salve, ho notato improvvisamente che il firerwall mi chiedeva autorizzazione alla connessione internet di ctfnom.exe. il file si trova anche come dll di startup e non ne vuole sapere di essere disattivato. sono sicuro che prima non c'era. ho provato a cancellare il file che si trova in system32 ma comunque al riavvio compare sempre nel task manager. ho fatto una scansione con kis2009 al massimo dei settaggi compreso rootkit scan ma niente. su internet si dice che sia un virus o malware con informazioni confuse sul da farsi. è possibile che kis non lo veda?
sapete dirmi di più
grazie
Full Version: ctfnom.exe nello startup
Ciao, sei sicuro che si tratti di ctfnom.exe e non di ctfmon.exe?
QUOTE(skywalker @ 1.07.2008 13:02) 
Ciao, sei sicuro che si tratti di ctfnom.exe e non di ctfmon.exe?
Ciao Sky,
guarda sono un pò confuso e cerco di spiegare perchè. ieri credo mi sia apparso questo fantomatico ctfnom.exe che chiedeva di collegarsi a internet e l'ho bloccato. incuriosito ho cercato di capire chi era e mi è uscito con google una serie di cose preoccupanti ma poco chiare. credo di averlo visto anche nelle startup e nel task manager. ho fatto una ricerca nel sistema e in effetti ho l'ho trovato in system32. l'ho quindi cancellato e sta ancora nel cestino. dopo aver visto il tuo replay ho controllato nel task manager e non c'era, poi dopo aver fatto una ricerca per ctfmon.exe su google ho trovato diverse persone che si lamentavano dell'avvio di questo exe ogni volta che si apriva ie7 o office 2007 ma che comunque era genuino di sistema. ho fatto le prove che dicevano ed in effetti all'avvio di questi due programmi anche lui prende vita. ho seguito i consigli per disabilitare questo automatismo, non mi chiedere perchè disturbava loro la cosa, e in effetti non compare più. i miei sottolineati e tutta questa storia per ribadire che però ieri qualcosa era successo e che il file che è nel cestino (l'ho aperto per controllare) è in effetti proprio ctfnom.exe e che kis mi dice se povro ad avviarlo che è senza firma ed ha un comportamento pericoloso consigliando quindi di bloccarlo. è un mistero. vuoi vedere che per caso o per sbaglio ho beccato un rootkit nascosto buono buono?
sono un pò confuso come ti dicevo e non so se sono riuscito a spiegare la cosa e se questa ha un senso o no.
grazie comunque del tuo interesse e se puoi aggiornami con il tuo parere
massa
Ciao, inviami il file ctfnom.exe via PM.
QUOTE(skywalker @ 1.07.2008 22:03)
Ciao, inviami il file ctfnom.exe via PM.
Scusa Sky,
come si fa?
QUOTE(massalama @ 1.07.2008 22:11)
Scusa Sky,
come si fa?
come si fa?
spero di esserci riuscito
ciao
Ciao, l'ho ricevuto. Si tratta di un eseguibile compresso piuttosto sospetto. L'ho inviato al laboratorio per un'analisi più dettagliata. Ti farò sapere.
QUOTE(skywalker @ 2.07.2008 11:59)
Ciao, l'ho ricevuto. Si tratta di un eseguibile compresso piuttosto sospetto. L'ho inviato al laboratorio per un'analisi più dettagliata. Ti farò sapere.
ciao sky,
scusa ma volevo precisarti, come avevo fatto nell'invio che il file è stato da me compresso con winrar per "impacchettarlo", con l'idea che se si tratta di qualcosa di pericoloso, meglio era ingabbiarlo un pò. di per se mi sembra un file .exe, il che non lo rende meno sospetto, anzi. o forse la compressione era presente anche dopo averlo "scartato" dal file di winrar? nel caso scusa la mia ignoranza.
resto in attesa di notizie
e grazie come sempre
QUOTE(massalama @ 3.07.2008 06:59)
ciao sky,
scusa ma volevo precisarti, come avevo fatto nell'invio che il file è stato da me compresso con winrar per "impacchettarlo", con l'idea che se si tratta di qualcosa di pericoloso, meglio era ingabbiarlo un pò. di per se mi sembra un file .exe, il che non lo rende meno sospetto, anzi. o forse la compressione era presente anche dopo averlo "scartato" dal file di winrar? nel caso scusa la mia ignoranza.
resto in attesa di notizie
e grazie come sempre
scusa ma volevo precisarti, come avevo fatto nell'invio che il file è stato da me compresso con winrar per "impacchettarlo", con l'idea che se si tratta di qualcosa di pericoloso, meglio era ingabbiarlo un pò. di per se mi sembra un file .exe, il che non lo rende meno sospetto, anzi. o forse la compressione era presente anche dopo averlo "scartato" dal file di winrar? nel caso scusa la mia ignoranza.
resto in attesa di notizie
e grazie come sempre
ciao sky,
hai saputo più niente dal lab del file in questione?
saluti
QUOTE(massalama @ 24.07.2008 21:46)
ciao sky,
hai saputo più niente dal lab del file in questione?
saluti
hai saputo più niente dal lab del file in questione?
saluti
Visto che sky è assente se puoi inviarmi il campione a me che lo analizzo di persona;
ti so dire appena posso(mezzoretta circa)
Ciao!
Ciao, massalama, si trattava di un virus, Trojan.Win32.Inject.eht.
QUOTE(skywalker @ 31.07.2008 10:20)
Ciao, massalama, si trattava di un virus, Trojan.Win32.Inject.eht.
grazie sky,
quindi lo faccio fuori. ma perchè kis non lo rilevava? mi domando poi dove accidenti l'ho preso! è uno di quelli che entrano via web?
CORREGGO: l'avevo lasciato impacchettato senza più fare una scan con kis, che ora invece anche zippato (da me) lo rileva appunto come Trojan.Win32.Inject.eht.
bene! mi rimane la domanda: da dove veniva?
QUOTE(massalama @ 1.08.2008 07:53)
bene! mi rimane la domanda: da dove veniva?
Difficile dirlo, le fonti possono essere numerose: file allegati alla posta, pagine web, software ottenuto da fonti non sicure ecc.
Può capitare, ad esempio, che un eseguibile sano ne contenga un altro infetto allo stato compresso: se lanci il primo, viene eseguito anche il secondo. Alcuni virus sono anche in grado di scaricare autonomamente altri processi maligni dal web, è il caso dei cosiddetti trojan-downloader. Purtroppo, non potendo esaminare di persona la tua macchina, posso soltanto limitarmi alle ipotesi.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.