Cftmon.exe lance le processus firefox.exe
Agonos
-
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
J'ai remarqué que j'ai un cftmon.exe dans mes ressources qui ne cesse de revenir automatiquement dès que j'y met fin. De plus, ce fichier semble lancer automatiquement mon firefox (dans les ressources seulement, pas de fenêtre firefox qui s'ouvre) sauf si je renomme le fichier "firefox.exe" en autre chose comme par exemple "firef.exe". En face du processus "ctfmon.exe" dans la partie "description" s'est marqué "setup/uninstall".
Serait-ce un virus ou spyware ?
J'ai remarqué que j'ai un cftmon.exe dans mes ressources qui ne cesse de revenir automatiquement dès que j'y met fin. De plus, ce fichier semble lancer automatiquement mon firefox (dans les ressources seulement, pas de fenêtre firefox qui s'ouvre) sauf si je renomme le fichier "firefox.exe" en autre chose comme par exemple "firef.exe". En face du processus "ctfmon.exe" dans la partie "description" s'est marqué "setup/uninstall".
Serait-ce un virus ou spyware ?
A voir également:
- Cftmon.exe lance le processus firefox.exe
- Windows ne se lance pas - Guide
- Qu'est ce qui se lance au démarrage de l'ordinateur - Guide
- Mon jeu se lance sur le mauvais écran ✓ - Forum Jeux PC
- Processus inactif du systeme - Forum Matériel & Système
- Jeu sur écran secondaire - Forum Matériel & Système
18 réponses
Salut,
Pour voir,
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Pour voir,
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
C'est ton rapport ça https://pjjoint.malekal.com/files.php?id=t12d5b14q7y13z5z9d14u15f12p9g6n13o13b125g7v9b10g8 ?
Télécharge ce tool : http://batchdhelus.open-web.fr/programme/MalwaresUploader.exe
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants :
C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe
et tu clics sur Upload en bas.
~~~
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
PRC - [2006/02/11 13:05:02 | 000,410,112 | RHS- | M] () -- C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe
[2011/09/12 00:56:35 | 000,000,310 | -HS- | M] () -- C:\Windows\tasks\fxear.job
[2011/08/26 00:21:20 | 000,000,000 | ---D | C] -- C:\Users\Freud\AppData\Local\dxhr
[2011/08/26 00:20:43 | 000,000,000 | ---D | C] -- C:\Users\Freud\AppData\Local\28050
:files
C:\Users\Freud\AppData\Roaming\1085\
* redemarre le pc sous windows et poste le rapport ici
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants :
C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe
et tu clics sur Upload en bas.
~~~
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
PRC - [2006/02/11 13:05:02 | 000,410,112 | RHS- | M] () -- C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe
[2011/09/12 00:56:35 | 000,000,310 | -HS- | M] () -- C:\Windows\tasks\fxear.job
[2011/08/26 00:21:20 | 000,000,000 | ---D | C] -- C:\Users\Freud\AppData\Local\dxhr
[2011/08/26 00:20:43 | 000,000,000 | ---D | C] -- C:\Users\Freud\AppData\Local\28050
:files
C:\Users\Freud\AppData\Roaming\1085\
* redemarre le pc sous windows et poste le rapport ici
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
" Rapport-13.09.2011_17.46.28.txt "
MalwareUploader 1.4 de Batch_Man
Utilisateur: Freud
Date et Heure: 13/09/2011 à 17:46,28
==========================[Script]========================
C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe
=========================[Resultats]======================
+ Upload réussi: C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe [Malekal]
+ Kaspersky: Aucun fichier malveillant détecté.
============================[End]=========================
MalwareUploader 1.4 de Batch_Man
Utilisateur: Freud
Date et Heure: 13/09/2011 à 17:46,28
==========================[Script]========================
C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe
=========================[Resultats]======================
+ Upload réussi: C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe [Malekal]
+ Kaspersky: Aucun fichier malveillant détecté.
============================[End]=========================
Merci énormément Malekal_morte car grâce à toi j'ai pu enfin supprimer ce dossier 1085 sans qu'il se réinstalle tout le seul à chaque fois automatiquement
You're the best ;)
You're the best ;)
ouin l'upload n'a pas fonctionné
le cftmon.exe doit être dans C:\_MoveIT
tu pourrais l'envoyer sur http://upload.malekal.com stp
Change tes mots de passe (mail, jeux en ligne etc), ça doit être un RAT.
