|
无聊的时候用百度一项项的查进程里的那些东西是什么,居然发现了两个病毒,但是瑞星一直没有报道,现在把收到的一些资料发下。
=========================================================================
程序ctfmon.exe是有关输入法的一个可执行程序,系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动,进入系统后你的电脑任务栏中的输入法图标(即语言栏)就不见了。
要设置ctfmon.exe随机自动启动,可以单击“开始”——>“运行”——>输入“msconfig”(引号不要输入),回车——>打开“系统配置使用程序”窗口——>选择“启动”页,找到ctfmon项并在其前面打上钩,按“应用”、“确定”,重启机器即可生效。
如果在“启动”页,找不到ctfmon项,说明注册表中已将该项删除,可以单击“开始”——>“运行”——>输入“regedit”(引号不要输入),回车——>打开“注册表编辑器”,定位到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run,在窗口的右侧新建名字为ctfmon.exe的字符串值(REG_SZ),并将其值设置为“C:\\WINDOWS\\system32\\ctfmon.exe”,然后关闭注册表编辑器,再执行前一步的操作即可。
(注明:ctfmon.exe并非一定是病毒,ctfmon.exe也可能是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。)
ctfmon - ctfmon.exe - 进程信息
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
常见错误: N/A
是否为系统进程: 否
如果你的win2000系统装了officeXP或以上版本,它会在你和系统里留下一个可误的ctfmon.exe,这真的是一个恶魔,曾经困扰了无数的网友。今天我决意执起正义之剑,斩妖除魔,还网友一个纯洁的中英文输入空间!
在对它行刑之前,我先来宣读一下他的罪状:
1. 无论你打开什么窗口,总会弹出一个输入法工具体,并且默认是中文输入,非常讨厌。
2. 它替换了原来的区域和输入法设置,并以一个文字服务的设置取而代之,而且不能设置默认的输入法。
3. 结束掉原来的输入法工具进程internat.exe,并令他不能在开机时起动。
4. 将自己放在开机时启动的程序列表中,除非修改注册表,否则无法去除。
5. 像病毒一样有重生能力,当你把ctfmon.exe删了以后,他又会随着Office的启动而重新生成。
6. 当你结束了ctfmon.exe后,经常会出现输入法切换快捷键乱掉的情况。
好,经最高程序员审判庭批准,现对ctfmon.exe执行死行,立即执行!
第一步:右击任务栏空白处,点“任务管理器”。
第二步:找到ctfmon.exe,并终止它。
第三步:在系统目录下的system32目录下找到ctfmon.exe,删除掉。
第四步:写一个最简单的api程序(代码见附录),编译后放到ctfmon.exe所在目录,并更名为ctfmon.exe。
第五步:点击“开始”菜单,点击“运行”,输入internat.exe后点击确定。
第六步:重起计算机。
执行完毕!
附:
1. 程序代码如下:
#include <windows.h>
int APIENTRY WinMain( HINSTANCE, HINSTANCE, LPTSTR, int )
{
HANDLE m_hMutex = CreateMutex( NULL, TRUE, \"ctfmon.exe\" );
if( GetLastError() != ERROR_ALREADY_EXISTS )
while ( 1 ) Sleep( INFINITE );
return 0;
}
2. 如果执行后发现word的输入法无法正确使用,解决办法如下:
第一步:打开word(废话)
第二步:点击“工具”菜单中的“选项”子菜单。点击“编辑”选项卡。
第三步:清除“输入法控制处于活动状态”的复选。点击“确定”
第四步:点击“工具”菜单中“语言”子菜单中的“设置语言”项。
第五步:在列表中选择“英语 美国”,点击确定。
第六步:关闭Word,重起计算机。
解决
=============================================================================
病毒名称:N/A(Kaspersky )
病毒大小:14336 bytes
加壳方式:UPX
样本MD5:b0ba90950d1db44bd8da17553611cea9
样本SHA1:4e17f2fbb139bff180b299bd99598aa14dd41a26
编写语言:Microsoft Visual C++ 6.0
行为分析:
1,病毒运行后释放病毒文件、删除自身:
%WINDOWS%\\MsIMMs32.exe
%system32%\\MsIMMs32.dll
2,将释放的文件MsIMMs32.dll插入到系统进程explorer.exe 中,并记录鼠标操作。
3,修改注册表,添加启动项,以达到随机启动的目的:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\
Windows\\CurrentVersion\\Run]
“MsIMMs32”=“%WINDOWS%\\MsIMMs32.exe”
4,尝试关闭相关进程:
DefWatch
KWatchSvc
KPfwSvc
kvsrvxp
McAfeeFramework
McShield
McTaskManager
Norton AntiVirus Server
ravmon.exe
5,读取C:\\data\\config.ini文件的内容,如发现“AutoUpdate”有关的则记录。
6,使用SeDebugPrivilege 获取进程句柄的应用程序名,如发现彩虹岛游戏的进程在运行状态则关闭其进程并开始记录键盘操作,从而盗取密码。 字串9
7,当打开www.sdo.com(盛大网站),病毒则记录用户的登陆信息,盗取用户的盛大通行证的账号与密码。
手动清除方法:
1,删除添加的注册表项:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\
Windows\\CurrentVersion\\Run]
“MsIMMs32”=“%WINDOWS%\\MsIMMs32.exe”
2,结束explorer.exe进程
3,删除文件:
%WINDOWS%\\MsIMMs32.exe
%system32%\\MsIMMs32.dll
参考资料:http://www.newjian.com/mumachasha/2007/0730/319.html |
|