maledetto CTFMON32!

[EmoArt]

Da un pò di tempo mi sono accorto che ho un trojan nel pc, scovato con Spybot e Ccleaner, infatti il file citato nel titolo riappare sempre all'avvio, ho provato a rimuoverlo ma niente da fare rispunta sempre! Ho fatto diverse scansioni con Avast! e AdAware ma niente da fare, nemmeno lo trovano

Devi usare programmi appositi per rimuovere questo "virus" cerca su google il nome del virus

Cerca il percorso specifico del file e avvia una Live di Ubuntu per rimuoverlo manualmente...

hai provato a rimuoverlo da Modalità Provvisoria?


ciao

CTFMON32 è un demone di wondows, non devi cancellarlo. Spesso però viene infettato da virus, quindi occhio

[versionilatino]

Io ho un processo sempre attivo che si chiama ctfmon.

[alemoppo]

Io avevo quel virus: è fastidiosissimo! Infatti si infettava nelle chiavette e quindi si infettavano tutti i PC ... infatti infettava anche l'autorun.

Io, ti consiglio avira, infatti secondo me è il migliore per quel virus

Ciao!

Io ho un processo sempre attivo che si chiama ctfmon.

Prova a terminarlo da taskmanager
e capirai!!!

Non diffondete notizie sbagliate, spesse volte vengono agganciate porzioni di codice maligno a software sano.
Ctfmon non è un virus, ma può essere infettato dato che è un processo critico di windows.

ps passate a linux bye

Infatti, svacant, io ho detto di terminarlo da taskmanager

ps passate a linux bye

ve lo consiglio anche io

[versionilatino]

Se lo termino da task manager cosa succede?

O windows si ferma e procede all'arresto del sistema mostrandoti una finestrella simile a quando digiti shutdown -s o non te lo fà terminare
Avanti... cosa aspetti?
Prova!!!

EDIT:
Ah dimenticavo...
OPPURE NON SUCCEDE NIETNTE!!!

[alemoppo]

Non diffondete notizie sbagliate, spesse volte vengono agganciate porzioni di codice maligno a software sano.
Ctfmon non è un virus, ma può essere infettato dato che è un processo critico di windows.

ps passate a linux bye

Sapete cos'é un Trojan ????

Un trojan o trojan horse (dall'inglese per Cavallo di Troia), è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.

Quindi è un programma utile, ma modificato

Ciao!

p.s. ripeto che io ho risolto con avira

[angolodicielo]

Per CTFMON32, presunto virus, ti conviene seguire il consiglio relativo a un tool di rimozione.

Su CTFMON.exe, servizio di Widows, o meglio di Office
(anche se uno spesso se lo ritrova nel sistema pur non avendo Office installato;
probabilmente è un servizio di windows che è funzionale (ma non necessario) a Office,
Si può agevolmente disabilitare-disattivare con:

XPAntispy
SpyBOT
TuneUp utilities
O software analoghi.

In particolare, su XP Pro, la soluzione più efficace è:

Start>esegui e digita: secpol.msc /s
Vai su "Criteri di restrizione software">"Regole Aggiuntive">Tasto destro del mouse>"Nuova regola hash">sfoglia

Individua il file che vuoi bloccare, nella fattispecie ctfmon.exe di solito in system32

e dagli come impostazione nega o vieta; non ricordo la dicitura precisa

In questo modo, il file in questione non potrà caricarsi.
La procedura è valida per qualsiasi software ed è reversibile.
In teoria, anche per i virus (ammesso che si sia individuata la reale sorgente
del virus, e ammesso che si tratti di un virus, che non è stato programmato
con contromisure relative). Del resto dei virus più sofisticati (o degli spyware),
è difficile trovare la vera sorgente.
Esiste anche un potente retrovirus, in rete, che si sostituisce a un file che ordinariamente si carica all'avvio;
in pratica, si spaccia per un software affidabilissimo...


A quanto mi risulta, questa procedura di blocco, non funziona sulla Home edition.


P.S.
Nel log di windows, vedrai sempre l'avviso in giallo, del file in questione,
che tenta di caricarsi, senza riuscirci...


P.S.2

Ovviamente, devi avere privilegi amministrativi.

[EmoArt]

Questo è quello che ho trovato su CTFMON32: http://www.processlibrary.com/it/dir...iles/ctfmon32/ ripeto che l'ho trovato usando spybot ma lo stesso non riesce ad eliminarlo o almeno in parte, infatti al riavvio del sistema riappare e non è da confondere con CTFMON che è un file del office stesso, infatti mene vengono segnalati circa 4, tre malevoli con riferimento ad un sito web ed uno "buono" riferito ad office. Stò facendo delle prove con i vari procedimenti che mi avete consigliato, riposterò appena fatto tutto.

