Đăng Nhập
Tìm kiếm
Top posting users this month
| No user |
Thống Kê
Hiện có 4 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 4 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Sự thật về tiến trình tự động chạy CTFMON.EXE
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN :: Thông tin cập nhật Top Virus by Security 2TVN
Trang 1 trong tổng số 1 trang
03062010
Sự thật về tiến trình tự động chạy CTFMON.EXE
Rất nhiều người dùng máy tính đã từng "vò đầu bứt tai" với tiến trình tự động chạy tên là "ctfmon.exe" . Đó là gì?
Tìm kiếm trên Google với từ khóa "ctfmon.exe", bạn sẽ nhận được hàng trăm kết quả với các ý kiến khác nhau về tiến trình này. Các ý kiến đều tập trung về hai hướng giải thích đây là một tiến trình của bộ phần mềm Office hoặc là trojan. Thật vậy, có đến hai "loại" ctfmon.exe đều có biểu tượng tệp tin là
Loại 1: Đây là một dịch vụ của bộ phần mềm Office có nhiệm vụ khởi chạy Alternative User Input Text Input Processor và Office Language Bar. Dịch vụ này giám sát hoạt động nhập liệu của người dùng để cung cấp các phương pháp nhập liệu thích hợp như giọng nói, viết tay, bàn phím. Tiến trình ctfmon.exe sẽ được cài cùng với bộ Office khi bạn chọn Alternative User Input trong Office Shared Features. Để vô hiệu hóa tiến trình này bạn thực hiện như sau (áp dụng với Windows XP Professional): Vào Start->Control Panel->Add or Remove Programs, nhấn Microsoft Office và chọn Change, trong cửa sổ hiện ra, bạn đánh dấu vào ô Choose advanced optimization of applications rồi nhấn Next, trong cửa sổ tiếp theo bạn tìm đến mục Alternative User Input trong Office Shared Features, nhấn và thay đổi biểu tượng thành hình chữ X (Not available) rồi chọn Update.
Sau đó bạn trở về Control Panel, chọn Date, Time, Language and Regional Options->Regional and Language Options, nhấn vào thẻ Languages và nhấn Details, trong cửa sổ Text Services and Input Languages hiện ra bạn nhấn vào thẻ Advanced và đánh dấu chọn ô Turn off advanced text services, nhấn OK. Vậy là ctfmon.exe "loại 1" đã ra đi!
Loại hai: Đây là trojan Vb.AQT (một số tên khác như FakeRecycled.AQT!tr, Recycled.20480). Sau khi được kích hoạt trên máy tính, nó sẽ thực hiện các "hành vi bất chính" sau:
- Tạo các thư mục và tệp tin sau trên các thiết bị lưu trữ như đĩa mềm, usb, đĩa cứng:
[Tên ổ đĩa]:\autorun.inf
[Tên ổ đĩa]:\Recycled\desktop.ini
[Tên ổ đĩa]:\Recycled\INFO2
- Tạo một bản sao của chính nó ở [Tên ổ đĩa]:\Recycled\Recycled\ctfmon.exe
- Tạo các file ctfmon.exe và desktop.ini trong thư mục Startup của Windows
- Thực hiện các hành vi giống như trên nhưng với tên thư mục khác là RECYCLER
Trojan này cực kỳ mưu mô ở chỗ nếu bạn nhấn đúp vào thư mục Recycled giả thì sẽ được dẫn đến thư mục Recycled thật ngay. Để thấy được "bản chất bên trong" của thư mục này, bạn phải dùng đến một mẹo khác: cài đặt các phần mềm nén như Winrar, Winzip, mở ổ đĩa tương ứng, nhấn chuột phải lên thư mục Recycled (bạn phải chọn Show hidden files and folders và bỏ chọn ở phần Hide protected operating system files trong Folder Options mới thấy được thư mục này), dùng lệnh Compress to... trên menu ngữ cảnh để tạo một file nén từ thư mục Recycled kể trên, cuối cùng bạn mở file nén đó ra và "chiêm ngưỡng" nội dung bên trong.
