Tài liệu Sự thật về tiến trình tự động chạy CTFMON.EXE pptx

Sự thật về tiến trình tự động chạy CTFMON.EXE

Loại 1: Đây là một dịch vụ của bộ phần mềm Office có nhiệm vụ khởi

chạy Alternative User Input Text Input Processor và Office Language Bar.

Dịch vụ này giám sát hoạt động nhập liệu của người dùng để cung cấp các

phương pháp nhập liệu thích hợp như giọng nói, viết tay, bàn phím. Tiến

trình ctfmon.exe sẽ được cài cùng với bộ Office khi bạn chọn Alternative

User Input trong Office Shared Features. Để vô hiệu hóa tiến trình này bạn

thực hiện như sau (áp dụng với Windows XP Professional): Vào Start -

> Control Panel -> Add or Remove Programs, nhấn Microsoft Office và

chọn Change, trong cửa sổ hiện ra, bạn đánh dấu vào ô Choose advanced

optimization of applications rồi nhấn Next, trong cửa sổ tiếp theo bạn tìm

đến mục Alternative User Input trong Office Shared Features, nhấn và thay

đổi biểu tượng thành hình chữ X (Not available) rồi chọnUpdate.

Sau đó bạn trở về Control Panel, chọn Date, Time, Language and Regional

Options -> Regional and Language Options, nhấn vào thẻ Languages và

nhấn Details, trong cửa sổ Text Services and Input Languages hiện ra bạn

nhấn vào thẻ Advanced và đánh dấu chọn ô Turn off advanced text

services, nhấnOK. Vậy là ctfmon.exe "loại 1" đã ra đi!

Loại 2: Đây là trojan Vb.AQT (một số tên khác

như FakeRecycled.AQT!tr, Recycled.20480). Sau khi được kích hoạt trên

máy tính, nó sẽ thực hiện các "hành vi bất chính" sau:

- Tạo các thư mục và tệp tin sau trên các thiết bị lưu trữ như đĩa mềm, usb,

đĩa cứng: