www.MegaLab.it

da jt » lun mar 10, 2008 10:16 am

Salve,
su una rete di pc, appare su alcuni all'avvio un messaggio con questo eseguibile: CTFMON.0XE

L'antivirus non lo rileva!
Come posso fare per eliminarlo da tutti i pc????

Grazie

da jt » lun mar 10, 2008 10:23 am

IL MESSAGGIO CHE DICE E': IMPOSSIBILE TROVARE IL FILE CTFMON.0XE.

TALE MESSAGGIO LO DA CON PROGRAMMI DIVERSI....

da **crazy.cat** » lun mar 10, 2008 12:02 pm

lancia msconfig e vedi se nei programmi in avvio automatico c'è questo file.

Controlla se nel tuo pc trovi altri file *.0* usa il cerca di windows per vedere se ci sono.

Poi vediamo anche un log della scansione di hijackthis.

da jt » lun mar 10, 2008 12:43 pm

Ciao,
- in msconfig il file CTFMON.EXE
- cercando tra i files CTFMON.0XE, me lo trova in \menu avvio\programmi\esecuzione automatica

Sto facendo ancora delle scansioni ad alcuni pc e stavolta me li rileva come virus!!!

da **crazy.cat** » lun mar 10, 2008 1:36 pm

jt ha scritto:- cercando tra i files CTFMON.0XE, me lo trova in \menu avvio\programmi\esecuzione automatica

Cancellalo, usa unlocker o killbox se hai problemi.
Oppure rimuovi semplice la voce dall'esecuzione visto che ti dice che il file non c'è.

Vediamo il log di hijackthis, magari c'è anche dell'altro.

da jt » lun mar 10, 2008 5:46 pm

Ok grazie. Ti faro' sapere!

da **SkinDriver** » lun mar 10, 2008 7:49 pm

Dai un'occhiata al registro per vedere se hai qualche schifezza all'avvio.
E magari fai anche una scansione con Spybot, preferibilmente in modalità provvisoria.

da jt » mer mar 12, 2008 10:05 am

ECCO COSA HA TROVATO CON hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10.06.42, on 12/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\NETSUP~1\client32.exe
C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure\Common\FSMA32.EXE
C:\Programmi\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure\Common\FSMB32.EXE
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\F-Secure\Common\FCH32.EXE
C:\Programmi\F-Secure\Common\FAMEH32.EXE
C:\Programmi\F-Secure\Anti-Virus\fsqh.exe
C:\Programmi\F-Secure\Common\FNRB32.EXE
C:\Programmi\F-Secure\Anti-Virus\fssm32.exe
C:\Programmi\F-Secure\FSAUA\program\fsaua.exe
C:\Programmi\F-Secure\Common\FIH32.EXE
C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
C:\Programmi\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Advanced Desktop Shield\desksaver.exe
C:\Programmi\F-Secure\Common\FSM32.EXE
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\F-Secure\FSGUI\fsguidll.exe
C:\Programmi\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Documents and Settings\administrator\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [00DSKSVR01] C:\Programmi\Advanced Desktop Shield\desksaver.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [00DSKSVR00] "C:\Programmi\Advanced Desktop Shield\desksaver.exe" saskda
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\f-secure\fsps\program\fslsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 9072256767
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = NOMEDOMINIO.it
O17 - HKLM\Software\..\Telephony: DomainName = NOMEDOMINIO.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{27E03AD9-EDDC-4409-97BE-16A31366C7B8}: NameServer = 192.70.152.15,10.10.10.6
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = NOMEDOMINIO.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{27E03AD9-EDDC-4409-97BE-16A31366C7B8}: NameServer = 192.70.152.15,10.10.10.6
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = NOMEDOMINIO.it
O17 - HKLM\System\CS2\Services\Tcpip\..\{27E03AD9-EDDC-4409-97BE-16A31366C7B8}: NameServer = 192.70.152.15,10.10.10.6
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Client32 - NetSupport Ltd - C:\PROGRA~1\NETSUP~1\client32.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programmi\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programmi\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

COSA DEVO FARE? E' QUA IL PROBEMA DEL CTFMON.EXE ?? GRAZIE

da **Fred** » mer mar 12, 2008 2:09 pm

Sconosciuto
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = NOMEDOMINIO.it

Sconosciuto
O17 - HKLM\Software\..\Telephony: DomainName = NOMEDOMINIO.it

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = NOMEDOMINIO.it

Questi non mi convincono ma non dovrebberi influire su quel processo...

da **Fred** » mer mar 12, 2008 2:11 pm

http://www.virustotal.com/it/
prova a postarequi il file

da jt » gio mar 20, 2008 4:44 pm

Ciao ragazzi, il problema si è fatto piu' incasinato del previsto. Pertanto si è deciso di formattare i pc e reinstallare. Grazie comunque per il supporto.

da **Fred** » gio mar 20, 2008 7:03 pm

Ok, se hai perso ogni speranza, buona formattazione!

www.MegaLab.it

CTFMON.0XE

CTFMON.0XE

REPORT

Chi c’è in linea