[angolodicielo]

Se si tratta di un virus-spyware (non so quale antivirus tu abbia nel sistema)
potresti fare ad es. delle scansioni online (gratis)

con
Ewido (oggi acquisito da AVG)

e se con Ewido non risolvi, con il Panda...
oppure con il Kaspersky

Anche se Panda e Kaspersky online non rimuovono (ma individuano),
salva il log; una volta individuata la reale sorgente,
puoi agevolmente eliminarlo con l'unlocker...

Però, prima di procedere alla rimozione manuale,
dopo la scansione con Panda o Kaspersky,
verifica (specie con Kaspersky), che non ci
sia un tool specifico per la rimozione (che è sempre preferibile),
messo a disposizione dalla stessa Kaspersky.



P.S. se ho capito bene hai l'Avast...
l'Avast fa degli ottimi RX...
ma Panda e Kaspersky, fanno TAC e Risonanze Magnetiche...

[EmoArt]

Se si tratta di un virus-spyware (non so quale antivirus tu abbia nel sistema)
potresti fare ad es. delle scansioni online (gratis)

con
Ewido (oggi acquisito da AVG)

e se con Ewido non risolvi, con il Panda...
oppure con il Kaspersky

Anche se Panda e Kaspersky online non rimuovono (ma individuano),
salva il log; una volta individuata la reale sorgente,
puoi agevolmente eliminarlo con l'unlocker...

Però, prima di procedere alla rimozione manuale,
dopo la scansione con Panda o Kaspersky,
verifica (specie con Kaspersky), che non ci
sia un tool specifico per la rimozione (che è sempre preferibile),
messo a disposizione dalla stessa Kaspersky.



P.S. se ho capito bene hai l'Avast...
l'Avast fa degli ottimi RX...
ma Panda e Kaspersky, fanno TAC e Risonanze Magnetiche...

per il momento come scansioni online ho usato solo Norton, stranamente non lo riconosce, proverò con quelli che hai citato tu. Ho da poco finito di scansionare con Avira personal trova due errori che me li segnala nella scritta Warning ma non li cancella ne tanto meno mi dà dei dettagli sui file di riferimento

[angolodicielo]

Gli "errori" che trova Avira, sono relativi al file in questione???
Se no, se Panda e Kaspersky, dovessero confermare il responso
del Norton, potrebbe trattarsi di un "falso positivo" dell'Avast.
In ogni caso, sia Panda che Kaspersky, non si limitano
a segnalarti i virus e i malware in genere, ma anche i file sospetti,
cioè possibili virus, non ancora identificati...
Salva i log...

[EmoArt]

tra un pò testo con Panda o Kaspersky, questi sono i dettagli che mi RIdà spybot S&D

Nome file corrente:C:\WINDOWS\system32\ctfmon.exe

Status database: Non necessario: virus, spyware, malware o altro spreco di risorse
Valore: ctfmon.exe
Nome file: ctfmon32.exe

Descrizione
Correlato al parassita _CoolWebSearch_, che reindirizza su Slawsearch.com

Fonte: Elenco esecuzioni automatiche di Paul Collins

per il momento il problema riappare

[angolodicielo]

Se quella relativa allo spybot, è l'unica segnalazione che hai in merito,
si tratta di un falso postivo. Quello è il ctfmon di Microsoft (invasivo se vuoi, ma certamente non è un virus).
Le segnalazioni dello spybot, non sono sempre affidabili...
Per conferma, fai le scansioni suggerite.

Per bloccarlo:

Spybot>utilità>esecuzione automatica

e deseleziona la voce relativa

Se lo spybot non riesce a bloccarlo (cosa che a volte accade), e hai XP Pro,
usa la procedura sopra suggerita.


Se hai la Home, puoi tentare con XPantispy (gratis)
oppure con le TuneUp utilities (pagamento).

O con qualsiasi altro software che blocca i programmi in avvio...
(davvero).

Come ultima spiaggia, puoi anche controllare da registro:



CONTROLLARE I FILE DI AVVIO

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunEx
[RELATIVAMENTE AL SISTEMA]


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
[RELATIVAMENTE ALL'UTENTE CORRENTE]



Se metti mano al registro, prima crea un punto di ripristino, poi fai un'esportazione manuale completa, e dopo metti mano.

