como borrar este Spyware??? (SOLUCIONADO)

tuber · Mensaje por **tuber** » 18 Sep 2007, 02:26

Buenas llevo dias que cada vez que abro el spybot y miro en inicio de sistema veo un archivo ~~[b]~~ctfmon32.exe[/b] que me dice que es un Spyware y por lo que he leido lo es, por lo que le doy a borrar pero a los dias cuando vuelvo a abrir el spybot esta ahi otra vez.

tengo desabilitada la opcion de restaurar sistema por lo que no entiendo por que vuelve y me gustaria saber como eliminarlo para siempre.

Ademas localizo otra entrada en incio de sistema que la tengo deshabilitada pero que no estoy seguro que es pues he buscado informacion y no encuentro nada claro se trata de

~~[b]~~HDAShcut.exe[/b]

si sabriais decirme algo sobre ella tambien me ayudaria mucho un saludo y gracias.

Mensaje por **msc hotline sat** » 18 Sep 2007, 03:35

El CTFMON.EXE es normalmente un fichero del OFfice si se tiene este instalado. En tal caso se ubica en C:\windows\system32 si se usa XP y es normal tenerlo, no debe eliminarse. En otro lugar, o si no tuviera el Office instalado, sí que sería sospechoso:

http://support.microsoft.com/kb/282599/es

y hay varios virus que utilizan dicho nombre para su gusano, pero normalmente lo ubican fuera de la carpeta de sistema, por ejemplo este lo copia en c:\windows\system\ , no en c:\windows\system32:

Virus.W32/Addsones=%Windir%\system\ctfmon.exe

Pero algunos, como el PWSteal.Raidys, y el Worm.W32/Naiba@SMB sobreescriben el bueno de la carpeta de sistema ocupando su lugar, por lo que lo mejor es arrancar en modo seguro con funciones de red y lanzar este AV ONLINE que si lo detecta , lo eliminará:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]

Y sobre el otro fichero, HDASHCUT.EXE, inicialmente responde a las siglas de :

High Definition Audio Property Page Shortcut

y no es ningun malware conocido, pero si lo fuera, con lo indicado anteriormente tambien sería eliminado:

http://www.liutilities.com/products/wintaskspro/processlibrary/hdashcut/

saludos

ms, 18-09-2007

tuber · Mensaje por **tuber** » 20 Sep 2007, 23:54

gracias no he tenido tiempo de conectarme hasta ahora, pero mañana os digo que tal a ido con tus consejos.

tuber · Mensaje por **tuber** » 23 Sep 2007, 13:57

Bueno he pasado el AV ONLINE aconsejado, me lanza el siguiente mensaje (Virus scan finished. No viruses found.)

Por lo que veo no detecta nada asi que despues de buscar mas informacion te dejo esto ya que como te digo ctfmon32.exe es un

~~[b]~~CoolWebSearch Spyware[/b] y aqui te dejo esta informacion:

~~[b]~~ctfmon.exe:[/b] es un proceso perteneciente a la suite Microsoft Office. Activa el procesador alternativo de entrada de texto del usuario (TIP)

Recomendación:

ctfmon.exe no deberia ser deshabilitado, es requerido para que aplicaciones esenciales trabajen correctamente. Se recomienda correr un Free Performance Scan para optimizar automaticamente la memoria, CPU y configuracion de Internet.

http://www.infoprocesos.com/d/c?directorio=c&p=9

~~[b]~~ctfmon32.exe:[/b]

es una variante del parasito CoolWebSearch. Aplicaciones afiliadas con CoolWebSearch es sabido que secuestran nuestras búsquedas en internet inicializando maliciosas actividades en nuestro ordenador. Variantes típicas se instalan sin el permiso del usuario y de forma oculta. Estas tambien a menudo tienen un sistema de auto-actualizacion el cual discan a diferentes lados sin aprobación del usuario generando un costo telefónico. El resultado de ésto es una invasión de la privacidad abrumadora, y un consumo arriesgado del ancho de banda del sistema. Ya que también se ve afectado el funcionamiento del mismo por las continuas tareas o aplicaciones que se ejecutan en segundo plano acordes todas a CoolWebSearch.

