Mám v počítači vir !

dufam ze si nerobis vtipy, pretoze patris medzi tych, ktori su schopni zistit co je to ctfmon.exe. jedine ze by si ho mal nejako modifikovany. povedz aku mas verziu office a urob md5 hash tohoto suboru a hod ho sem. mozme podla verzie zistit ci je mofifikovany alebo nie.
//edit: tu je md5 hash pre office 2000 9.0.8950 sp3 - 24232996a38c0b0cf151c2140ae29fc8

A5BAA91475167161DEA02BA3C4CA4F59 Mám Office 2003 cz verze něco.

Jenomže jde o to, že když natahnu z bezpečného zdroje spoštěcí soubor k Total Commanderu
tak ten soubor je opravdu menší ! A když ho přepíšu a spustím tak na mě vyběhne to upozornění a soubor je
zase o něco větší Navíc když klepnu na nějaký soubor pravým tlačítkem myši tak se počítač zasekne na chvilku.

Toto mi předtím nedělal.

Microsoft Office 2003 (11):

a5baa91475167161dea02ba3c4ca4f59 *ctfmon.exe

Ty hlášky, které jsem tady uvedl jsou jen důsledek, ale ne zdroj .....

Nevím kde to svinstvo je.
Ad-Aware SE Professional na to nestačí.
//edit
Tak už je to i v dalším počítači. Tam pro změnu při spuštění TC se vytíží CPU na
100procent(jezisi nefunguje prepinani klavesnice) a TC spadne se stejnou hlaskou.
Vytizeni CPU zustane 100 procent

muzu ti nastinit utok zmutovanyho padobota
po prihlaseni do win jsem mel presne 3 vteriny nez komp zamrznul - no stacilo me to na spusteni task managera - zjistil jsem ze se spousti dva nezname procesy /nouzovy rezim/odjebat je/autoruns a zjistit co je spousti/jakz takz vycisteno
po spusteni to bylo znova - evidentne tam byla matka ktera generuje dcery a ktera neni na obvyklych mistech k spusteni - no po pul hodce jsem ji mel - nasel jsem ji v rootu disku c:/ jako proces s nazvem explorer.exe - svine vyuzila nedostatku mezi relativnima a absolutnima cestama (v tomto pripade se spousti jako rozhrani explorer.exe z c:/ pac tahle cesta ma vetsi prednost jako systemroot)
jeste na tom bylo zajimavy ze matka (explorer.exe z c:/)mela svuj definicni soubor ktery pri jakekoliv akci menil svou priponu.

pointa:
hledej i na mistech o kterych si myslis ze "tam v zivote ne"
ne vse se spousti pres registry
zkus vyberove spousteni (ms config)-vysleduj u ceho mrcha nabehne (aby popletla system staci mit vhodny nazev a dobre umisteni)
EDIT: v tomto pripade antivir nebyl schopen ji najit (menici se pripona)

Zdravim i kdyz nevim, na ktere strane stojis :)

Skromna otazka -> kolik procent lidi si myslis, ze bude rozumet tvemu prispevku :)

paul wilson

on se nekdo najde
p.s. stojim na sve strane

Samozřejmě, že najde.
BTW: já stojím na malé.

To já zase jednou stál pod vorlojem, to je na Starém městě.

Jedná se o virus W32.Detnat.E

Docela dobře se dá poznat podle toho, že nefunguje pravá myš....
prostě že vám to začne dělat paseku.

Nyní po bitvě bude generálem každý, ale fígl je v tom, že když si nevypnete "System Restore"
tak se toho prostě nezbavíte.

Podrobný návod tu:

http://www.symantec.com/security_response/writeup.j sp?docid=2006-060914-0815-99&tabid=3

Jen tak mimochodem tento vir nenajde ani plně aktualizovaný NOD32 s Ad-Aware.
Dokonce dokázal infikovat spouštěcí soubory NOD32 a Ad-Aware takže tyto programy ten vir šíří.

