Перейти к содержанию
slavik_dm

Avira и ctfmon.exe - TR/Patched.ET

Recommended Posts

slavik_dm

После обновления Авиры Премиум стала ругатся : C:\WINDOWS\system32\ctfmon.exe [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET

сегодняшние билды AVP Tool & CureIT не ругаются... а постоянно выскакивающие окошки надоедают уже..в принципе практически уверен что зверей нет в файле, но в игнор лист не хочу - ведь так может и какой нибудь вирусняк проскочить.. что можно сделать с этим 0_о

[email protected] - движок конфы не позволил прикрепить файл... вот на всякий случай выкладываю... кому не надо - не качайте plz - там лимит 10 скачиваний...

Лог Авиры:

Информация о версии:BUILD.DAT     : 8.2.0.54       20010 Bytes  02.12.2008 10:45:00AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 07:21:36AVSCAN.DLL    : 8.1.4.1        42753 Bytes  23.07.2008 13:56:34LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 11:44:16LUKERES.DLL   : 8.1.4.0        12545 Bytes  23.07.2008 13:56:59ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 10:30:36ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 15:07:54ANTIVIR2.VDF  : 7.1.2.55      248832 Bytes  20.02.2009 17:13:31ANTIVIR3.VDF  : 7.1.2.75       91648 Bytes  24.02.2009 20:56:26Версия ядра   : 8.2.0.88  AEVDF.DLL     : 8.1.1.0       106868 Bytes  09.02.2009 15:31:02AESCRIPT.DLL  : 8.1.1.52      348538 Bytes  24.02.2009 20:56:43AESCN.DLL     : 8.1.1.7       127347 Bytes  14.02.2009 15:08:14AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 12:58:38AEPACK.DLL    : 8.1.3.8       397684 Bytes  09.02.2009 15:30:56AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  09.02.2009 15:30:53AEHEUR.DLL    : 8.1.0.97     1610103 Bytes  24.02.2009 20:56:40AEHELP.DLL    : 8.1.2.0       119159 Bytes  09.02.2009 15:30:40AEGEN.DLL     : 8.1.1.21      336244 Bytes  24.02.2009 20:56:29AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 09:05:56AECORE.DLL    : 8.1.6.6       176501 Bytes  20.02.2009 17:13:35AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 09:05:56AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 07:40:02AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 08:27:58AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 11:02:15AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 10:26:37AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 07:29:19AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 11:27:46SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 16:28:02SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 11:49:36NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 11:05:07RCIMAGE.DLL   : 8.0.0.51     2564353 Bytes  17.07.2008 08:05:04RCTEXT.DLL    : 8.0.51.0       86273 Bytes  17.07.2008 08:05:08Настройки конфигурации проверки:Задача:..........................: ShlExtФайл конфигурации................: G:\Temp\d79abd0b.avpПротоколирование.................: низкийПервичное действие...............: интерактивноВторичное действие...............: пропуститьПроверка главных загрузочных секторов: включеноПроверка загрузочных секторов....: включеноЗагрузочные секторы..............: C:, Проверка активных программ.......: выключеноПроверка реестра.................: выключеноПоиск программ-руткитов..........: выключеноРежим проверки файлов............: Интеллектуальный выбор файловПроверка архивов.................: включеноОграничить глубину архива........: 20Базовый список типов архивов.....: включеноЭвристический анализ макрокоманд.: включеноЭвристический анализ файлов......: среднийЗапуск проверки: 24 февраля 2009 г.  23:10Пуск проверки выбранных файлов:Старт поиска в 'C:\WINDOWS\system32'C:\WINDOWS\system32\ctfmon.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.C:\WINDOWS\system32\wse.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Click.Outwar.H.2   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.C:\WINDOWS\system32\dllcache\ctfmon.exe   [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.ET   [ПРЕДУПРЕЖДЕНИЕ] Файл был пропущен.

Модераторы! если не в том разделе - перекинте plz в нужный..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
программа TR/Patched.ET

Результаты проверки вашего файла ctfmon.exe после распаковки

http://www.virustotal.com/ru/analisis/bc56...128463f5a566e1e

Результаты проверки моего файла ctfmon.exe без упаковки

http://www.virustotal.com/ru/analisis/8881...ead9fecde45ab54

Фокус, который используют malware с файлом такого же названия давно известен.

Истинный файл ctfmon.exe находится всегда в C:\WINDOWS\system32\ctfmon.exe. Он управляет технологиями альтернативного ввода данных (язык, раскладка клавиатуры и мн. др.).