Este spyware posee las siguientes características:

* Causa Inestabilidad en el Sistema

Causa Inestabilidad en el Sistema debido a un excesivo uso del ancho de banda del sitema. Aplicaciones maliciosas ejecutan tareas en modo oculto, de manera que logran provocar un uso exagerado, logrando en conjunto, una compleja inestabilidad del sistema.

* Conecta a Internet

Intenta establecer una conexión externa. Estos Spywares lo realizan tipicamente para descargar sus actualizaciones o reportar la información de la víctima infectada.

* Muestra publicidad

Muestra un popup no solicitado o una publicidad aleatoria. Dicha publicidad puede aparecer o no en el explorador HTML predeterminado. Por ejemplo: Internet Explorer.

* Modificación o "Rapto" del Explorador

Modifica las propiedades del navegador predeterminado (generalmente Internet Explorer) y redirecciona la página de inicio y las páginas de búsqueda a sitios no solicitados de publicidad. Algunos son tan complejos que pueden llegar a modificar hasta las páginas de errores 404 inclusive.

* Instala Archivos

Instala numerosos archivos necesarios para su ejecución. Cuantos mas archivos instala en su ordenador, mas cantidad de aplicaciones maliciosas pueden tener control sobre su ordenador y su sistema..

* Sigiloso

Típicamente oculto asociado a archivos de nombres de procesos de Windows, crea un ícono invisible en la barra de tareas o en la barra de inicio y no provee forma de desinstalarlo.

http://www.publispain.com/spyware/lista_de_spywares/CWS.Ctfmon32.html

Yo de momento sigo localizandolo en el inicio de mi sistema mediante el spybot pero como te he dicho anteriormente aunque lo borro sigue volviendo a aparecer con el paso de los dias, yo voy a seguir buscando la solucion pero sii podeis ayudarme seria genial un saludo y gracias.

Mensaje por **msc hotline sat** » 23 Sep 2007, 19:28

Pero veamos, tienes instalado el Office o no ???

saludos

ms, 23-09-2007

tuber · Mensaje por **tuber** » 23 Sep 2007, 20:25

pues he mirado y veo que esta instalado ~~[b]~~el visor de microsoft office power point 2003[/b]

pero eso siempre ha estado ahi y hasta hace 2 meses el spybot no me lo detectaba como un Spyware por eso creo que es algo maligno ademas por si te sirve antes de borrarlo la primera vez lo desabilite y cuando a la semana abri el spybot vi que habia vuelto a salir es decir estaba el que yo habia desabilitado y otro igual, este ultimo habilitado y eso me mosqueo.

Ademas si pertenece a ese programa no tiene por que iniciarse con el pc ¿no?

Mensaje por **msc hotline sat** » 23 Sep 2007, 20:32

El Spybot y todos los antivirus actualizan las cadenas de deteccion, y lo que no detectan ayer, pueden detectarlo hoy... siendo el mismo.

Y sobre lo que indicas que no sería lanzado en cada reinicio, pues te quivocas, si está en la clave normal para el caso del office:

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

se ejecuta en cada reinicio automaticamente

Si no te da problemas, dejalo estar..., pero si quieres, subelo al Virus Total a ver cuantos lo detectan:

https://www.virustotal.com/es/

saludos

ms, 23-09-2007

tuber · Mensaje por **tuber** » 26 Sep 2007, 20:09

Bueno pues he mirado en ese enlace y nadie me lo ha reconocido como virus, te hare caso y lo dejare estar ya que no me molesta.

Gracias por todo y puedes dar el tema por solucionado, un saludo.

Mensaje por **msc hotline sat** » 26 Sep 2007, 21:15

Lo creo acertado, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 26-09-2007