Các thiết bị lưu trữ bị nhiễm trojan này sẽ gặp tình trạng không thể truy xuất trực tiếp bằng cách nhấn đúp và bạn phải nhấn chuột phải chọn Explore. Nguy hiểm hơn, theo thông tin trên một số diễn đàn tin học, trojan Vb.AQT có thể đóng vai trò như một spyware hay keylogger để đánh cắp thông tin cá nhân của người dùng.
Đừng lo lắng! Bạn có thể dễ dàng diệt trojan này với ba bước như sau:
Bước 1: Sử dụng tính năng Search của Windows với các từ khóa "Recycled", "RECYCLER", "INFO2", "ctfmon" để xác định đường dẫn của các thư mục và tệp tin tạo ra bởi trojan (bạn nhớ đánh dấu chọn phần Search hidden files and folders trước khi tìm kiếm). Đường dẫn sẽ giống với miêu tả ở phần trên, bạn có thể còn tìm thấy một số đường dẫn đến những thư mục cache của Windows như Prefetch, dllcache...
Bước 2: Xóa tất cả các tệp tin và thư mục tìm thấy. Nếu xuất hiện thông báo lỗi không thể xóa được, bạn làm như sau: Tải tệp tin ảnh iso của đĩa boot Acronis Disk Director Suite tại địa chỉ [You must be registered and logged in to see this link.] hay [You must be registered and logged in to see this link.] rồi ghi ra đĩa CD, sau đó khởi động máy tính bằng đĩa này. Trong giao diện của chương trình, bạn nhấn đúp vào tên ổ đĩa rồi di chuyển đến các tệp tin và thư mục cần xóa, chọn và nhấn vào biểu tượng hình chữ X để xóa, bạn cứ an tâm là sẽ không có thông báo lỗi nào cả
Bước 3 (tùy chọn): Dù hai bước trên đã đủ để tống khứ trojan Vb.AQT, nhưng bạn nên dùng các phần mềm antivirus như Bitdefender hay Kaspersky để kiểm tra lại cho... chắc ăn.
(Lưu ý, nếu bạn bỏ hai bước trên mà chỉ dùng phần mềm antivirus để diệt thì sẽ không thành công, vì thường phần mềm này chỉ quét và phát hiện chứ không "xử lý” được trojan).
Tìm kiếm trên Google với từ khóa "ctfmon.exe", bạn sẽ nhận được hàng trăm kết quả với các ý kiến khác nhau về tiến trình này. Các ý kiến đều tập trung về hai hướng giải thích đây là một tiến trình của bộ phần mềm Office hoặc là trojan. Thật vậy, có đến hai "loại" ctfmon.exe đều có biểu tượng tệp tin là
 |
Sau đó bạn trở về Control Panel, chọn Date, Time, Language and Regional Options->Regional and Language Options, nhấn vào thẻ Languages và nhấn Details, trong cửa sổ Text Services and Input Languages hiện ra bạn nhấn vào thẻ Advanced và đánh dấu chọn ô Turn off advanced text services, nhấn OK. Vậy là ctfmon.exe "loại 1" đã ra đi!
