Файл под названием "msctfime.ime" лезет в инет,что это?

[Sharhan]

Всем привет,собственно проблемка вот в чем.

Позавчера снес винду,и просле установки всех прог на место,у меня начала лезть энта фигня.

Полазив по инету я узнал не много,только что это файл винды,но он ни коем образом лезть в инет не должен,и по заявлению мелкософта,если это происходит,нужно искать,что это вызывает,и проверять всякими антивирями и.д.
Антивирус у меня ничего не нашел,а файрволл после открытия любой инет проги пишет,что она обновилась этим файлом,и приходится закрывать прогу.
Ну и в итоге я остался без инет прог,потому что все пришлось заблокировать

Два раза переустанавливал винду,ни фига не помогает

Единственное,что я смог сделать,чтоб в инет выити,это изменить в реестре: "HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/IMM" параметр : "IME File",
с значения: с "msctfime.ime" на "0".

После перезагрузки эта гадость в инет не просится,но проблема в том,что в месте с этим гимором пропал английский язык,и обратно вернуть его можно только возвращением ключа в реестре,но после этого эта гадость опять возвращается

А без языка ни куда,я сюда то зашел только благодаря таблице символов


В принципе на СД с виндой такого файла нету,но есть несколько файлов помоему "инф" в которых как я понял что то типа ключей для реестра,стало быть он нужен.

Может кто сталкивался с этим,или знает что делать?

Поможите я уже задолбался Не знаю что и делать.

 

[U-Gin]

Верни всё на место. Зайди в Start=>run= msconfig на закладку startup. Поищи там процесс msctfime.ime и выключи его. Перестартуй комп. Если всё будет работать, в regedit убери всё, что связано с msctfime. Как я понял это malware шпион.
Попробуй удалить с помощью malware remover.

 

[z0id]

Антивирус у меня ничего не нашел

файл msctfime.ime это системный файл распологается в папке System32. Известные размеры файла на Windows XP - 177152 байт, 162304 байт. У меня например 177152 байт. В сеть лезть вроде недолжен.....

На наличие adware/spyware/keyloger и т.п. проверял? например таким софтом как Ad-Aware Если нет, качай , обновляй базы Ad-aware и антивиря что у тя стоит и проверяй заново

После перезагрузки эта гадость в инет не просится,но проблема в том,что в месте с этим гимором пропал английский язык,и обратно вернуть его можно только возвращением ключа в реестре,но после этого эта гадость опять возвращается

на одном форуме читал о похожей проблеме, вроде чел. у кот. была проблема решил её так : он в реестре нечё не отключал, а просто переименовал этот файл и после у него также проблема с языком появилась, было поправлено так:

Панель Управления->Язык и региональные стандарты->Языки->Подробнее-> Дополнительно->поставить галку "Bключить пoддepжку тeкcтoвыx cлужб для вcex пpoгpaмм" reboot, это конечно какоето не совсем хорошее решение проблемы на мой взгляд ну в крайнем случае может поможет......

 

[Sharhan]

Спасибо,но ничего не помогло

Скачал кучу прог помимо тех что у меня были,но толку от этого тоже нету.

Единственное,что я смог узнать с помощью этих прог,так только вот это:

FileSpecs export for:C:\WINDOWS\system32\msctfime.ime
Created on:30.03.2006 15:26:09
---------------------------------------------