Pokud chcetě žít v klidu (vzpomeňte si na Matrix) tak si vezměte modrou pilulku.
Pokud chcete vědět jak hluboká je králičí nora tak si ani nemusíte brát červenou pilulku,
stačí když stahnete tohle:

viewtopic.php
(Díky Miloslave)

symantec rulez

To je ale náhoda, dnes som konečne dopozeral Matrix.

offtopic: Ty mas zapnuty system restore? To je jedna zo stovky zbytocnych chujovin ktore som vo svojich WinXP este tyzden po instalacii nachadzal kdekade poskryvane a vypinal jak debil, za sucasneho nadavania na de-Billa. System restore som nasiel v nastaveniach hned po instalacii to bolo prve co som vypol :)

Zdravim vsechny,

par informaci ohledne haveti jmenem ctfmon alias.

Tahle havet sice neni extra nebezpecna, ale celkem dost otravna.

Siri se celkem zajimave:
Po spusteni je vir spusteny v pameti a "ciha" na vlozeni/namapovani noveho disku (vlozeni usb flash, namapovani sitoveho disku, vlozeni pametove karty, atd.)
Jakmile k uvedenemu dojde, vir na tomto novem disku vytvori:
- soubor "autorun.inf"
- adresar "recykled," do nehoz ulozi specifikacni soubor desktop.ini, ktery zpusobi, ze adresar vypada jako "kos" od windows, a do tohoto "kose" ulozi svoji kopii.

Po vlozeni/namapovani infikovaneho disku na jinem pocitaci windows bud automaticky spusti vir na disku, protoze najde "autorun.inf" nebo kdyz na disk kliknete v pruzkumnikovi (tento pocitac -> klik na disk), dojde taktez k jeho spusteni. Program obvykle nahlasi chybu (chyba ve viru) nebo otevre disk aby uzivatel nic nepoznal.
Mezitim se vsak zkopiruje do slozky "po spusteni," aby byl spousten pokazde, kdyz se zapne windows a mohl cihat na dalsi disk, ktery napadne.

Tahle potvurka se celkem slusne siri.

Pro odstraneni je potreba:
- ctrl-alt-delete a zabit proces ctfmon
- ve vsech korenovych adresarich smazat autorun.inf a adresar recycled (totez na vsech svych flashkach.
- smazat ctfmon v adresari "po spusteni" v nabidce start

Pro zamezeni sireni:
- Zakazte automaticke spousteni
- A hlavne: jelikoz ho vsichni znami uz na flashkach urcite maji (byli uz u vas na navsteve) -> neotevirejte flashky v pruzkumnikovi dvojklikem, ale klepnutim pravym tlacitkem a zvolenim "otevrit." Pritomnost viru na flashce poznate tucnou defaultni polozkou "Open(0)": ta je prave definovana v autorun.inf a zpusobi spusteni viru.

Nenasel jsem zadne destruktivni ucinky tohoto. Pokud jej chcete zaslat - pochopitelne ciste ke studijnim ucelum (na hrani) - napiste mi na kaliginium@centrum.cz
Pokud ho jiz mate -> at vam neutece, je to nezmar.

S pozdravem Paul Wilson

Jakmile k uvedenemu dojde, vir na tomto novem disku vytvori:
- soubor "autorun.inf"
...

Takze to vyuziva dementnu neskutocne otravnu fcie WinXP, ktora po vlozeni disku ho prehladava a snazi sa spustat blbosti, a este aj vyhadzuje dementne okno s otazkou "co chcete s diskom robit?" aj ked uz s tym diskom davno robim , nechapem ze to moze mat niekto povolene (zakazat sa to da v registroch, stravil som asi hodinu kym som to zakazal, debilny Bill Gates ze by ho porazilo na mieste). Ak si niekto tuto (najdementnejsiu najotravnejsiu aku som kedy na nejakom OS videl) funkciu nevypne, je si sam na vine.

Ne tak docela.

Pokud se ti spousti funkce "blbeho prohledavani" s nabidkou, co chces delat, tak das nic a vir se nespusti. Tahle funkce s tim nema nic spolecneho. Leda, ze by jsi zvolit "Prehrat automaticky" -> pak by provedl autorun.inf

pww

To je fuk, kto pouziva priskumnika od de-Billa je si tiez sam na vine

autorun.inf používají třeba flešky s U3. Takže kdo používá U3, ten si asi nebude chtít autorun.inf vypínat.