[EmoArt]

ho fatto tutti i controlli con i relativi antivirus citati (in tutto 4!) nessuno mi ha rilevato software malevoli (a parte qualche cookie spia) quindi non cè da preocuparsi?

[angolodicielo]

Questo conferma che si tratta di un falso positivo dello spybot.
Il processo in questione non è un virus, nè un malware.
E' solo un processo invasivo, non maligno e non necessario.
Puoi lasciarlo, oppure bloccarlo secondo i suggerimenti suscritti.
A te la scelta.


P.S.

Anche se lo blocchi, alcuni aggiornamenti chiave di Windows,
potrebbero riabilitarlo. Nel qual caso, devi ripetere la procedura di blocco.
Ma questo accade in media, 1 volta l'anno...

[EmoArt]

ho risolto tutto, sono stato infettato da W32.bagle ed ho dovuto formattare il pc,quel virus è proprio difficile da toglierlo

[angolodicielo]

Se questo lo chiami risolvere...
Scusa, avevi un firewall o un colabrodo??
Avevi fatto le scansioni con almeno 4 antivirus
di rilievo...
Presumo che tu abbia un firewall "di rappresentanza"...


Dato che hai formattato, assicurati di installare un
Internet Security come si deve (quale che sia)...
e in ogni caso attenzione ai comportamenti "a rischio"...

[Viky]

per rimuovere ctfmon puoi usare questo softwarino

per rimuovere ctfmon puoi usare questo softwarino

E' brutto dire sotwarino... è come dire... cacofonico?
Meglio dire programmino o programmo o applicazione ...
tutto tranne softwario...

[EmoArt]

Se questo lo chiami risolvere...
Scusa, avevi un firewall o un colabrodo??
Avevi fatto le scansioni con almeno 4 antivirus
di rilievo...
Presumo che tu abbia un firewall "di rappresentanza"...

gli antivirus per quanto riguarda il CTFMON non lo trovano nemmeno, per il Bagle,(mi sono fatto ingannare da un file scaricato da Emule zippato, appena estratto non cè più stato nulla da fare l'antivirus mi ha segnalato quello che stava per succedere ma in pochi secondi non sono serviti più a nulla) le scansioni online, lo rimuovevano ma al riavvio ricompariva.

Dato che hai formattato, assicurati di installare un
Internet Security come si deve (quale che sia)...
e in ogni caso attenzione ai comportamenti "a rischio"...

L'unico errore è stato proprio il comportamento a rischio

Tanto per dirne una io Bagle quando lo presi lo tolsi con
questa quida:
http://www.hwupgrade.it/forum/showthread.php?t=1562611
dove diceva di scaricare Beagled un programma fatto a posta per rimuovere bagle...
mi bastò cercare il nome del virus sul mio pc andare su google e scrivere "rimuovere Bagle"
e ci sono riuscito...

provai e riprovai a cancellare i file sospetti (srosa.sys) con ubuntu ma NIENTE...
che poi ho dovuto formattare tutto a causa dei casini fatti alle chiavi di registro va beh...

CONSIGLIO:
State molto attenti quando andate su e-mule... è li che si trova Bagle ;)
Bagle rimuove tutti gli antivirus e software di sicurezza (te li distrugge, forse elimina qualchè riga dei .exe) e non li fa avviare
poi ti incasina il registro di sistema...

[EmoArt]

aggiungo che i tool delle varie case antivirus, tipo Symantec o quello di Avast stesso (Avast visus cleaner) a quel virus non gli fanno un bel niente sono totalmente inutili

[angolodicielo]

Ma a quale virus ti riferisci??

Il ctfmon.exe non è un virus.
E' solo un modulo (invasivo) di microsoft, che si può bloccare
in diversi modi già qui descritti.

Diverso è il caso di un ctfmon.exe infettato,
o più probabilmente, di un virus che si spaccia
per ctfmon.exe.
Attenzione a non fare confusione.


Anche un modulo della adobe, relativo al caricamento
del Reader, è altrettanto invasivo... e non è un virus...

Ormai, qualsiasi cosa si installi, include sempre un modulo o un'estensione
che si carica all'avvio...
Ecco perchè un buon Internet Security (di serie e/o composto),
ti deve sempre chiedere l'autorizzazione, prima di consentire l'inserimento di un modulo
in avvio automatico (che è diverso da "Esecuzione automatica" anche se in parte coincide, ma solo in parte).
O almeno, avere un software, con cui si possa verificare rapidamente,
se c'è un nuovo modulo in avvio, con possibilità di disattivarlo o eliminarlo...
(dall'avvio automatico).