Во всех других местах располагается именно вредонос (Worm.Win32.AutoRun, Trojan-Downloader.Win32.VB, Trojan-Downloader.VBS.Psyme, Trojan.Recycler и др.). А вот IRC-Worm.Win32.Fagot может удалить системный файл и скопировать себя вместо него. Но это, кажется, не ваш случай.

FAQ от Microsoft http://support.microsoft.com/kb/282599

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Хех. Своровали детект патчеда и зацепили оригинал..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Фокус, который используют malware с файлом такого же названия давно известен.

Истинный файл ctfmon.exe находится всегда в C:\WINDOWS\system32\ctfmon.exe.

Во всех других местах располагается именно вредонос.

FAQ от Microsoft http://support.microsoft.com/kb/282599

У меня он только в двух местах в \System32\ и \System32\dllcache\ и у меня на этой машине XP SP3 + все апдейты на сегодня и Office 2007 SP1 + все апдейты... что делать то сним? \

PS сегодня с мелкософта тоже какой то апдейт для XP стянул.. и базы обновил Авиры, перезагрузил по требованию и после этого стало выскакивать окно.. до этого не ругалось на него...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
У меня он только в двух местах в \System32\ и \System32\dllcache\

В dllcache он же оригинал, потому и папка так называется.

а постоянно выскакивающие окошки надоедают

Похоже на параноидный режим проверки - проверять и подозревать все файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
В dllcache он же оригинал, потому и папка так называется.
натюрлих - я и пишу что у меня по идее в "правильных местах"..
Похоже на параноидный режим проверки - проверять и подозревать все файлы.
Эвристический анализ файлов......: средний
это в логе есть...

не это не "проверка по требованию" - это монитор Guard (или как там его) стал ругатся.. настройки по умолчанию... ну в игнор его я так понимаю не стоит - так как есть зверьки под него маскирующиеся.. остаётся только ждать реакции программеров Авиры? 0_о или может другой ctfmon.exe подсунуть(он кстати часть XP или MS Office - где его оригинал? может после апдейта мелкомягких его заменило..)?

PS а вот второй похож на зверька..

http://www.virustotal.com/ru/analisis/cc9b...bdb77a073ca5693

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
или может другой ctfmon.exe подсунуть

Вот мой - чистый и не сжатый ctfmon.zip.

ctfmon.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Вот мой - чистый и не сжатый ctfmon.zip.

Спасибо :) А ничего что версии разные? Ваш похоже что от SP2 и по размеру в 2 раза меньше моего 0_о

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
у меня на этой машине XP SP3
может после апдейта мелкомягких его заменило

Откуда брали SP3 и обновы?

Если не у вендора, то запросто - могло подмениться на пропатченный файл.

Сделайте архивную копию своего, прежде чем осуществлять подмену. :) И отключите восстановление системы.

Обратите внимание на мой пост и упоминаемую в нём программу Starter.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Откуда брали SP3 и обновы?

Если не у вендора, то запросто - могло подмениться на пропатченный файл.

Сделайте архивную копию своего, прежде чем осуществлять подмену. И отключите восстановление системы.

SP3 поверх ставил SP2 кажись вручную, а остальное через вин-апдейт... ладно спасибо - помучаю завтра систему.. :) спасибо за помощь..

PS на Starter ссылка уже мертвая.. а2HijackFree скачал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
ладно спасибо - помучаю завтра систему.. :)

Попробуйте:

sfc.exe /scannow

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
на Starter ссылка уже мертвая

А у меня работает. Ладно, вот рабочая ссылка>>>.

Только цыферьки нужно ввести. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

slavik_dm

Посмотрите ещё вот эту тему. Сообщения 13 и 14.

sfc.exe /scannow

dr_dizel

Это будет мучительный процесс. Ведь у него там SP3 накатом и обновы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
slavik_dm

Посмотрите ещё вот эту тему. Сообщения 13 и 14.

dr_dizel

Это будет мучительный процесс. Ведь у него там SP3 накатом и обновы.

нашел вчера какой то дистрибутив с интегрированным SP3(не сборка) и распаковал с него не патченый(0_о) ctfmon.exe.. заменил файлы в System32 & \DllCache в безопасной режиме.. поменял их - все работает и Авира не ругается... 0_о неужто мелкомягкие "червя" подсунули при апдейте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
неужто мелкомягкие "червя" подсунули при апдейте?

Скорее динозаврика. ;)

Пути... софтовые неисповедимы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×