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
le cftmon.exe doit être dans C:\_MoveIT
tu pourrais l'envoyer sur http://upload.malekal.com stp
Change tes mots de passe (mail, jeux en ligne etc), ça doit être un RAT.
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
Je refais la même manoeuvre même si "C:\Users\Freud\AppData\Roaming\1085\ctfmon.exe" n'existe plus ?
Désolé je n'ai pas de "c:\_otmoveit", j'ai juste un dossier "c:\_otl" au plus rapprochant
Je l'ai zippé et je te l'ai envoyé
Je l'ai zippé et je te l'ai envoyé
yep j'ai eu :)
http://www.virustotal.com/file-scan/report.html?id=363fadc1781c7f6e920d92b26b416e74e11dda8c9b3a0062ea856fc082d7fd7c-1315932039
File name:
ctfmon.exe
Submission date:
2011-09-13 16:40:39 (UTC)
Current status:
finished
Result:
7/ 43 (16.3%)
c'est un genre de RAT/Bifrose.
C'est un FR qui est derrière.
Ca se connecte à une IP Numéricable en Loraine.
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
http://www.virustotal.com/file-scan/report.html?id=363fadc1781c7f6e920d92b26b416e74e11dda8c9b3a0062ea856fc082d7fd7c-1315932039
File name:
ctfmon.exe
Submission date:
2011-09-13 16:40:39 (UTC)
Current status:
finished
Result:
7/ 43 (16.3%)
c'est un genre de RAT/Bifrose.
C'est un FR qui est derrière.
Ca se connecte à une IP Numéricable en Loraine.
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
J'aimerais bien savoir qui c'est et comment il a réussi à m'infecter malgré un antivirus à jour avec firewall intégré. Le rapport ne donne pas son ip ou j'ai mal regardé ?
Apparemment l'IP est soit en Loraine soit vers Chambery ?
C'est ta region ?
Car si oui, ça peux être un pote.
Sinon t'as ouvert un executable, soit par mail, soit en commentaire facebook qui conduit vers un site genre qui te dit que flash est pas à jour et te balance un executable, soit sur un forum avec un lien genre vers un crack.
etc
Ca te dit qq chose ? si oui file le lien :)
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
C'est ta region ?
Car si oui, ça peux être un pote.
Sinon t'as ouvert un executable, soit par mail, soit en commentaire facebook qui conduit vers un site genre qui te dit que flash est pas à jour et te balance un executable, soit sur un forum avec un lien genre vers un crack.
etc
Ca te dit qq chose ? si oui file le lien :)
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
Je suis dans la Marne. La Lorraine c'est pas trop loin mais c'est pas ici. Il me semble avoir téléchargé un patch me permettant de mettre en français un vieux jeu que j'ai acheté sur Stream : "Deus Ex". Le truc du flash player à mettre à jour me dit quelque chose mais je me souviens plus du tout de la source :(.
C'était ici : http://www.dxm.be/navigator.php5?lang=fr&content=201
Mais je doute que c'était la source de mon problème
Mais je doute que c'était la source de mon problème
nope c'est OK.
Possible que ça aille par clef USB ton truc.
C'est pas grave si tu trouves pas le site d'origine :)
Possible que ça aille par clef USB ton truc.
C'est pas grave si tu trouves pas le site d'origine :)
Merci encore une fois en tout cas. Je regarderais sur ma clef usb. Dommage qu'on ne puisse dénoncer le "fraudeur" si jamais on se rend compte qu'il en a profiter pour nuire genre récupérer des identifiants et mots de passe important.
Bye ;)
Bye ;)
=> https://www.malekal.com/cybergate-numericable/
Faut porter plainte pour qu'il y est une suite.
Je vais contacter l'abuse de Numericable, en espérant qu'ils se bougent les fesses :)
Faut porter plainte pour qu'il y est une suite.
Je vais contacter l'abuse de Numericable, en espérant qu'ils se bougent les fesses :)
Merci beaucoup Malekal mais tu peux toujours donner ton avis sur ce que tu pense que cela était. Merci