[es] - ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

silvijasimic

Član broj: 245999
Poruke: 6
93.86.174.*

Profil

ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{12.01.2010. u 14:40 - pre 174 meseci}

Imam xp,sp2. Odjednom je poceo da prijavljuje greske u memoriji i preko dialup konekcije nisam vise mogla na net, ali preko ADSLa mogu. Nakon instalacije avg9, koji je ocistio neke viruse, prestao je da prijavljuje te greske.
Medjutim, u language bar-u je nestala ikonica za jezik (EN,SR itd). Jezike uspesno preko Shift + Alt

U taskmanager-u ctfmon.exe nema u listi procesa.
Run ne moze da nadje pomenuti fajl iako se on nalazi u c:\WINDOWS\sistem32, a cak i kada ga rucno kliknem, opet kaze da ne moze da ga nadje.

U registry editor->HKEY-CURRENT USER->Software->Microsoft->Windows->Current version->Run uz ctfmon.exe sa data c:\WINDOWS\sistem32\ctfmon.exe, koji sam ako se dobro secam ja rucno unela, prema temi t55236, nasla sam u tom Run i cdoosoft sa data c:\WINDOWS\sistem32\olhrwef.exe pa sam olhrwef obrisala tu, jer sam nasla podatak na netu da je to virus.
Takodje u msconfig->startup nasla sam i c:\WINDOWS\sistem32\olhrwef.exe, pa sam ga obrisala iz taskmanager-a. Otcekirala sam i neki newdotnet fajl koji trazi cim se upali kompjuter, da se ne startuje. Sad mi se sistem dize u selective or diagnostic mod-u.

Osim toga odmah nakon sto se podigne sistem izbacuje i dva desktop.ini-notepad-a, oba sa istim tekstom:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

MBAM je nasao neke stvari koje nisam obrisala, jer za neke pise da su kodeci, a posto je na tom laptopu prvobitno bila regularna vista, mozda te kodeke ne smem da brisem zbog funkcionisanja.
Skinula sam i HiJackThis, evo i njegov log.

PITANJA

Sta od onoga sto je MBAM nasao smem odnosno treba da uklonim?
Treba li nesto da radim u vezi tih obavestenja i nedostajucih fajlova?
Kako da vratim language bar i ctfmon.exe u funkciju?

Prikačeni fajlovi

mbam-log-2010-01-10 (16-07-44).txt - 4.45k

hijackthis.log - 4.91k

Odgovor na temu

Zoran Rodic
Beograd

Član broj: 57538
Poruke: 3215
*.adsl-a-1.sezampro.yu.

Sajt: zoranrodic.in.rs

+63 Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{12.01.2010. u 15:30 - pre 174 meseci}

Ajde da probamo ovako

1. Počisti to što je pronašao Malwarebytes
2. Skini i pokreni DrWeb, skeniraj ... trebalo bi da očisti taj C:\WINDOWS\system32\drivers\kernelx86.sys
3. Pusti opet Malwarebytes
4. Language bar vraćaš ovako:

Control Panel >> Regional and Language Options >> Languages >> Details >> Advanced
Skini kvačicu sa "Turn off advanced text services"
Klikni na "Apply" pa "OK"
Restartuj

E sad, ovo je postupak koji sam ja sproveo u eliminiciji ovog zlotvora ...
Probaj da obratiš pažnju na to da li je drWeb pri kraju skeniranja ''resetovao'' (recovery) fajl etc\hosts ... posto mislim da ovaj rootkit smara net i protok i pokušava da uspostavi vezu sa nekim torent sajtom.

EDIT
I da, posalji novi HJT log posle svega ovog

Lomografija je kad imaš sa čime, a nećeš … a Pinhole kad nemaš sa čime, a hoćeš! ^tm

Odgovor na temu

silvijasimic

Član broj: 245999
Poruke: 6
93.86.174.*

Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{12.01.2010. u 15:38 - pre 174 meseci}

Hvala na uputstvu. Probacu cim stignam.

A sto se tice LangBar to sam vec probala, bezuspesno.

Odgovor na temu

Zoran Rodic
Beograd

Član broj: 57538
Poruke: 3215
*.adsl-a-1.sezampro.yu.