Loại hai: Đây là trojan Vb.AQT (một số tên khác như FakeRecycled.AQT!tr, Recycled.20480). Sau khi được kích hoạt trên máy tính, nó sẽ thực hiện các "hành vi bất chính" sau:
- Tạo các thư mục và tệp tin sau trên các thiết bị lưu trữ như đĩa mềm, usb, đĩa cứng:
 |
[Tên ổ đĩa]:\Recycled\desktop.ini
[Tên ổ đĩa]:\Recycled\INFO2
- Tạo một bản sao của chính nó ở [Tên ổ đĩa]:\Recycled\Recycled\ctfmon.exe
- Tạo các file ctfmon.exe và desktop.ini trong thư mục Startup của Windows
- Thực hiện các hành vi giống như trên nhưng với tên thư mục khác là RECYCLER
Trojan này cực kỳ mưu mô ở chỗ nếu bạn nhấn đúp vào thư mục Recycled giả thì sẽ được dẫn đến thư mục Recycled thật ngay. Để thấy được "bản chất bên trong" của thư mục này, bạn phải dùng đến một mẹo khác: cài đặt các phần mềm nén như Winrar, Winzip, mở ổ đĩa tương ứng, nhấn chuột phải lên thư mục Recycled (bạn phải chọn Show hidden files and folders và bỏ chọn ở phần Hide protected operating system files trong Folder Options mới thấy được thư mục này), dùng lệnh Compress to... trên menu ngữ cảnh để tạo một file nén từ thư mục Recycled kể trên, cuối cùng bạn mở file nén đó ra và "chiêm ngưỡng" nội dung bên trong.
 |
Đừng lo lắng! Bạn có thể dễ dàng diệt trojan này với ba bước như sau:
Bước 1: Sử dụng tính năng Search của Windows với các từ khóa "Recycled", "RECYCLER", "INFO2", "ctfmon" để xác định đường dẫn của các thư mục và tệp tin tạo ra bởi trojan (bạn nhớ đánh dấu chọn phần Search hidden files and folders trước khi tìm kiếm). Đường dẫn sẽ giống với miêu tả ở phần trên, bạn có thể còn tìm thấy một số đường dẫn đến những thư mục cache của Windows như Prefetch, dllcache...
 |
Bước 3 (tùy chọn): Dù hai bước trên đã đủ để tống khứ trojan Vb.AQT, nhưng bạn nên dùng các phần mềm antivirus như Bitdefender hay Kaspersky để kiểm tra lại cho... chắc ăn.
(Lưu ý, nếu bạn bỏ hai bước trên mà chỉ dùng phần mềm antivirus để diệt thì sẽ không thành công, vì thường phần mềm này chỉ quét và phát hiện chứ không "xử lý” được trojan).
BS Se S2T- Chuyên viên an ninh Se S2T
-
Con Giáp : 
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 797
Điểm Se S2T : 115494
Sinh Nhật : 03/11/1990
Tham gia ngày : 29/04/2010
Tuổi : 33
Đến từ : Thành Phố Hoa Hồng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T: (35/50)
Share this post on:
Similar topics» Action Timer 2010 v2.0.1.17 - Phần mềm hẹn giờ đa năng, từ tắt máy, tắt / chạy tiến trình, ... đến nhắc việc, chương trình đều giúp bạn thực hiện một cách hiệu quả
» Process Lasso : Tự động tắt tiến trình làm chậm máy
» Firefox: Tải file siêu tốc với DownThemAll! 2 Beta - Tiện ích thay thế tuyệt vời cho các trình hỗ trợ Down Load ngoài Trình duyệt.
» Những nguyên nhân khiến máy tính hoạt động chậm Các chương trình và tệp tin trên máy tính mới “đập hộp” luôn có tốc độ hoạt động nhanh như chớp. Đáng tiếc, “phong độ” của chúng không kéo dài và dần mất đi khả năng ban đầu.
» Sưu tập các chương trình tiện ích nén dữ liệu
» Process Lasso : Tự động tắt tiến trình làm chậm máy
» Firefox: Tải file siêu tốc với DownThemAll! 2 Beta - Tiện ích thay thế tuyệt vời cho các trình hỗ trợ Down Load ngoài Trình duyệt.
» Những nguyên nhân khiến máy tính hoạt động chậm Các chương trình và tệp tin trên máy tính mới “đập hộp” luôn có tốc độ hoạt động nhanh như chớp. Đáng tiếc, “phong độ” của chúng không kéo dài và dần mất đi khả năng ban đầu.
» Sưu tập các chương trình tiện ích nén dữ liệu
Permissions in this forum:
Bạn không có quyền trả lời bài viết
