Avira Si Blocca Alla Scansione Di Ctfmon.exe

[frankguitarist]

Come da titolo, facendo la scansione completa sia in provvisoria che normale avira si blocca a quel file, dovrei escluderlo dalla scansione?

Eppure si trova in una cartella delicata come system32....

Un grazie in anticipo.

[Luna75]

Carica su Virus Total (http://www.virustotal.com) il file ctfmon.exe contenuto in C:\WINDOWS\system32\ e posta il risultato della scansione.

Bisogna capire se ctfmon.exe è il file legittimo dell'applicazione Office o se è una variante malware (rinominata come ctfmon32.exe).

[frankguitarist]

Eccolo in allegato il risultato....sembra tutto ok....Eppure ci deve essere qualche problema perchè non riesco a navigare in internet, sia con firefox che con explorer.....

Non riesco a fare scansioni online....Virus non credo di averne presi perchè sia malwarebites che spybot mi dicono che non ho nulla(eseguiti in provvisoria).....

Nel dubbio ti allego anche il log di hijackthis.Pensi si possa esser corrotto il protocollo tcp/ip?Eppure msn funziona benissimo ed anche altre applicazioni...ma con internet e firefox devo sempre ogni tanto aggiornare con f5.

ctfmon.txt

hijackthis.log

[Luna75]

http://forum.wininizio.it/index.php?showtopic=98188

esegui anche un log di combofix.

Fai una pulizia con CCleaner dei temp, uno scandisk con riparazione degli errori e un defrag.

Per la corruzione del protocollo vediamo poi

[frankguitarist]

Al momento non sono a casa x eseguire combofix.

Per il defrag e lo scandisk cosa uso?

Jkdefrag può andare? Se si con quali settings, può andare bene l'ottimizzazione veloce?Sai ho 2 hdd non vorrei ci impiegasse 1 giorno intero...

Lo eseguo dopo aver eseguito combofix e ccleaner?

Io al momento ho il ripristino di configurazione di sistema sempre disattivato...lo tengo ancora così per queste operazioni?

[Luna75]

Jkdefrag è un buon software, l'ho usato tempo fa.

Procedi come scrivi nel messaggio.

[frankguitarist]

combofix mi dice che c'è avira in real scan che è attivo e forse potrebbe causare danni.

Cosa faccio?

Dalla guard di avira ho disabilitato il controllo in real time ma è ancora aperto avira, che faccio, eseguo cmq?

[frankguitarist]

ho eseguito lo scan con combofix e dice di aver cancellato qualcosa.

ComboFix.txt

[Luna75]

Ci sono tracce di un'infezione da bagle.

Prova a seguire questo post, http://forum.wininizio.it/index.php?showtopic=99241 e ad allegare qualche log relativo a qualchee alle applicazioni indicate

Modificato October 29, 2009 da Luna75

[frankguitarist]

Niente credo....Ho eseguito fxbeagle in provvisoria perchè mi dava errore di c++ runtime.

Poi elibagla e anche beaglegui.

Sembro a posto.

Per ora internet e firefox vanno e non ho avuto una caduta della connessione.

Per il log di hijackthis mi consigli qualcosa?

Te ne posto uno nuovo dopo le modifiche.

CHe mi dici del file iereset.inf, ha subito modifiche?

Ti ringrazio per la tua cortesia.

InfoSat.txt

resolve.log

FxBeagle.log

hijackthis.log

[frankguitarist]

Ancora qualche problema con internet explorer e firefox, ma molto meglio rispetto a ieri.

Premetto che ho aggiornato anche all'ultima versione e disabilitato qualche plugin di firefox per avviarlo più velocemente.

[Luna75]

Ciao,

limina la cartella c\qoobox, ,, pulisci con ccleaner..

[frankguitarist]

ho provato ad eliminarla ma rimane nel cestino.Idem da provvisoria.

Ho provato con ccleaner ed anche con ashampoo che ha la funzione file wiper ma rimane la cartella qoobox con 65mb circa nel cestino...