Sajt: zoranrodic.in.rs

+63 Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{12.01.2010. u 15:48 - pre 174 meseci}

Pa da, mene i jesu zvali da sednem za taj računar zbog Language bar-a, pa sam tek pri skidanju dr-weba skontao da je protok katastrofa.
Tek nakon čišćenja se vratio ctfmon.exe

Pazi, ova fora je upalila 2 puta ... s tim što sam na drugom morao da stavljam instalacioni disk Office 2003 paketa i odradim recovery, da bi skidanje kvačice sa "Turn off advanced text services", imalo efekta.

Napomena;
Ako ovo ne prođe, ostavljam te Kristiju i Magni da sa onim svojim čudo i karate Comofix-om raščiste stvari

Lomografija je kad imaš sa čime, a nećeš … a Pinhole kad nemaš sa čime, a hoćeš! ^tm

Odgovor na temu

Aleksandar Maletic
System administrator

Moderator
Član broj: 235887
Poruke: 1138
*.mbb.telenor.rs.

+89 Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{12.01.2010. u 20:24 - pre 174 meseci}

Hahaha... :))) Karate ComboFix... :))) Zorane,na sve ovo sto si naveo dodao bih samo F-Secure Blacklight...znam da Malwarebytes cisti rootkit,ali ipak neka proba,nista je nece kostati,a i aplikacija je teska svega par megabajta... :)

A wolf is weaker than a lion and a tiger, but doesn't play in the circus.

Odgovor na temu

silvijasimic

Član broj: 245999
Poruke: 6
93.87.214.*

Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{13.01.2010. u 16:40 - pre 174 meseci}

Odradila sam po uputstvu za MBAM, i pustila drWeb da odradi osim brzog i potpuni sken, smorila sam se 2 sata i vise... ali nakon MBAMa ponovo i naravno resetovanja, evo meni mog EN na svom mestu i funkcionise, a i ctfmon.exe je u task manager-u!
Rekla bih da je problem resen, ali za svaki slucaj evo opet log file posle svega.
Ostaje pitanje da li jos nesto treba da uradim?

PS Nisam primetila da li je odradio recovery za etc/hosts, ali nadam se da taj podatak nije od velikog znacaja.
F-Secure Blacklight nisam koristila, ali u svakom slucaju hvala na predlogu.

Prikačeni fajlovi

hijackthis.log - 4.74k

Odgovor na temu

Zoran Rodic
Beograd

Član broj: 57538
Poruke: 3215
*.adsl-a-1.sezampro.yu.

Sajt: zoranrodic.in.rs

+63 Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{13.01.2010. u 19:12 - pre 174 meseci}

Pokreni opet HJT, pa posle skeniranja štikliraj sledeće redove pa klikni na FIX CHECKED

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet3_88.dll (file missing)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\newdotnet3_88.dll,NewDotNetStartup
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet3_88.dll' missing

Restartuj, pokreni HJT pa opet okači log, mada sumnjam da će bilo šta visti.

Što se tiče, ovog gore ... biće da je malwarebytes uvrstio ovu napast u svoje definicije pa je rešio problem kako valja.
Net, ne koči?

Lomografija je kad imaš sa čime, a nećeš … a Pinhole kad nemaš sa čime, a hoćeš! ^tm

Odgovor na temu

silvijasimic

Član broj: 245999
Poruke: 6
93.87.214.*

Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{13.01.2010. u 20:57 - pre 174 meseci}

Trecu stavku mi je prijavio da ne moze da resi i ponudio druge programe za resenje:

"HiJackThis cannot repair 010 Winsock LSP entries.
You should use LSPFix for that, which is available from http://www.cexx.org/lspfix.htm
If the 010 item belongs to WebHancer, New.Net or CommonName, Spybot S&D can remove it automatically.
Spybot S&D is available from http://www.spybot.info"

Spybot sam vec skinula, a ako treba i ovo prvo cu, mada ni sa jednim od ta dva programa nisam jos radila.
Da uradim to kako preporucuje HJT?

PS Do danas je povremeno kocio net, ali posle ovih ciscenja, ne primecujem da koci.

_{[Ovu poruku je menjao silvijasimic dana 13.01.2010. u 22:12 GMT+1]}

Prikačeni fajlovi

hijackthis.log - 5.04k

Odgovor na temu

magna86
Anti Malware Fighter

Član broj: 189287
Poruke: 557

Sajt: www.mycity.rs/Ambulanta

+16 Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{13.01.2010. u 21:20 - pre 174 meseci}

prijavio ti je jer i ne moze da popravi 010 liniju. uradi kao sto je HJT "rekao"

skini LSFIx bas sa tog linka...odradi po tom datom uputstvu i posle postavi svez HJT

i ne bi bilo lose da stvarno pokrenes&update-ujes spybot S&D i da tek na kraju scan-a sa njim kazes stanje racunara i svez HJT log

http://www.itfix.biz/images/Malware.JPG

Odgovor na temu

silvijasimic

Član broj: 245999
Poruke: 6
93.87.214.*

Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{13.01.2010. u 23:42 - pre 174 meseci}

Odradila i to. Spybot je trazio dva skeniranja, tj jos jedno nakon restarta, ali drugi put nije nista nasao. Uglavnom, evo novi HJT.

