Problema con CTFMON.EXE (SOLUCIONADO)

[Kamaka]

Hola a todos, tengan un buen día.



Desde ayer tengo un problemita, no creo que sea grave, pero es molesto.

Ayer a la tarde puse mi compu en proceso de limpieza como hago una vez a la semana, corriendo el Ad-Aware SE, Spybot y el CCleaner.

También ayer se actualizó Windows.

Luego de reiniciar la maquina por la instalacion de la actualizacion de windows, empezó a aparecerme un mensaje de windows diciendome que va a cerrar el CTF Loader para proteger mi computadora.

Ese mensaje me aparece cada 10 min. y no encuentro como solucionarlo. Alguien podría ayudarme?

Muchas Gracias.

[lucl]

ejecuta el hijackthis y copianos el log resultante, saludos

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

[Kamaka]

Hice lo que me sugeriste y acá está el log



Logfile of HijackThis v1.99.1

Scan saved at 1:34:19 PM, on 5/13/2007





Desde ya les agradezco mucho por el tiempo.

[lucl]

pasate elistara para que te quite algun troyano, arranca el pc en modo seguro, lo ejecutas, y reinicias y nos pegas el log que te dejara en C llamado infosat.txt saludos



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



http://www.zonavirus.com/descargas/elistara.asp

[Kamaka]

Seguí las instrucciones al pie de la letra, porque además me la hiciste re fácil, muy buenas tus explicaciones, te agradezco mucho.

Aparentemente me encontró dos archivos infectados, vos entenderas mas que yo.

Aca te copio el fichero que me guardó.



Si tengo que hacer otra cosa, decime.

Te agradezco mucho por tu tiempo.





Mon May 14 11:37:45 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\DESRCAS.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\MYWAYSA\SRCHASDE\1.BIN\DESRCAS.DLL --> Eliminado

Eliminada Class, "{4D25F921-B9FE-4682-BF72-8AB8210D6D75}" -> C:\Program Files\MyWaySA\SrchAsDe\1.bin\deSrcAs.dll

Eliminada Class, "{4D25F924-B9FE-4682-BF72-8AB8210D6D75}" -> C:\Program Files\MyWaySA\SrchAsDe\1.bin\deSrcAs.dll

Eliminada Class, "{4D25F926-B9FE-4682-BF72-8AB8210D6D75}" -> C:\Program Files\MyWaySA\SrchAsDe\1.bin\deSrcAs.dll

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon May 14 11:38:06 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\DELL\MEDIAEXE\RENAME.EXE --> Eliminado, DownLoader.Vixup

C:\Program Files\Jasc Software Inc\Paint Shop Pro Studio\JASCBROWSERUTIL.DLL --> Eliminado, WinAntiVirus Pro 2006

[msc hotline sat]

pUES AHORA ENVIENOS ESTE FICHERO PARA ANALIZAR :



Por favor, envienos una muestra del fichero

C:\Muestras\DESRCAS.DLL.Muestra EliStartPage v13.94





[img]https://foros.zonavirus.com/imagenes/arrow.gif[/img][b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



SALUDOS



MS, 14-05-2007

[msc hotline sat]

Recibida la DLL de muestra, resulta ser una nueva variante del MyWay que pasamos a controlar con el ELISTARA 13.97 de hoy, que estará disponible a partir de las 20 h GMT



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 15-05-2007

[Kamaka]

Después de la primera vez que pasé el programa que ustedes me dieron, el mensaje de error de "CTF Loader" había dejado de aparecer, pero luego de que pasé la segunda vez, tal como me lo pidieron, volvió a aparecer el mismo exacto mensaje.



Les pego el resultado del último proceso.



Tue May 15 11:34:42 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue May 15 11:34:49 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\







Después de todo esto seguimos en el principio.

Pero vamos, sigo confiando y esperando nuevas indicaciones.

Muchas gracias.

[msc hotline sat]

Pero lee bien !!!



"Recibida la DLL de muestra, resulta ser una nueva variante del MyWay que pasamos a controlar con el ELISTARA 13.97 de hoy, que estará disponible a partir de las 20 h GMT "·



Ni son las 20 h GMT (en Grecia quizás sí, pero aquí aun no), ni existe aun la 13.97...



Pruebala cuando esté disponible.



saludos



ms, 15-05-2007

[Kamaka]

Primero que nada, me disculpo por el error de ayer, no me di cuenta.



Segundo, hoy si bajé la actualización, pasé el programa nuevamente en modo seguro, y a continuación te pego el resultado, pero aclaro que cuando volví al modo normal de la PC el cartelito de error volvió a aparecer.



Wed May 16 11:19:53 2007

EliStartPage v13.97 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed May 16 11:19:56 2007

EliStartPage v13.97 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DESRCAS.DLL.MUESTRA ELISTARTPAGE V13.94 --> Eliminado, MyWay

C:\WINDOWS\Downloaded Program Files\DBPLUGIN.INF --> Eliminado, DbPlugin(inf)

C:\WINDOWS\SYSTEM32\DBXDGREVCHECK.DLL --> Eliminado, DbPlugin





Un saludo cordial.

[msc hotline sat]

Pues se detectaron y eliminaron las muestras:



Wed May 16 11:19:56 2007

EliStartPage v13.97 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DESRCAS.DLL.MUESTRA ELISTARTPAGE V13.94 --> Eliminado, MyWay

C:\WINDOWS\Downloaded Program Files\DBPLUGIN.INF --> Eliminado, DbPlugin(inf)

C:\WINDOWS\SYSTEM32\DBXDGREVCHECK.DLL --> Eliminado, DbPlugin



pero debe haber algo mas...





Prueba el SPROCES y posteanos el contenido de SPROCLOG.TXT, y llegaremos mas a fondo:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





saludos



ms, 16-05-2007

[Kamaka]

Pasé el Sprocess y este es el log que tiró





49 Servicios.

14 de Carga Automatica.

31 de Carga Manual.

4 Deshabilitados.

[msc hotline sat]

Pues elimina esta clave:



O16 - DPF: {164B406B-0FD6-4E7F-BA7E-64D227D4CA37} (dnlplayer Class) - http://www.digitalwebbooks.com/reader/dbplugin.cab



y envianos este fichero para analizar:



C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL









saludos



ms, 17-05-2007

[msc hotline sat]

La DLL ha resultado ser de Microsoft, correspondiente a esta informacion, por lo que se considera no virica:



" CASTLE COPS inform: Protocol {CD00020A-8B95-11D1-82DB-00C04FB1625D} L cdo PKMCDO.DLL Item taken from whitelist of HijackThis; Microsoft SharePoint Portal Server Object Model"



Veamos si eliminando el DPF ha notado la mejora deada. Informenos al respecto, gracias



saludos



ms, 17-05-2007

[Kamaka]

Hace años que esté tema se solucionó con su ayuda y quisiera que se cerrara. Muchas gracias!

[msc hotline sat]

Pues gracias por decirnoslo, lo damos por solucionado y procedemos a cerrarlo



saludos



ms, 23-7-2013