[$angelique!?]

Ciao frà!,

disinstalla uno dei due antivirus (tra AVG e Antivir)

[frankguitarist]

Avira è il mio antivirus principale.

Avg è solo il link scanner.Levo cmq?

L'ho installato da poco linkscanner ma da prima internet dava problemi.Per non parlare del fatto che non riesco + a creare punti di ripristino....

[frankguitarist]

Ho tolto linkscanner ed ho fatto una scansione online con eset smart installer.

Ha trovato 2 virus e li ha eliminati erano dei crack ma ancora in dei file .rar.

Ho riprovato con avira e si blocca nuovamente al file ctfmon.exe

[$angelique!?]

Ciao frà!,

Con tutte le applicazioni chiuse e disconnesso da internet

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVGLS\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVGLS\Toolbar\IEToolbar.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVGLS\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [eBayToolbar] "C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [DNS7reminder] "C:\Programmi\Nuance\NaturallySpeaking10\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\Nuance\NaturallySpeaking10\Ereg.ini

O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVGLS\avgtray.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O23 - Service: AVG LinkScanner® WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVGLS\avgwdsvc.exe

Scarica TFC by OldTimer sul desktop

chiudi tutti i programmi

avvia TFC, clicca su "star"

al termine della scansione ti chiederà il riavvio, dai ok

Scarica ZHPDiag sul desktop

chiudi tutti i programmi

lo estrai, cerca il file ZHPDiag.exe, lo avvii

clicca sulla lente d'ingrandimento ed esegui la scansione,

alla fine allega il log che verrà rilasciato

lo troverai nella stessa cartella (ZHPDiag.txt)

[frankguitarist]

Caro Angelique, perchè devo fixare itunes helper?

Io ho itunes installato sull'altro hdd che è sempre connesso cmq.

Itunes non mi ha mai dato problemi.

La toolbar di ebay idem ma è per qualche vulnerabilità?

Devo fixare spybot pure?

Mi sa che quella è la regola che crea per il file host correggimi se sbaglio.

Modificato November 2, 2009 da frà!

[Luna75]

Caro Angelique, perchè devo fixare itunes helper?

La toolbar di ebay idem ma è per qualche vulnerabilità?

Ciao

devi fixare i tunes perchè parte all'avvio, e sprechi risorse inutili per il sistema operativo..

La toolbar è inutile, già una è un orpello...:

Ps: se vuoi esegui il post n° 17..

Modificato November 3, 2009 da Luna75

[frankguitarist]

@ luna75:

Quale post?

Comunque per fortuna internet e firefix non si bloccano più grazie al vostro aiuto.

Non riesco a cancellare la cartella qoobox in c.

@ angelique Ecco il log.

Il problema di avira continua ancora per ctfmon.

Nel dubbio ieri ho fatto una scansione con panda antirootkit ma non ha trovato niente.

ZHPDiag.Txt

[H5N1]

Disinstalla combofix lanciando il comando

combofix /u

dalla stessa posizione in cui è presente il file.

Apri il prompt dei comandi e tramite il comando CD posizionati dov'è presente il file combofix.exe.

Ad esempio se è presente sul Desktop scriverai:

CD %userprofile%\Desktop

dopodiche, sempre nel prompt, digita

combofix /u

Modificato November 3, 2009 da H5N1

[frankguitarist]

ho eseguito solo il primo ma per il 2o e 3o mi dice che non è valido, cmq da desktop è sparito il programma.

La cartella qoobox è rimasta e si è creato in c la cartella combofix con l'eseguibile nircmdB.exe.

A questo punto mi son perso.

Modificato November 3, 2009 da frà!

[H5N1]

Probabilmente la disinstallazione non è andata a buon fine o non è stata completata.

Riesci ad eliminare la cartella?

[frankguitarist]

No, dice che è protetta da scrittura....anche se dentro ci sono 0 bytes ma in realtà non è qoobox che nn si cancella, ma la cartella che c'è dentro un adware mi sembra guadagnare 200euro.