Перейти к содержанию
slavik_dm

Avira и ctfmon.exe - TR/Patched.ET

Recommended Posts

slavik_dm

После обновления Авиры Премиум стала ругатся : C:\WINDOWS\system32\ctfmon.exe [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET

сегодняшние билды AVP Tool & CureIT не ругаются... а постоянно выскакивающие окошки надоедают уже..в принципе практически уверен что зверей нет в файле, но в игнор лист не хочу - ведь так может и какой нибудь вирусняк проскочить.. что можно сделать с этим 0_о

[email protected] - движок конфы не позволил прикрепить файл... вот на всякий случай выкладываю... кому не надо - не качайте plz - там лимит 10 скачиваний...

Лог Авиры:

Информация о версии:BUILD.DAT     : 8.2.0.54       20010 Bytes  02.12.2008 10:45:00AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 07:21:36AVSCAN.DLL    : 8.1.4.1        42753 Bytes  23.07.2008 13:56:34LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 11:44:16LUKERES.DLL   : 8.1.4.0        12545 Bytes  23.07.2008 13:56:59ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 10:30:36ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 15:07:54ANTIVIR2.VDF  : 7.1.2.55      248832 Bytes  20.02.2009 17:13:31ANTIVIR3.VDF  : 7.1.2.75       91648 Bytes  24.02.2009 20:56:26Версия ядра   : 8.2.0.88  AEVDF.DLL     : 8.1.1.0       106868 Bytes  09.02.2009 15:31:02AESCRIPT.DLL  : 8.1.1.52      348538 Bytes  24.02.2009 20:56:43AESCN.DLL     : 8.1.1.7       127347 Bytes  14.02.2009 15:08:14AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 12:58:38AEPACK.DLL    : 8.1.3.8       397684 Bytes  09.02.2009 15:30:56AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  09.02.2009 15:30:53AEHEUR.DLL    : 8.1.0.97     1610103 Bytes  24.02.2009 20:56:40AEHELP.DLL    : 8.1.2.0       119159 Bytes  09.02.2009 15:30:40AEGEN.DLL     : 8.1.1.21      336244 Bytes  24.02.2009 20:56:29AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 09:05:56AECORE.DLL    : 8.1.6.6       176501 Bytes  20.02.2009 17:13:35AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 09:05:56AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 07:40:02AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 08:27:58AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 11:02:15AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 10:26:37AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 07:29:19AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 11:27:46SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 16:28:02SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 11:49:36NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 11:05:07RCIMAGE.DLL   : 8.0.0.51     2564353 Bytes  17.07.2008 08:05:04RCTEXT.DLL    : 8.0.51.0       86273 Bytes  17.07.2008 08:05:08Настройки конфигурации проверки:Задача:..........................: ShlExtФайл конфигурации................: G:\Temp\d79abd0b.avpПротоколирование.................: низкийПервичное действие...............: интерактивноВторичное действие...............: пропуститьПроверка главных загрузочных секторов: включеноПроверка загрузочных секторов....: включеноЗагрузочные секторы..............: C:, Проверка активных программ.......: выключеноПроверка реестра.................: выключеноПоиск программ-руткитов..........: выключеноРежим проверки файлов............: Интеллектуальный выбор файловПроверка архивов.................: включеноОграничить глубину архива........: 20Базовый список типов архивов.....: включеноЭвристический анализ макрокоманд.: включеноЭвристический анализ файлов......: среднийЗапуск проверки: 24 февраля 2009 г.  23:10Пуск проверки выбранных файлов:Старт поиска в 'C:\WINDOWS\system32'C:\WINDOWS\system32\ctfmon.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.C:\WINDOWS\system32\wse.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Click.Outwar.H.2   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.C:\WINDOWS\system32\dllcache\ctfmon.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.

Модераторы! если не в том разделе - перекинте plz в нужный..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
программа TR/Patched.ET

Результаты проверки вашего файла ctfmon.exe после распаковки

http://www.virustotal.com/ru/analisis/bc56...128463f5a566e1e

Результаты проверки моего файла ctfmon.exe без упаковки

http://www.virustotal.com/ru/analisis/8881...ead9fecde45ab54

Фокус, который используют malware с файлом такого же названия давно известен.

Истинный файл ctfmon.exe находится всегда в C:\WINDOWS\system32\ctfmon.exe. Он управляет технологиями альтернативного ввода данных (язык, раскладка клавиатуры и мн. др.).

