CTFMON.EXE: possibile trojan

In certe locazioni quali la sottocartella di Windows (C:\Windows\System32) ,CTFMON è un processo innocuo che "attiva il processore per l'input di testo (TIP, Text Input Processor) di Input alternativo utente e la barra della lingua di Microsoft Office.
Controlla le finestre attive e fornisce il supporto per il servizio di input del testo per il riconoscimento vocale, il riconoscimento della grafia, la tastiera, la traduzione e altre tecnologie di input alternativo dell'utente.
La rimozione di Ctfmon.exe può causare problemi di funzionamento dei programmi di Office XP, pertanto si sconsiglia di rimuoverlo".
Tuttavia se troviamo un suo omonimo da qualche parte,dobbiamo preoccuparci. Mi è capitato di frequente di vedere questo simpatico virus/trojan(?) nelle chiavette USB nella cartella Recycled. Ovviamente questa cartella è inaccessibile da Windows e oltre a contenere il virus contiene un file di configurazione per l'avvio automatico così strutturato:
[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)
Niente di buono. Avast era solito localizzare tale file all'inserimento della penna USB peccato non riuscisse mai a rimuoverlo. Se ciò dovesse accadere,non dovete far altro che montare tale pennina su una quasiasi distribuzione Linux,accedere a tale cartella settando i permessi di scrittura (nelcaso non ci fossero) e cancellare tutto senza pietà. Per una guida su come montare una penna USB vedere qui.

7 comments:

NICOPAN ha detto...

non e' possibile cancellaro direttamente con windows?

RobJ ha detto...

ciao complimenti per il blog. se vuoi fare scambio link fammi sapere.

Christian ha detto...

@nicopan: sicuramente qualche antivirus riuscirà nell'intento. Io avendo a disposizione più computer e sistemi operativi ho optato per la via più veloce e semplice. Non so indicarti purtroppo una alternativa valida su Windows.

@robj: per lo scambio link ora accetto siti che parlino per lo meno di informatica. Ad ogni modo buon lavoro con i tuoi blog e W Freddy forever ;)

Anonimo ha detto...

a me si è installato su tutte le partizione compresa C dove tengo il mio sistema, inoltre sono andato a vedere all'avvio automatico nel computer e ho visto sempre questo cftmon.exe.

Se io elimino cftmon dalla del mio disco rigido su cui ho montato window non dovrei aver problemi diopo giusto?

Il file chiamato cftmon che ho all'avvio è innocuo?

Christian ha detto...

@anonimo: io ti consiglio di non cancellare roba a caso ma di esser sicuro di quel che fai lasciando fare ad u nantivirus. Inoltre ti invito a trovae più informazioni sul processo cftmon e sulle locazioni sicure. come ho scritto se si avvia quello posizionato sotto la cartella di sistema solitamente è un processo innocuo,in altre localzioni come quella indicata nel post,quasi sicuramente non è benevolo....

DadoKantz ha detto...

Il virus è abbastanza vecchio, è una variazione del MyDoom.A. Potete trovare informazioni e probabilmente anche un tool a questo indirizzo: http://www.symantec.com/security_response/writeup.jsp?docid=2004-012816-3647-99&tabid=2

Saluti e complimenti per il blog ;)

Anonimo ha detto...

E' possibile cancellarlo da windows!Basta avviare il pc in "modalità provvisoria con prompt dei comandi":andare nella cartella di "esecuzione automatica" e dal prompt digitare "del /F /A ctfmon.exe";andare in c: e digitare "del /F /A autorun.inf" epoi digitare "rd /S recycled"!!!!gli ultimi due passaggi vanno ripetuti su tutte le partizioni infettate!!!!

Byte Strike Blog - Designed by Posicionamiento Web | Bloggerized by GosuBlogger