slavik_dm

Avira и ctfmon.exe - TR/Patched.ET

В этой теме 17 сообщений

После обновления Авиры Премиум стала ругатся : C:\WINDOWS\system32\ctfmon.exe [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET

сегодняшние билды AVP Tool & CureIT не ругаются... а постоянно выскакивающие окошки надоедают уже..в принципе практически уверен что зверей нет в файле, но в игнор лист не хочу - ведь так может и какой нибудь вирусняк проскочить.. что можно сделать с этим 0_о

[email protected] - движок конфы не позволил прикрепить файл... вот на всякий случай выкладываю... кому не надо - не качайте plz - там лимит 10 скачиваний...

Лог Авиры:

Информация о версии:BUILD.DAT     : 8.2.0.54       20010 Bytes  02.12.2008 10:45:00AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 07:21:36AVSCAN.DLL    : 8.1.4.1        42753 Bytes  23.07.2008 13:56:34LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 11:44:16LUKERES.DLL   : 8.1.4.0        12545 Bytes  23.07.2008 13:56:59ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 10:30:36ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 15:07:54ANTIVIR2.VDF  : 7.1.2.55      248832 Bytes  20.02.2009 17:13:31ANTIVIR3.VDF  : 7.1.2.75       91648 Bytes  24.02.2009 20:56:26Версия ядра   : 8.2.0.88  AEVDF.DLL     : 8.1.1.0       106868 Bytes  09.02.2009 15:31:02AESCRIPT.DLL  : 8.1.1.52      348538 Bytes  24.02.2009 20:56:43AESCN.DLL     : 8.1.1.7       127347 Bytes  14.02.2009 15:08:14AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 12:58:38AEPACK.DLL    : 8.1.3.8       397684 Bytes  09.02.2009 15:30:56AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  09.02.2009 15:30:53AEHEUR.DLL    : 8.1.0.97     1610103 Bytes  24.02.2009 20:56:40AEHELP.DLL    : 8.1.2.0       119159 Bytes  09.02.2009 15:30:40AEGEN.DLL     : 8.1.1.21      336244 Bytes  24.02.2009 20:56:29AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 09:05:56AECORE.DLL    : 8.1.6.6       176501 Bytes  20.02.2009 17:13:35AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 09:05:56AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 07:40:02AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 08:27:58AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 11:02:15AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 10:26:37AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 07:29:19AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 11:27:46SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 16:28:02SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 11:49:36NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 11:05:07RCIMAGE.DLL   : 8.0.0.51     2564353 Bytes  17.07.2008 08:05:04RCTEXT.DLL    : 8.0.51.0       86273 Bytes  17.07.2008 08:05:08Настройки конфигурации проверки:Задача:..........................: ShlExtФайл конфигурации................: G:\Temp\d79abd0b.avpПротоколирование.................: низкийПервичное действие...............: интерактивноВторичное действие...............: пропуститьПроверка главных загрузочных секторов: включеноПроверка загрузочных секторов....: включеноЗагрузочные секторы..............: C:, Проверка активных программ.......: выключеноПроверка реестра.................: выключеноПоиск программ-руткитов..........: выключеноРежим проверки файлов............: Интеллектуальный выбор файловПроверка архивов.................: включеноОграничить глубину архива........: 20Базовый список типов архивов.....: включеноЭвристический анализ макрокоманд.: включеноЭвристический анализ файлов......: среднийЗапуск проверки: 24 февраля 2009 г.  23:10Пуск проверки выбранных файлов:Старт поиска в 'C:\WINDOWS\system32'C:\WINDOWS\system32\ctfmon.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.C:\WINDOWS\system32\wse.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Click.Outwar.H.2   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.C:\WINDOWS\system32\dllcache\ctfmon.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.

Модераторы! если не в том разделе - перекинте plz в нужный..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
программа TR/Patched.ET

Результаты проверки вашего файла ctfmon.exe после распаковки

http://www.virustotal.com/ru/analisis/bc56...128463f5a566e1e

Результаты проверки моего файла ctfmon.exe без упаковки

http://www.virustotal.com/ru/analisis/8881...ead9fecde45ab54

Фокус, который используют malware с файлом такого же названия давно известен.

Истинный файл ctfmon.exe находится всегда в C:\WINDOWS\system32\ctfmon.exe. Он управляет технологиями альтернативного ввода данных (язык, раскладка клавиатуры и мн. др.).