File Information Resources++
+File name : msctfime.ime+
+File path : C:\WINDOWS\system32\+
+Size : 177152 Bytes+
+Creation date : 18.08.2003+
+Last accessed : 30.03.2006 11:21:24+
+Last modified : 18.08.2003+
+Legal copyright : Microsoft Corporation. All rights reserved.+
+Company name : Microsoft Corporation+
+File desicription : Microsoft Text Frame Work Service IME+
+File version : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)+
+Internal name : MSCTFIME+
+Original filename : MSCTFIME.IME+
+Product name : Microsoft Windows Operating System+
+Product version : 5.1.2600.2180+
PE Information++
+Dos Header+
++AdressNewExeHeader:232
++BytesOnLastPageOfFile:144
++CheckSum:0
++FileAdressRelocationTable:64
++InitialCSvalue:0
++InitialIPvalue:0
++InitialSSvalue:0
++MagicNumber:23117
++MaximimExtraParagraphs:65535
++MinimumExtraParagraphs:0
++OEMidentifier:0
++OEMinformation:0
++OverlayNumber:0
++PagesInFile:3
++Relocations:0
++SizeOfHeaderinParagraphs:4
+PE Header+
++Characteristics:8462
++NumberOfSections:4
++NumberOfSymbols:0
++PointerToSymbolTable:0
++SizeOfOptionalHeader:224
++MachineID:332
++Machine:Intel 386.
++TimeDateStamp:1092783835
++DecodedTimeDateStamp:17.08.2004 23:03:55
+Optional PE Header+
++AddressOfEntryPoint:106444
++BaseOfCode:4096
++BaseOfData:163840
++CheckSum:200662
++DllCharacteristics:0
++FileALignment:512
++ImageBase:1966145536
++ImageType:Executable image
++LoadedFlags:0
++MagicNr:267
++MajorImageVersion:5
++MajorLinkerVersion:7
++MajorOperatingSystemVersion:5
++MajorSubsystemVersion:4
++NumberOfRvaAndSizes:16
++SectionALignment:4096
++SizeOfCode:158720
++SizeOfHeaders:1024
++SizeOfHeapCommit:4096
++SizeOfHeapReserve:1048576
++SizeOfImage:188416
++SizeOfInitializedData:18432
++SizeOfStackCommit:4096
++SizeOfStackReserve:262144
++SizeOfUninitializedData:0
++Subsystem:Image runs in the Windows GUI subsystem
++SubsystemID:2
++Win32VersionValue:0
Exported functions++
+Ordinal : $00000002 Name : CtfImeCreateInputContext+
+Ordinal : $00000003 Name : CtfImeCreateThreadMgr+
+Ordinal : $00000004 Name : CtfImeDestroyInputContext+
+Ordinal : $00000005 Name : CtfImeDestroyThreadMgr+
+Ordinal : $00000001 Name : CtfImeDispatchDefImeMessage+
+Ordinal : $00000006 Name : CtfImeEscapeEx+
+Ordinal : $00000007 Name : CtfImeGetGuidAtom+
+Ordinal : $00000008 Name : CtfImeInquireExW+
+Ordinal : $00000009 Name : CtfImeIsGuidMapEnable+
+Ordinal : $0000000A Name : CtfImeIsIME+
+Ordinal : $0000000B Name : CtfImeProcessCicHotkey+
+Ordinal : $0000000C Name : CtfImeSelectEx+
+Ordinal : $0000000D Name : CtfImeSetActiveContextAlways+
+Ordinal : $0000000E Name : CtfImeThreadDetach+
+Ordinal : $0000000F Name : ImeConfigure+
+Ordinal : $00000010 Name : ImeConversionList+
+Ordinal : $00000011 Name : ImeDestroy+
+Ordinal : $00000012 Name : ImeEnumRegisterWord+
+Ordinal : $00000013 Name : ImeEscape+
+Ordinal : $00000014 Name : ImeGetRegisterWordStyle+
+Ordinal : $00000015 Name : ImeInquire+
+Ordinal : $00000016 Name : ImeProcessKey+
+Ordinal : $00000017 Name : ImeRegisterWord+
+Ordinal : $00000018 Name : ImeSelect+
+Ordinal : $00000019 Name : ImeSetActiveContext+
+Ordinal : $0000001A Name : ImeSetCompositionString+
+Ordinal : $0000001B Name : ImeToAsciiEx+
+Ordinal : $0000001C Name : ImeUnregisterWord+
+Ordinal : $0000001D Name : NotifyIME+
+Ordinal : $0000001E Name : UIWndProc+

Мне правда это ничего не дает,так как я английского не знаю

Правда malware сканнер после сканирования нашел несколько файлов,
четыре файла судя по всему фигня и ни какого отношения к данной проблеме не имеют,так как относятся к ослу которым я не пользуюсь,да и все они имели отношение к msn,и имели вид: имя@msn.com.txt,я их без труда удалил,но проблема все равно осталась.
Так же был найден файл "TGT_BHO.dll" и вот тут я задумался,так как это файл от проги которую я первой снес после появления проблемы,а именно СтайлХП,потому что это единственная новая прога,а также единственная на которой стоял патч,на других я если и использую кряки,то только в виде сериалов.
Но дело в том,что прога пишет что файл лежит в папке ПрограмФайлс,но я все проверил,да и нет у меня склероза я точно помню,что я ее удалил,а после еще и CCleaner´ом почистил,а сама прога без реги удалять наотрез отказалась.
Ну да ладно,теперь я хотя бы примерно знаю как поступить при смени винды,буду ставить все проги по одной и проверять активность сего файла,и уж точно ни каких тем ставить не буду,лучше встроенный аля серебро,чем с троянами

Если поможет через пару дней напишу

 

[S3]

Наверное какойнить адавар,попробуй разрешить ему доступ если синего экранчика не появится то всё нормально)

 

[z0id]

попробуй разрешить ему доступ если синего экранчика не появится то всё нормально)

ну вот это, я конечно, несоветалбы делать т.к. никаких синих экранчиков скорее всего небудет, а вот если это какойнить spyware/keyloger он передаст инфу (например пароли) в сеть...

