Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Al revisar los programas del inicio del sistema, aparece la descripcion de estos, en la cual a muchos programas lo mencionan como virus/espia/etc, pero tambien como parte normal de windows/office/u otros programas.

Que significa eso??

Como puedo saber debo eliminarlo?


Gracias.

Hola

Muy facil mira por ejemplo, el proceso svchost.exe es un proceso legitimos de windows que nunca debe ser terminado su ubicacion original es la de system 32 si se esta ejecutando desde otra carpeta que no sea puede ser un malware debes tener mucho cuidado al tratar de eliminar archivos, como saber si un archivo que se esta ejecutando es legitimo facil por ejemplo el archivo mbam.exe(malwarebytes) lo vas y lo buscas en su carpeta y si aparece es legitimo tambien algunos virus pueden crear falsos ejecutables como Svhost - el verdadero es Svchost...


Salu2

Esto es usando el Spybot.
Para X proceso, aparecen multiples descripciones, tanto como elemento bueno y malo.

No se como poder insertar una imagen de pantalla, podria ser mas claro.

Por ejemplo aparecen varios CTFMON.EXE, es normal?

Aqui dejo el reporte de Spybot


--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2009-04-10 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-01-26 advcheck.dll (1.6.2.15)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-03-25 Includes\Adware.sbi
2009-04-21 Includes\AdwareC.sbi
2009-01-22 Includes\Cookies.sbi
2009-03-31 Includes\Dialer.sbi
2009-04-21 Includes\DialerC.sbi
2009-01-22 Includes\HeavyDuty.sbi
2009-04-21 Includes\Hijackers.sbi
2009-04-21 Includes\HijackersC.sbi
2009-03-17 Includes\Keyloggers.sbi
2009-04-21 Includes\KeyloggersC.sbi
2009-04-07 Includes\Malware.sbi
2009-04-21 Includes\MalwareC.sbi
2009-03-25 Includes\PUPS.sbi
2009-03-31 Includes\PUPSC.sbi
2009-01-22 Includes\Revision.sbi
2009-01-13 Includes\Security.sbi
2009-04-21 Includes\SecurityC.sbi
2008-06-03 Includes\Spybots.sbi
2008-06-03 Includes\SpybotsC.sbi
2009-04-07 Includes\Spyware.sbi
2009-04-21 Includes\SpywareC.sbi
2009-04-07 Includes\Tracks.uti
2009-04-21 Includes\Trojans.sbi
2009-04-21 Includes\TrojansC.sbi
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Located: HK_LM:Run, ATICCC
command: "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"
file: C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe
size: 90112
MD5: 0DC2E1B6951BD2170BC47F0EEBF629B3

Located: HK_LM:Run, Broadcom Wireless Manager UI
command: C:\WINDOWS\system32\WLTRAY.exe
file: C:\WINDOWS\system32\WLTRAY.exe
size: 1392640
MD5: 17CEC1CB41C5580DBE20984FC73BC4F4

Located: HK_LM:Run, ccApp
command: "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
file: C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
size: 58728
MD5: 2BA8D150B3F071D1823D82157D5C934E

Located: HK_LM:Run, Dell QuickSet
command: C:\Archivos de programa\Dell\QuickSet\quickset.exe
file: C:\Archivos de programa\Dell\QuickSet\quickset.exe
size: 1032192
MD5: 98F1438F5ACC6D55FE3DD7B3B2EBD76D

Located: HK_LM:Run, QD FastAndSafe
command: C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler
file: C:\Archivos de programa\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe
size: 37480
MD5: 4E8365CCD0443EE7012891B9A1AD22F6

Located: HK_LM:Run, SigmatelSysTrayApp
command: stsystra.exe
file: C:\WINDOWS\stsystra.exe
size: 282624
MD5: 289BDC9E5681BD1BE0FB871C460BD254

Located: HK_LM:Run, SunJavaUpdateSched
command: "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
file: C:\Archivos de programa\Java\jre6\bin\jusched.exe
size: 148888
MD5: 3237A58DC79C051004CD3A67C8FBC781