Во всех других местах располагается именно вредонос (Worm.Win32.AutoRun, Trojan-Downloader.Win32.VB, Trojan-Downloader.VBS.Psyme, Trojan.Recycler и др.). А вот IRC-Worm.Win32.Fagot может удалить системный файл и скопировать себя вместо него. Но это, кажется, не ваш случай.

FAQ от Microsoft http://support.microsoft.com/kb/282599

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Хех. Своровали детект патчеда и зацепили оригинал..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Фокус, который используют malware с файлом такого же названия давно известен.

Истинный файл ctfmon.exe находится всегда в C:\WINDOWS\system32\ctfmon.exe.

Во всех других местах располагается именно вредонос.

FAQ от Microsoft http://support.microsoft.com/kb/282599

У меня он только в двух местах в \System32\ и \System32\dllcache\ и у меня на этой машине XP SP3 + все апдейты на сегодня и Office 2007 SP1 + все апдейты... что делать то сним? \

PS сегодня с мелкософта тоже какой то апдейт для XP стянул.. и базы обновил Авиры, перезагрузил по требованию и после этого стало выскакивать окно.. до этого не ругалось на него...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
У меня он только в двух местах в \System32\ и \System32\dllcache\

В dllcache он же оригинал, потому и папка так называется.

а постоянно выскакивающие окошки надоедают

Похоже на параноидный режим проверки - проверять и подозревать все файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
В dllcache он же оригинал, потому и папка так называется.
натюрлих - я и пишу что у меня по идее в "правильных местах"..
Похоже на параноидный режим проверки - проверять и подозревать все файлы.
Эвристический анализ файлов......: средний
это в логе есть...

не это не "проверка по требованию" - это монитор Guard (или как там его) стал ругатся.. настройки по умолчанию... ну в игнор его я так понимаю не стоит - так как есть зверьки под него маскирующиеся.. остаётся только ждать реакции программеров Авиры? 0_о или может другой ctfmon.exe подсунуть(он кстати часть XP или MS Office - где его оригинал? может после апдейта мелкомягких его заменило..)?

PS а вот второй похож на зверька..

http://www.virustotal.com/ru/analisis/cc9b...bdb77a073ca5693

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
или может другой ctfmon.exe подсунуть

Вот мой - чистый и не сжатый ctfmon.zip.

ctfmon.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Вот мой - чистый и не сжатый ctfmon.zip.

Спасибо :) А ничего что версии разные? Ваш похоже что от SP2 и по размеру в 2 раза меньше моего 0_о

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
у меня на этой машине XP SP3
может после апдейта мелкомягких его заменило

Откуда брали SP3 и обновы?

Если не у вендора, то запросто - могло подмениться на пропатченный файл.

Сделайте архивную копию своего, прежде чем осуществлять подмену. :) И отключите восстановление системы.

Обратите внимание на мой пост и упоминаемую в нём программу Starter.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Откуда брали SP3 и обновы?

Если не у вендора, то запросто - могло подмениться на пропатченный файл.

Сделайте архивную копию своего, прежде чем осуществлять подмену. И отключите восстановление системы.

SP3 поверх ставил SP2 кажись вручную, а остальное через вин-апдейт... ладно спасибо - помучаю завтра систему.. :) спасибо за помощь..

PS на Starter ссылка уже мертвая.. а2HijackFree скачал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
ладно спасибо - помучаю завтра систему.. :)

Попробуйте:

sfc.exe /scannow

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
на Starter ссылка уже мертвая

А у меня работает. Ладно, вот рабочая ссылка>>>.

Только цыферьки нужно ввести. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

slavik_dm

Посмотрите ещё вот эту тему. Сообщения 13 и 14.

sfc.exe /scannow

dr_dizel

Это будет мучительный процесс. Ведь у него там SP3 накатом и обновы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
slavik_dm

Посмотрите ещё вот эту тему. Сообщения 13 и 14.

dr_dizel

Это будет мучительный процесс. Ведь у него там SP3 накатом и обновы.

нашел вчера какой то дистрибутив с интегрированным SP3(не сборка) и распаковал с него не патченый(0_о) ctfmon.exe.. заменил файлы в System32 & \DllCache в безопасной режиме.. поменял их - все работает и Авира не ругается... 0_о неужто мелкомягкие "червя" подсунули при апдейте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
неужто мелкомягкие "червя" подсунули при апдейте?

Скорее динозаврика. ;)

Пути... софтовые неисповедимы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×