vedo evidenziati virus o simili.
C'è un rimasuglio di una precedente infezione che andiamo a eliminare:
Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca Ok
Inserisci queste righe nel riquadro bianco:
| Codice: | Drivers to delete:
pnicml
Files to delete:
C:\DOCUME~1\Kayne\IMPOST~1\Temp\pnicml.sys |
Clicca su Execute
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
Per il resto, di applicazioni ne hai veramente parecchie. Immagino tu sia uno sviluppatore di applicazioni web/standalone.
Consiglio la disinstallazione/disabilitazione di:
- Lavasoft Ad-Aware.
Tool che, secondo me, ha fatto il suo tempo.
- StyleXP.
Non è necessario per il corretto funzionamento di Windows.
- jusched (Java Update Scheduler).
Serve a verificare la presenza di nuove versioni di Java. E' consigliabile disabilitarlo dall'avvio automatico e fare la verifica "a mano" quando serve.
- Prodotti Norton.
Ho una naturale idiosincrasia per i prodotti Symantec. Li trovo particolarmente invasivi e "onerosi" in termini di risorse del pc.
C'è sicuramente di meglio per fare le stesse cose.
Peccato perché i prodotti di Peter Norton (Norton Utilities, per esempio), ai vecchi tempi, erano dei veri gioiellini.
Dimenticavo: quest'altra discussione si riferisce allo stesso PC? |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
