1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

ctfmon.exe esse vírus chato...

Discussão em 'Dúvidas e Suporte Técnico PC' iniciada por jorge_pereira, 1 de Fevereiro de 2008. (Respostas: 5; Visualizações: 6166)

  1. jorge_pereira

    jorge_pereira Power Member

    Boa tarde a todos.

    Estou meio sem saber o que fazer e como estou. Comecemos pelo início:

    De há poucas semanas para cá que a minha pen não podia abrir manualmente, ou seja, ir ao Meu Computador e abrir com duplo clique. Dava um erro. Pensei que fosse um problema da pen e nem liguei, pois bastava carregar no botão direito do rato e abrir para entrar na pen. Com esta pen, passei o setup do avast para o portátil da minha namorada, acabado de comprar e quando ela corre o antivirus pela primeira vez, aparecem o trojan ctfmon.exe e o vírus win32:VB-DYC numa pasta de nome recycled, que não existe, pelo menos à vista. Foi então que percebi que a minha pen teria vírus. Fiz uma pesquisa pela net sobre esse ctfmon.exe e descobri problemas idênticos ao meu. Formatei a pen de modo a limpá-la, mas penso, não tenho a certeza, que o meu computador ainda está infectado. No gestor de tarefas o ctfmon.exe ainda aparece. Fiz terminar a árvore deste processo, mas ele volta a aparecer...Procurei o ficheiro no computador e descobri-o na pasta win32, mas segundo as pesquisas que fiz este ficheiro não é vírus, pertence à microsoft e encontrei outro com esse nome (mais umas coisas e com extensão .pf)na pasta prefetch...Eliminei, mas ao reiniciar o pc volta a aparecer.

    Tudo isto começou com o portátil da minha irmã, no qual ela diz que tem um trojan de nome autorun.inf. Procurei-o no meu pc e tinha uns 5 com esse nome. Eliminei todos manualmente e não mais apareceram.

    Estou novamente a correr o antivírus (Avast) à procura de worms que andem no pc, mas não tenho a certeza se o antivírus encontra todos ou se os elimina todos, pois já o tinha corrido e o ctfmon.exe continua a aparecer na tal pasta. Queria ter a certeza que não estou infectado e qual a melhor maneira de apagar tudo isto no portátil da minha namorada.

    Ah! Tentei fazer restauro do sistema para uma data anterior e não consigo...Diz sempre que não é possível fazer para essa data...Já experimentei várias e não deu. Até em modo de segurança tentei, mas não funcionou. Pode ter a ver com isso?

    Desde já, um obrigado a quem ajudar. Bom fim-de-semana
     
  2. jorge_pereira

    jorge_pereira Power Member

    Já agora, quais são os perigos desse trojan e vírus...
     
  3. rustyballzz

    rustyballzz Power Member

  4. Kamipt

    Kamipt Power Member

    Desactiva temporariamente o restauro do sistema, instala e corre o hijackthis (www.hijackthis.de) e fazes scan com log, tenta analisar o resultado fazendo um paste no próprio site e analize.
    Existe um tópico no forúm de análise dos resultados no hijack, ou podes recorrer aqui ao forúm com um paste do resultado.

    Já tive um parecido e julgo que o removi com o antivir.
     
  5. GigaManiac

    GigaManiac Power Member

    Aconselho vivamente a experimentares o A-Squared também eporque pelo menos até agora nunca me falhou e já o vi a limpar carradas de spyware do meu Pc desde keyloggers até Worm's. Aqui vai o link directo para o download da versão 3.1 que é gratuita.

    http://download6.emsisoft.com/a2FreeSetup.exe

    Aconselho seriamente a todos que ainda não tenham protecção contra Spyware

    Cumps
     
    Última edição: 1 de Fevereiro de 2008
  6. jorge_pereira

    jorge_pereira Power Member

    Eu utilizo Spyware Doctor contra o Spyware. Aqui fica o log, para os mais entendidos:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:53:15, on 01-02-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programas\TGTSoft\StyleXP\StyleXPService.exe
    C:\Programas\Sygate\SPF\smc.exe
    C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programas\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programas\Ficheiros comuns\Roxio Shared\SharedCOM8\RoxWatch.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programas\Alwil Software\Avast4\ashWebSv.exe
    C:\Programas\Ficheiros comuns\Roxio Shared\SharedCOM8\RoxMediaDB.exe
    C:\windows\system\hpsysdrv.exe
    C:\WINDOWS\ALCXMNTR.EXE
    C:\Programas\Multimedia Card Reader\shwicon2k.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programas\Ficheiros comuns\Roxio Shared\SharedCOM8\RoxWatchTray.exe
    C:\Programas\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programas\Ficheiros comuns\InstallShield\UpdateService\issch.exe
    C:\Programas\Multimedia Keyboard Driver\PS2USBKbdDrv.exe
    C:\Programas\Spyware Doctor\swdoctor.exe
    C:\Programas\Ficheiros comuns\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
    C:\Programas\Messenger\msmsgs.exe
    C:\Programas\DreMule\emule.exe
    C:\Programas\Alwil Software\Avast4\ashSimpl.exe
    C:\Programas\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programas\MSN Messenger\usnsvc.exe
    C:\Programas\WinRAR\WinRAR.exe
    C:\DOCUME~1\Jorge\DEFINI~1\Temp\Rar$EX00.594\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pt/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/i_kat_207.php?lang=eng
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Ficheiros comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programas\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file)
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programas\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Programas\Ficheiros comuns\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [Sunkist2k] C:\Programas\Multimedia Card Reader\shwicon2k.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SCF.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programas\Ficheiros comuns\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programas\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHEI~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programas\Ficheiros comuns\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programas\Multimedia Keyboard Driver\StartAutorun.exe PS2USBKbdDrv.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\RunOnce: [Index Washer] C:\Programas\Webroot\Washer\WashIdx.exe "Jorge"
    O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programas\Spyware Doctor\swdoctor.exe" /Q
    O4 - HKCU\..\Run: [Window Washer] C:\Programas\Webroot\Washer\wwDisp.exe /startup
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programas\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [STYLEXP] C:\Programas\TGTSoft\StyleXP\StyleXP.exe -Hide
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programas\DreMule\emule.exe -AutoStart
    O4 - HKCU\..\RunOnce: [Index Washer] C:\Programas\Webroot\Washer\WashIdx.exe "Jorge"
    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
    O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - http://www.pixaco.pt/static/download/pixacodndupload.cab
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
    O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A7492D91-DE47-4736-9883-B448F185BCA8}: NameServer = 192.168.1.254
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHEI~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programas\Ficheiros comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programas\Ficheiros comuns\Roxio Shared\SharedCOM8\RoxLiveShare.exe
    O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programas\Ficheiros comuns\Roxio Shared\SharedCOM8\RoxMediaDB.exe
    O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programas\Ficheiros comuns\Roxio Shared\SharedCOM8\RoxWatch.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programas\Sygate\SPF\smc.exe
    O23 - Service: StyleXPService - Unknown owner - C:\Programas\TGTSoft\StyleXP\StyleXPService.exe
     

Partilhar esta Página