Located: HK_LM:Run, Symantec NetDriver Monitor
command: C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
file: C:\ARCHIV~1\SYMNET~1\SNDMon.exe
size: 100056
MD5: EF717299B460F556A31B8C9CE35CBF15

Located: HK_LM:Run, SynTPEnh
command: C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
file: C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
size: 761947
MD5: ABB85828C394CEACACBC90373C59C529

Located: HK_LM:Run, Tweak UI
command: RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
file: C:\WINDOWS\system32\TWEAKUI.CPL
size: 106544
MD5: 60C0F454521212A09ED0961050128C63

Located: HK_CU:Run, CTFMON.EXE
where: .DEFAULT...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: DAAE1CB1B1875B760496E7D3336DA1AD

Located: HK_CU:Run, CTFMON.EXE
where: PE_C0_S-1-5-21-299502267-764733703-682003330-500...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: DAAE1CB1B1875B760496E7D3336DA1AD

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-19...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: DAAE1CB1B1875B760496E7D3336DA1AD

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-20...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: DAAE1CB1B1875B760496E7D3336DA1AD

Located: HK_CU:Run, ctfmon.exe
where: S-1-5-21-299502267-764733703-682003330-1003...
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: DAAE1CB1B1875B760496E7D3336DA1AD

Located: HK_CU:Run, Norton SystemWorks
where: S-1-5-21-299502267-764733703-682003330-1003...
command: "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
file: C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe
size: 132248
MD5: DF64A32E9DB3A70C95B5675117D3B7EE

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-21-299502267-764733703-682003330-500...
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: DAAE1CB1B1875B760496E7D3336DA1AD

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-18...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: DAAE1CB1B1875B760496E7D3336DA1AD

Located: Inicio (común), Inicio rápido de Adobe Acrobat.lnk
where: C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio...
command: C:\WINDOWS\Installer\{AC76BA86-1034-4700-7760-000000000002}\SC_Acrobat.exe
file: C:\WINDOWS\Installer\{AC76BA86-1034-4700-7760-000000000002}\SC_Acrobat.exe
size: 25214
MD5: D6294D59171AC375CD142003566AA89E

Located: Inicio (desactivado), Acrobat Assistant (DISABLED)
command: C:\ARCHIV~1\Adobe\ACROBA~2.0\Distillr\acrotray.exe
file: C:\ARCHIV~1\Adobe\ACROBA~2.0\Distillr\acrotray.exe
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: Inicio (desactivado), Adobe Gamma Loader (DISABLED)
command: C:\ARCHIV~1\ARCHIV~1\Adobe\CALIBR~1\ADOBEG~1.EXE
file: C:\ARCHIV~1\ARCHIV~1\Adobe\CALIBR~1\ADOBEG~1.EXE
size: 113664
MD5: C2FF17734176CD15221C10044EF0BA1A

Located: Inicio (desactivado), BlueSoleil (DISABLED)
command: C:\ARCHIV~1\IVTCOR~1\BLUESO~1\BLUESO~1.EXE
file: C:\ARCHIV~1\IVTCOR~1\BLUESO~1\BLUESO~1.EXE
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: Inicio (desactivado), DataViz Inc Messenger (DISABLED)
command: C:\ARCHIV~1\ARCHIV~1\DataViz\DVZINC~1.EXE
file: C:\ARCHIV~1\ARCHIV~1\DataViz\DVZINC~1.EXE
size: 28672
MD5: 348580AB2A59E3FF26832986713A7B7B

Located: Inicio (desactivado), HotSync Manager (DISABLED)
command: C:\ARCHIV~1\palmOne\HOTSYNC.EXE -logon
file: C:\ARCHIV~1\palmOne\HOTSYNC.EXE
size: 471040
MD5: F8FB2CA91F25D3EAA2CAE2F0B55FEC54

Located: Inicio (desactivado), HOTSYNCSHORTCUTNAME (DISABLED)
command: C:\ARCHIV~1\palmOne\Hotsync.exe -logon
file: C:\ARCHIV~1\palmOne\Hotsync.exe
size: 471040
MD5: F8FB2CA91F25D3EAA2CAE2F0B55FEC54

