|
Ctfmon.exe, wie werde ich diese Plagegeister los? :snyper: Hallo Nach eine neue Installation von Windows XP Prof. mit SP 2, habe ich darauffolgend Avira AntiVir PersonalEdition Classic installiert und das Computer mit "MicroWorld Anti Virus & Spyware Toolkit Utility" durchgesucht. Kurz daran habe ich von MicroWorld Anti Virus eine Angeblendete Nachricht auf dem Bildschirm bekommen über entdeckte Virus CTFMON.EXE wie folgt: Mon Jun 12 20:13:06 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe Mon Jun 12 20:13:06 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken. Ich betone ausdrücklich hier das es sich hier nicht um eine ctfmon / ctfmon.exe Programm handelt das zu Microsoft Office gehört. Ich habe Computer neue Installiert mit Windows XP Prof und noch kein andere Programm von Microsoft Office installiert außer Avira AntiVir PersonalEdition Classic. Mit dem neue Computer habe ich noch keine Verbindung zum Internet gemacht. Ich habe versucht alles von den VIRUS zu entfernen bzw. die WIEDERHERSTELLUNG DEAKTIVIERT und alle Einträge von ctfmon.exe im Registrierung - Editor und C:Windows/System32/ctfmon.exe entfernt. Das Problem ist....die Datei CTFMON.EXE Stellt sich wieder von selbst. Die Anweisungen von: http://frankn.com/html/ctfmon_exe.html habe ich auch gefolgt aber es bringt nicht. Mit einem andere Computer habe ich Internet über CTFMON.EXE durchgesucht und alle Variationen zum entfernen ausprobiert OHNE ERFOLG !!! Bitte um Hilfe, was soll ich Machen ?!!! Danke :heulen: Bei SOPHOS habe ich folgende gefunden: Troj/Viran-C ist ein Trojaner für die Windows-Plattform. Troj/Viran-C enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren. Wenn er zum ersten Mal ausgeführt wird, kopiert sich Troj/Viran-C nach: <Gemeinsame Dateien>\system\lsass.exe <System>\ctfmon.exe <System>\userinit.exe Die folgenden Dateien werden erstellt: <System>\divx5.dll <System>\h323.txt Wenn er zum ersten Mal ausgeführt wird, kopiert sich Troj/Viran-C nach: <Gemeinsame Dateien>\system\lsass.exe <System>\ctfmon.exe <System>\userinit.exe Die folgenden Dateien werden erstellt: <System>\divx5.dll <System>\h323.txt Die Datei divx5.dll wird erkannt als Troj/HideProc-K. Die folgenden Registrierungseinträge werden erstellt, damit Troj/Viran-C beim Start ausgeführt wird: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit <Gemeinsame Dateien>\system\lsass.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE <System>\ctfmon.exe Der folgende Registrierungseintrag wird verändert, damit userinit.exe beim Start ausgeführt wird: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit <System>\userinit.exe (Der Standardeintrag für diesen Registrierungseintrag lautet "<Windows>\System32\userinit.exe,"). Der folgende Registrierungseintrag wird erstellt: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable ffffff9d Der Trojaner |
Hallo. Ctfmon.exe ist ein Microsoft Office Programm es kann auch auf dem Rechner sein ob wohl man garkein Office hat für mehr Info kannst du auch hir nach lessen: http://www.frankn.com/html/ctfmon_exe.html da wird auch beschrieben wie du es abschalten kannst |
Hallo, die Datei ist relativ standartmäßig auf dem Rechner, daher erst mal keine Panik. MW AV bringt oft derlei Falschmeldungen. @Lot: Zitat:
@moreno: Scanne die Datei online bei Virustotal.com und poste das Ergebnis hier. Gruß Schrulli |
@Schrulli OH Sorry hab ich wohl über sehen, werd mir mal ne Brille holen. Danke. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board