 

[S3]

Ну тогда антивирь запустить,если будет отправлять то он наверняка засечёт

 

[U-Gin]

Попробуй так:
Скопируй его на дискету.
Зайди в SafeMode.
Удали его. Если не захочет, удали ч-з командную строку Comand Promt.
Перегрузи комп.
Зайди в msconfig Expand file Название файла откуда I386.CABS куда System32. Часто помогает.
Вот файл из Win2003 http://dumpz.ru/index.php?action=downloadfile&filename=MSCT.ime.ime&directory=&
Попробуй его. Тогда откуда: с дискеты.

 

[Sharhan]

Всем спасибо.

Снес винду и ща вроде пока эта назойливая гадость не досаждает

Правда я пока не все проги поставил что были.
Подозрения у меня на две: StyleXP и wirekeys, но если без первой можно и обойтись,то вторая нужная,а ставить стремно,мне дураку ее надо было первой поставить и проверить,ну да ладно придумаем чего нибудь

У меня еще один вопрос есть,может кто знает есть ли такая прога,чтоб когда например файервол показывает мне что прога обновилась каким нибудь файлом не закрывать приложение обновленное,а просто удалить или очистить как нибудь от внедренного кода?

Скажем у меня открыта опера и фаер мне пишет,что в нее встроилась библиотека 7z.dll, так вот можно как нибудь не закрывая оперы удалить из нее это обновление? Или запретить обновляется программам без моего разрешения,а то фаер только ставит перед выбором разрешить или блокировать,а мне это не удобно,просто есть проги которые мне нужны,но они постоянно лезут в инет таким способом,причем в инете им делать абсолютно нечего,такие как например 7z,winrar и т.д.

Если есть такие проги дайте ссылочку на любую прогу,пусть хоть платную,хоть на английском,думаю ради такого случая раскошелюсь и подучу английский

 

[Sharhan]

Всем привет.

Балин вчера мой outpost версии 3.0 решил обновится,а я с дуру и согласился.
В итоге получил версию 3.51 и снова не зарегистрированную
Но проблема не в этом,а в том, что сегодня после подключения не могу ни одну прогу выпустить в инет,за исключением оперы,сам не знаю почему,но опять этот файл полез во все проги,но ладно бы один только он,но и другие.

Причем для меня очень странно, но фаер говорит мне, что обновилась одна прога другой,чего по идее быть не должно,а может я просто с этим не сталкивался.

Короче включаю миранду,а мне пишет что она обновилось,я ее закрываю,включаю крысу,и тут я обалдел он мне написал,что крыса обновилась плагином истории из миранды Такое вообще может быть?

Далее включаю кип,те же яйца только вид с боку,тоже пишет,что обновилось,только уже другим плагином,причем у меня волосы дыбом встали,так как он мне написал,что плаги этот называется boss.dll,но этого быть не может,так как я его удалил уже очень давно,к тому же недавно винду сносил.

А вообще,за все время что я пользуюсь мирандой ,в инет через другую прогу,а точнее через оперу у меня просился только один плагин от нее,называется
как не помню,что то на подобии shell или как то так.

Так что даже не знаю что делать,может это фаер глючит?
Кто давно пользуется компьютерами посоветуйте чего нибудь,у меня просто он не давно,и я хоть и бысторо догоняю в этом деле,но вот с безопасностью еще пока не очень

Да если это важно,то дискету запихнуть не смогу,так как такого дисковода у меня нетути

 

[U-Gin]

Антишпионами пользуешся? Ad-Aware, Spyboat...

 

[S3]

А миранды зануленная сборка или как?Я просто в нескольких сборках находил троянчики...загрузись в безопасном режиме и проверь на вирусы,а еще лучше грузанись с хирен бут сд и проверь на вирусы)

 

[ujambor]

what do you do here?