Во всех других местах располагается именно вредонос (Worm.Win32.AutoRun, Trojan-Downloader.Win32.VB, Trojan-Downloader.VBS.Psyme, Trojan.Recycler и др.). А вот IRC-Worm.Win32.Fagot может удалить системный файл и скопировать себя вместо него. Но это, кажется, не ваш случай.

FAQ от Microsoft http://support.microsoft.com/kb/282599

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хех. Своровали детект патчеда и зацепили оригинал..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Фокус, который используют malware с файлом такого же названия давно известен.

Истинный файл ctfmon.exe находится всегда в C:\WINDOWS\system32\ctfmon.exe.

Во всех других местах располагается именно вредонос.

FAQ от Microsoft http://support.microsoft.com/kb/282599

У меня он только в двух местах в \System32\ и \System32\dllcache\ и у меня на этой машине XP SP3 + все апдейты на сегодня и Office 2007 SP1 + все апдейты... что делать то сним? \

PS сегодня с мелкософта тоже какой то апдейт для XP стянул.. и базы обновил Авиры, перезагрузил по требованию и после этого стало выскакивать окно.. до этого не ругалось на него...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня он только в двух местах в \System32\ и \System32\dllcache\

В dllcache он же оригинал, потому и папка так называется.

а постоянно выскакивающие окошки надоедают

Похоже на параноидный режим проверки - проверять и подозревать все файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В dllcache он же оригинал, потому и папка так называется.
натюрлих - я и пишу что у меня по идее в "правильных местах"..
Похоже на параноидный режим проверки - проверять и подозревать все файлы.
Эвристический анализ файлов......: средний
это в логе есть...

не это не "проверка по требованию" - это монитор Guard (или как там его) стал ругатся.. настройки по умолчанию... ну в игнор его я так понимаю не стоит - так как есть зверьки под него маскирующиеся.. остаётся только ждать реакции программеров Авиры? 0_о или может другой ctfmon.exe подсунуть(он кстати часть XP или MS Office - где его оригинал? может после апдейта мелкомягких его заменило..)?

PS а вот второй похож на зверька..

http://www.virustotal.com/ru/analisis/cc9b...bdb77a073ca5693

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот мой - чистый и не сжатый ctfmon.zip.

Спасибо :) А ничего что версии разные? Ваш похоже что от SP2 и по размеру в 2 раза меньше моего 0_о

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
у меня на этой машине XP SP3
может после апдейта мелкомягких его заменило

Откуда брали SP3 и обновы?

Если не у вендора, то запросто - могло подмениться на пропатченный файл.

Сделайте архивную копию своего, прежде чем осуществлять подмену. :) И отключите восстановление системы.

Обратите внимание на мой пост и упоминаемую в нём программу Starter.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Откуда брали SP3 и обновы?

Если не у вендора, то запросто - могло подмениться на пропатченный файл.

Сделайте архивную копию своего, прежде чем осуществлять подмену. И отключите восстановление системы.

SP3 поверх ставил SP2 кажись вручную, а остальное через вин-апдейт... ладно спасибо - помучаю завтра систему.. :) спасибо за помощь..

PS на Starter ссылка уже мертвая.. а2HijackFree скачал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ладно спасибо - помучаю завтра систему.. :)

Попробуйте:

sfc.exe /scannow

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

slavik_dm

Посмотрите ещё вот эту тему. Сообщения 13 и 14.

sfc.exe /scannow

dr_dizel

Это будет мучительный процесс. Ведь у него там SP3 накатом и обновы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm

Посмотрите ещё вот эту тему. Сообщения 13 и 14.

dr_dizel

Это будет мучительный процесс. Ведь у него там SP3 накатом и обновы.

нашел вчера какой то дистрибутив с интегрированным SP3(не сборка) и распаковал с него не патченый(0_о) ctfmon.exe.. заменил файлы в System32 & \DllCache в безопасной режиме.. поменял их - все работает и Авира не ругается... 0_о неужто мелкомягкие "червя" подсунули при апдейте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
неужто мелкомягкие "червя" подсунули при апдейте?

Скорее динозаврика. ;)

Пути... софтовые неисповедимы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      + MapsFrontier
      Global Security Center OOO
      Total PC
      Blue Century Software co.
      Elex do Brasil Participacoes Ltda.
    • Openair
    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.