Neviem co je U3 ale to ma niekto problem spustit rucne to exe, ktore je uvedene v autorun.inf? Ja to robim u CD bezne, ak chcem vidiet co robi autorun, tak si pozriem co je v nom (Totalcommander - F3) a spustim si rucne co chcem, ale autorun v 99.9999% pripadov nechcem

Fleška s U3 se při vložení chová jako CD-ROM (read only medium s jednou aplikací), která se při vložení do USB automaticky spustí, zeptá se na heslo, namountuje další (předtím neviditelné) zašifrované medium a do traye hodí menu s nainstalovanými portable aplikacemi a softwarem pro správu.
Jasně že to jde všechno spustit i ručně - ale kdo by to dělal, když je to tak pohodlné.

Ja.
... ptz. autorun ma vzdy naserie do nepricetna a neda sa to povolit len pre U3.

A to já zas ne
Teoreticky s tebou souhlasím... Ani jsem U3 flešdisk nechtěl, připadalo mi to jako blbost.. ale lenost zvítězila.

A teba nestve ze ked do PC strcis nejake CD tak sa ti zacne kde-co automaticky spustat, pripadne dokonca instalovat () ako to ma vo zvyku autorun k podaktory dementnym CD k casopisom apod?

Zase pokud mate u3 tri disk, tak hned poznate, ze mate vira, protoze se vam prestane spoustet vase aplikace na kterou jste zvykli. :)

No - ona se spouštět nepřestane, protože se spouští z té "read-only" části, kam se vir zapsat nemůže.

MM> To mě samozřejmě dost štvalo, ale zjistil jsem, že už tak minimálně rok žádná CD ani DVD nepoužívám - dneska je nějak všechno onlajn.
Takže jediný okamžik, kdy se CD nebo DVD octne v šachtě je, když někomu něco vypalujeme.

Takže jediný okamžik, kdy se CD nebo DVD octne v šachtě je, když někomu něco vypalujeme.

Ja som na svojom NB s WinXP (vtedy este SP1) zistil ze ked strcim prazdne CD do mechaniky (pred vypalovanim) a mal som povoleny autorun a to dementne prehladavanie medii Windowsami, tak ostaval visiet proces explorer.exe (chudak asi prehladaval to prazdne CD donekonecna aj ked som ho uz vypalil a vytiahol z mechaniky ) - pri vypinani Win vybehlo okno ze ukoncuje sa explorer.exe a cakalo to kym ho neodstrelilo. Ked som vypol autorun (myslim ze staci vypnut v registroch alebo cez tweakui to debilne prehladavanie media) tak problem zmizol.

Teraz ma napadlo ze napr. niektore originalne AudioCD instalovali automaticky nejaky svoj dementny prehravac, prip. dokonca rootkit (sony) - to neviem ci automaticky ale asi ano, takze na zapnutie autorunu ma nikto nepresvedci
Ale ok, ako chces.

Prepacte, ze sa vam tu pletiem do konverzacie, ale minuly tyzden som si kupil novy mp3 prehravac Emgeton M6 Cult a po pripojeni k PC mi na nom NOD oznamil trojskeho kona Win32/PSW.QQRob, tiez v subore Autorun.inf. Moze sa jednat o tento pripadne podobny virus? Nechce sa mi verit, ze by tam bol uz od vyroby.

hih to vypada na kachnu soubor autorun.inf otevri v poznamkovem blokuci nejakem textaku pri vypnutem rez. stitu noda a okopci sem prosim obsah . pak si noda zase spust

To uz nebude mozne, vcera som totiz upgradoval firmware (neprehravalo sa mi korektne video). Pytal som sa len zo zaujimavosti.

skoda rad bych to videl co tam bylo za zlotrilost

Jo, takové věci se stávají..
http://www.lockergnome.com/nexus/windows/2005/09/02 /zen-neeon-mp3-player-infected-with-windows-worm/

zlatej sony rootkit na audio cd

ano moze tam byt aj od "vyroby", emgeton nie je nic slavne, podobne ako sony aj s ich virusmi...