Located: Inicio (desactivado), Inicio rápido de Adobe Acrobat (DISABLED)
command: C:\WINDOWS\Installer\{AC76BA86-1034-4700-7760-000000000002}\SC_Acrobat.exe
file: C:\WINDOWS\Installer\{AC76BA86-1034-4700-7760-000000000002}\SC_Acrobat.exe
size: 25214
MD5: D6294D59171AC375CD142003566AA89E

Located: Inicio (desactivado), Logitech Desktop Messenger (DISABLED)
command: C:\ARCHIV~1\Logitech\DESKTO~1\8876480\Program\LDMC onf.exe /start
file: C:\ARCHIV~1\Logitech\DESKTO~1\8876480\Program\LDMC onf.exe
size: 196608
MD5: 6F2E5108667BF1149D884E3CBEB9CDD1

Located: Inicio (desactivado), LUMIX Simple Viewer (DISABLED)
command: C:\ARCHIV~1\PANASO~1\LUMIXS~1\PHLEAU~1.EXE
file: C:\ARCHIV~1\PANASO~1\LUMIXS~1\PHLEAU~1.EXE
size: 57344
MD5: 8C678CB1A61DA9503D0856FDF68CA7C7

Located: Inicio (desactivado), TMMonitor (DISABLED)
command: C:\ARCHIV~1\ArcSoft\TOTALM~1\TMMONI~1.EXE
file: C:\ARCHIV~1\ArcSoft\TOTALM~1\TMMONI~1.EXE
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: Inicio (desactivado), Windows Search (DISABLED)
command: C:\ARCHIV~1\WI459E~1\WINDOW~1.EXE /startup
file: C:\ARCHIV~1\WI459E~1\WINDOW~1.EXE
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: Inicio (desactivado), HotSync Manager (DISABLED)
command: C:\ARCHIV~1\palmOne\HOTSYNC.EXE
file: C:\ARCHIV~1\palmOne\HOTSYNC.EXE
size: 471040
MD5: F8FB2CA91F25D3EAA2CAE2F0B55FEC54

Located: Inicio (desactivado), LifeDrive™ Manager (DISABLED)
command: C:\ARCHIV~1\palmOne\LIFEDR~2.EXE
file: C:\ARCHIV~1\palmOne\LIFEDR~2.EXE
size: 86016
MD5: F04A4C502C463A53F62A9046448095DC

Located: Inicio (desactivado), palmOne Registration (DISABLED)
command: C:\ARCHIV~1\palmOne\register.exe /remind /language=ES /INTL="true" /_NBL="true" /PRNM="palmOne"
file: C:\ARCHIV~1\palmOne\register.exe
size: 2355200
MD5: 68A69BC8FB4C85212726438A5E103938

Located: WinLogon, !SASWinLogon
command: C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
file: C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
size: 356352
MD5: 972EDEDE23AC8D59AAC0C09799C6F18A

Located: WinLogon, AtiExtEvent
command: Ati2evxx.dll
file: Ati2evxx.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, dimsntfy
command: %SystemRoot%\System32\dimsntfy.dll
file: %SystemRoot%\System32\dimsntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, WgaLogon
command: WgaLogon.dll
file: WgaLogon.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!


Gracias.

Hola

Si Ctfmon es un archivo legitimo de windows, siempre y cuando se ejecute de su ruta que es system 32


Salu2

busca una segunda opinion puede que spybot te este desorientando.con cleenaer puedes ver todo lo que se inicia pasale el malwarebytes por ejemplo y compara

Hola momohsc
Otra opción Alternativa, agregada a eltruam, para
ver con cuales aplicaciones y procesos
inicia windows es ejecutando la pestaña Utilidades
de Advanced SystemCare v3

Saludos.

Vere como me va con este.
La verdad es que no es un tema que entienda mucho.

Tratare de aprender sin meter la pata.

Gracias.

Cualquier duda o problema sobre alguna aplicación
o programa del inicio nos dices..
Saludos