Prikačeni fajlovi

hijackthis.log - 4.97k

Odgovor na temu

kristi1

Član broj: 151211
Poruke: 2012
*.ptt.rs.

Sajt: www.mycity.rs/Ambulanta

+88 Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{14.01.2010. u 09:01 - pre 174 meseci}

Ko ti je instalirao taj windows? Da li znas koja je to verzija (black edition...), kako izgleda desktop, ikonice, mozes li da nam das opis? Ili da uslikas desktop pa da postavis sliku?

Odgovor na temu

silvijasimic

Član broj: 245999
Poruke: 6
79.101.168.*

Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{14.01.2010. u 15:55 - pre 174 meseci}

Verzija 2002, pise u system properties. Neki drugar mi je to instalirao jos pre dve godine i u globalu nisam imala velikih problema, niti sam imala potrebe za reinstalacijom.
Tacnije. jedini problem koji me je iritirao je resen, tako da ne bih vise nista cackala, izuzev ako postoji debeo razlog za to.

I naravno zahvaljujem se svima na izdvojenom vremenu i nadam se da ce ti saveti pomoci drugima sa istim problemom. ;-)

Odgovor na temu

dukanizi

Član broj: 245328
Poruke: 114
*.static.isp.telekom.rs.

+373 Profil

Re: ctfmon.exe nestao iz task manager-a i jos neka cudna obavestenja, virusi na delu?

^{15.03.2010. u 14:01 - pre 172 meseci}

Unapred se izvinjavam što sa zakašnjenjem od dva meseca pišem na ovu temu. Ovo radim zbog onih koji u budućnosti budu imali sličnih problema.

Naime meni se nedavno desio sličan problem. Nestao mi je proces ctfmon.exe, a samim tim i language bar. Kako bi rešio problem dao sam se u pretragu po forumima. Trebalo mi je nekih šest sati za rešenje. Bio sam na svim forumima(vezanim za ovu temu), otvorio svaki prikačeni fajl, išao na sve linkove. Svako moguće rešenje ja sam isprobao. Prvo sa opcijama u control panelu-u, pa u gpedit-u, pa u regedit-u, pa Malwarebyte's, Dr-web, Spybot-Search&Destroy,...., a da ne pominjem restarte kompa. Šta god uradio nikakva promena, nema language bar, a ni ctfmon.exe. Umalo da odustanem kad naletim na link(koji mi je verovatno promakao) i sledeći njegova upustva(falim te bože) rešim problem!

Znam da je naporno pregledati sve forume, otvoriti hiljade prikačenih fajlova, ići na milion linkova, pa još kad odete na link, a ono stranica kilometar dugačka i sve na engleskom. Baš iz tog razloga ja ću ovde, bez prikačenih fajlova i bez linka, da napišem jednostavno rešenje u samo šest koraka. Rešenje ću napisati na engleskom, ali ne brinite čak i onaj koji se nikada nije susreo sa tim jezikom će ovo uspešno protumačiti.

EVO REŠENJA:

1. Click Start, click Run, type regedit in the Open box, and then click OK.

2. Locate and then click the following registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft

3. On the Edit menu, point to New, and then click Key.

4. Type MSCTF, and press ENTER.

5. Right-click the new MSCTF key, point to New, and then click DWORD Value.
Type DisableCloseButton, and then press ENTER.

6. Double-click the DisableCloseButton entry, type 1 in the Value data box, and
then click OK.

Na kraju restart računara i gle čuda language bar je tu, a takođe i ctfmon.exe!
P.S. Nije na odmet pre ovoga odraditi Malwarebyte's i Spybot-Search&Destroy ili nešto slično.

_{[Ovu poruku je menjao dukanizi dana 15.03.2010. u 15:54 GMT+1]}

_{[Ovu poruku je menjao dukanizi dana 16.03.2010. u 00:16 GMT+1]}

Odgovor na temu