archivo ctfmon.exe ¿Que es? (SOLUCIONADO)

[Maverick_coke]

hola amigos:

trate de bajar un crack para el programa virtual dj y me entro un virus logre detectarlo y eliminarlo pero el norton no se puede actualizar completamente, se me cambian los iconos tengo s.o windows 98 y ultimamente noto al pc mas lento de lo normal.

instale el Spybot - Search & Destroy y detecta al archivo ctfmon.exe que quiere hacer cambios en el registro de windows hasta ahora no he aceptado este cambio pero ¿creen que debo aceptar o no?.

espero sus consejos desde ya gracias a los q quieran responder.

[msc hotline sat]

No se deben bajar cracks y menos probarlos !!!



La piratería va contra las Leyes del Copyright y nos perjudica a todos ! Y A VD EL PRIMERO COMO YA HA COMPROBADO !!!



El ctfmon.exe es un fichero de microsoft vinculado al Office de microsoft, pero su nombre como el de cualquier otro, puede ser utilizado para ocultar un malware



Ms informacion al respecto en:



http://www.liutilities.com/products/wintaskspro/processlibrary/ctfmon/



Si no tiene instalado el Office y tiene un ctfmon.exe incordiando, posiblemente será un malware



Tras eliminar virus y spywares, posteenos el log del HJT e informenos si tiene instalado el Office





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



saludos



ms, 1-3-2006

[Maverick_coke]

Logfile of HijackThis v1.99.1

Scan saved at 03:38:45 p.m.Jorge, on 01-03-06

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Unable to get Internet Explorer version!



Running processes:

C:\WIN98\SYSTEM\KERNEL32.DLL

C:\WIN98\SYSTEM\MSGSRV32.EXE

C:\WIN98\SYSTEM\SPOOL32.EXE

C:\WIN98\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SYMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\WIN98\SYSTEM\KB891711\KB891711.EXE

C:\WIN98\SYSTEM\mmtask.tsk

C:\WIN98\SYSTEM\E_S4I4S1.EXE

C:\WIN98\TASKMON.EXE

C:\WIN98\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\WIN98\SYSTEM\WMIEXE.EXE

C:\WIN98\EXPLORER.EXE

C:\WIN98\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMP.EXE

C:\INTEGRAL\TREEFACT.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE10\EXCEL.EXE

C:\ARCHIVOS DE PROGRAMA\INCREDIMAIL\BIN\INCMAIL.EXE

C:\ARCHIVOS DE PROGRAMA\INCREDIMAIL\BIN\IMAPP.EXE

C:\ARCHIVOS DE PROGRAMA\WINRAR\WINRAR.EXE

C:\WIN98\TEMP\RAR$EX00.680\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: ScriptInocUI Class - - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {0EEDB912-C5FA-486F-8334-57288578C627} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus C65 Series] C:\WIN98\SYSTEM\E_S4I4S1.EXE /P23 "EPSON Stylus C65 Series" /O17 "\\CARLOS\EPSONSty" /M "Stylus C65"

O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe

O4 - HKLM\..\Run: [Nprotect] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec Core LC] C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe start

O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\csinject.exe

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKLM\..\RunServices: [ALU Scheduler Service] C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvcRes.dll

O4 - HKLM\..\RunServices: [Nprotect] C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\RunServices: [CcSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [Kb891711] C:\WIN98\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O8 - Extra context menu item: Download with &Shareaza - res://C:\ARCHIVOS DE PROGRAMA\SHAREAZA\PLUGINS\RAZAWEBHOOK.DLL/3000

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm490YYCL

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O20 - AppInit_DLLs: apitrap.dll;

[msc hotline sat]

Pues arranca e modo seguro, desactiva la restauracion de sistema, lanza el HJT, narca estas tres claves pulsando a la izquierda de ellas y eliminalas con FIX



R3 - URLSearchHook: ScriptInocUI Class - - (no file)



O2 - BHO: (no name) - {0EEDB912-C5FA-486F-8334-57288578C627} - (no file)



O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm490YYCL



Y efecrtivamente, esa ultima conectaba con un site remoto que podia provocar un ataque.



Tras ello reinicia y cuentanos el resultado, gracias



saludos



ms, 1-3-2006

[Maverick_coke]

Hice lo que me aconsejaste, hasta ahora todo parece bien, te queria dar las gracias por ayudarme es primera vez q recurro a un foro para recibir ayuda y me parece exelente esto de q todos como informaticos nos ayudemos esto empieza a hacerme ver las cosas de otro modo.

Quisiera saber como mediante el log detectas cual es un spyware y cual no? me gustaria poder leer y entender el log.

Reitero mis agracecimientos AMIGO.

[msc hotline sat]

Pues celebro que te fuera de utilidad, y sobre entender el HJT es como todo, muy fácil cuando se conoce, pero ademas de los conocimientos es la experiencia lo que mas cuenta.



El mejor tutorial en castellano que creo te podrá inetresar es:



http://www.bleepingcomputer.com/forums/tutorial81.html



Que te explica por grupos su funcionalidad, y asi es de facil consulta.



Y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 2-3-2006

[Maverick_coke]

hola... los problemas continuan los iconos se cambian automaticamente el pc a veces se queda pegado al parecer no se arreglo del todo lo que si se pudo hacer es actualizar el antivirus (norton) lo heche a correr pero no detecto nada.

Espero sus comentarios gracias

[msc hotline sat]

Este Tema ya estaba cerrado...



Bieno, pues empieza por donde debias haber empezado, y si tienes añgun problema, lo posteas en Tema nuevo, gracias



https://foros.zonavirus.com/viewtopic.php?t=5148



saludos