ctfmon.exeについて

本日完全スキャンをした所、家族のアカウントの方からcftmon.exeがトロイの木馬に感染していますと警告が出ました。
しかしこのctfmon.exeはインターネットで調べると音声入力やらをサポートするシステムですが削除してもいいのでしょうか？
参考お願いします。

No.3 回答者： nobupiao 回答日時： 2009/11/17 12:34

ctfmon.exeに対する詳細な情報を次のＵＲＬで参照することができます：

参考URL：http://www.windowsfiles.jp/fairu/ctfmon.exe.html

No.2 回答者： waros99 回答日時： 2007/10/15 23:42

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

ctfmon.exeは拡張IMEと思ってもらって結構です。システムサービス名に偽装するのは常套手段です。No.1さんの解答にあるように、正規のものと間違わないで対処することが必要です。

No.1 回答者： ryu-fiz 回答日時： 2007/10/15 23:09

その"ctfmon.exe"がどこにあるのか？それが問題なんです。

確かにWindowsのシステムファイルであるctfmon.exeというのが存在します。でも…それと紛らわしくするため敢えてそれと同じ名前のファイルを別の場所に置いて動作させる、という手口があるようなのです。

http://hjdb.higaitaisaku.com/database.cgi?cmd=dp …
このページで紹介されているのが本物のctfmon.exeです。これと違った場所から検出されたファイルが見つかっているのなら問題のあるファイルである可能性が非常に高い。当然削除すべきでしょう。

あと…この種の感染では、単に検出されたファイルをそのまま削除しようとしても『削除出来ません』となってしまうことが非常に多いのです。何故なら、そのファイルが実行済みでメモリ上にあるからです。実行を終了させてからでないと削除は出来ませんし、ファイルだけ削除しても自動実行に使われるレジストリ上の記述が残ったままになり、システムの起動のたびに不快なエラーメッセージが消えなかったり、システムの動作が不安定になったりする可能性が高いです。

どのような名目でctfmon.exeが検出されたのか、それが大切です。その名称が分かれば、お使いになっているウイルス対策ソフトのメーカーのデータベースで調べて、その感染に対処する方法を見つける必要があります。その手順通りに作業を進めれば、より安全かつ確実に問題のあるファイルを削除出来る筈です。

タスクマネージャからctfmon.exeを終了させたいが、２つ立ち上がっていてどちらを終了させていいか分からない場合は、次のフリーソフトを使ってみてください。

http://uechoco.s14.xrea.com/download/stm.html

zip形式の圧縮ファイルとして配布されてますので、それを解凍出来る環境が必要です。XPなら標準でついていると思いますが。どこに解凍して良いか分からなかったら、"c:\program files"フォルダの中に適当な名前のフォルダを作成して、そこに解凍してから使ってください。