De două zile mă lupt cu un troian cu care m-am procopsit de ceva vreme. Am descărcat, instalat, apoi dezinstalat toţi Anti-Viruşii pe care i-am găsit: de la cele consacrate, Kaspersky, AVG, ZoneAlarm, Norton, Nod32, Avast, până la Panda şi tot ce am mai găsit. Toate aceste programe mă asigurau că sistemul meu de operare, computerul, este curat ca lacrima. Mă buşea plânsul, zău!
Cum afli dacă acest troian s-a înşurubat sau nu (şi) în computerul tău?
Deschizi Windows Explorer-ul, sus ai 6 butoane: File, Edit, View, Favorites, Tools şi Help. La Tools ai 4 opţiuni: Map Network Drive, Disconnect network Drive, Synchronize şi ultima opţiune, Folder Options. Intrii aici şi ai iarăşi 4 opţiuni: General, View, File Types şi Offline Files. Deschizi a doua fereastră, View şi bifezi „Show hidden files and folders” şi de-bifezi „Hide protected operating system files (Recommended)”.
Te duci din Windows Explorer pe Local Disc (C:) şi dacă găseşti un fişier cu numele „RECYCLED” semi-transparent (adică ascuns), eşti fericitul posesor al troianului care se instalează în CTFMON.EXE.
Un prim lucru de făcut: ctfmon.exe – executabilul vizat şi infectat de acest troian, poate fi dezactivat – şi merită dezactivat – din meniul de Start/Run/la open tastezi msconfig şi dai ENTER sau apeşi OK, şi în lista programelor din Start Up îl găseşti şi-l dezactivezi.
Am săpat ce am săpat pe internet, am citit tot ce am găsit legat de acest jucăuş intrus şi m-am pus pe curăţat manual. N-ai de ales.
În primul rând trebuie să ai Total Commander-ul instalat. Îl găseşti (şi) AICI.
Instalezi programul şi dai un restart. La repornire apasă F8 şi alege pornire în modul de operare Safe Mode (preferabil în calitate de administrator dacă ai introdus parolă la instalarea sistemului de operare).
Buuuuun. Acum începe curăţenia. Nu e mare şmecherie, doar puţin migăloasă treaba.
Deschizi Total Commander-ul, selectezi partiţia C şi jos tastezi:
ATTRIB -H -R -S AUTORUN.INF apoi apeşi ENTER
tastezi DEL AUTORUN.INF şi apeşi ENTER
tastezi ATTRIB -H -R -S Recycled şi apeşi ENTER.
Te duci în partiţia cu pricina şi cu SHIFT + DEL ştergi folderul RECYCLED. (În Safe Mode trebuie setat din nou vizibilitatea fişierelor ascunse!).
Dacă ai mai multe partiţii sau hard discuri, trebuie repetată operaţia pe fiecare partiţie în parte. Dacă ai stickuri, aparat foto digital sau alte scule digitale cu capacitate de stocare pe care le-ai cuplat la computer, trebuie legate şi curăţate şi acelea în acelaşi mod.
Când termini operaţiile, dă o căutare din meniul de Start (Search) după drăgălaşul nostru: CTFMON.EXE
Mai mult ca sigur îl vei găsii în C:\WINDOWS\SYSTEM32.
Te duci acolo dai un singur click stânga pe el şi apeşi SHIFT şi DEL concomitent.
Teoretic ai scăpat. Dai restart şi verifici iar cu un Search dacă mai apare drăgălaşul şi dacă mai apar undeva folderele RECYCLED. Dacă da, ceva n-ai făcut bine, mai încearcă o dată.
Pentru siguranţă, poţi să-ţi faci un document *.rtf sau *.txt cu comenzile care trebuie înscrise şi le transpui în Commander cu copy/paste ( Ctrl C/Ctrl V).
Un sfat: este indicat să dezactivaţi opţiunea System Restore (Start/Programs/Accesories/System Tools/System Restore – Turn off System Restore) + un loc perfect unde se pot ascunde astfel de intruşi. Cam asta e. 
Şi dacă pe un CD/DVD, dischetă, card, memoria telefonului a scăpat virusul şi-l reconectaţi… se instalează din nou fără jenă…
Virusul se poate instala în sectorul de bootare al hard discului şi atunci nici măcar tradiţionalul formatat nu mai este eficient şi lucrurile se complică. Dar există soluţii şi aici. Din bios un Master Boot Record… dar aici intrăm deja în zona specialiştilor… 
Să-l mănânce viermii pe ăla care a făcut şi gunoiul ăsta!
…. de’ale net-ului, de fapt ale informaticii, distractii; sunt cel mult patit si incercat…..
utila si bine scrisa (cu o rabdare de invidiat !) explicatia
o saptamina cit se poate de buna!
ai muncit, nu gluma. am patit-o si io pe la inceputuri. tu cum l-ai luat? sau ti l-a cadorisit cineva, ca si asta se poate. unii o fac cu placere
pentru anamariadeleanu – ce m-a deranjat este că nici un Anti-Virus nu-l detectează şi din ce am citit e un “jucăuş” care se află în circulaţie de aproape un an…
m-am străduit să explic în aşa fel încât să se descurce şi cineva mai neumblat în dos şi windows… ştii, întrebi un IT-ist o treabă şi-ţi spune nişte treburi de ai impresia că te înjură… ha ha ha!
o seară faină şi o săptămână cât mai bună.
pentru snake – nu este aşa de greu să te lipeşti de el atâta timp cât Anti-Virusurile nu-l detectează ca fiind periculos şi poţi să-l iei de pe un stick, un card, un floppy… practic de oriunde cu mare uşurinţă…
infectează şi cardurile… a trebuit să-mi formatez şi acelea… 
altfel, eu sunt destul de atent şi eu mereu am setat să văd şi fişierele ascunse, ce nu recomand începătorilor că riscă să şteargă ceva fără care nu mai funcţionează sistemul de operare…
da, unii oameni sunt foarte drăguţi. ha ha ha!
o seară faină şi o săptămână bună.
iti doresc si tie o saptamana super. eu tocmai m-am intors de la mare si inca mai aud blues-ul cu care m-am delectat la vama veche
) nu vreau sa ma enervez atat de repede, de aceea o las mai moale. viata e scurta si trebuie traita frumos.
pentru snake – ‘neaţa. Vamă zici? He he he… n-am mai fost de 3 ani, m-am “haladit” (ha ha ha) şi am optat pentru “all inclusive”-ul din Antalia… Punk şi bule de săpun! Ha ha ha!
Blues zici? Well…
mi-a plăcut asta: http://brushvox.wordpress.com/2009/08/11/clutch-%E2%80%93-strange-cousins-from-the-vest/ şi îţi recomand un disc de excepţie: http://brushvox.wordpress.com/2009/08/02/the-dead-weather-%E2%80%93-horehound/
sau puţină demenţă originală…
brush, chiar esti demential. tu ai compus piesa asta de aici? e super! transmite niste emotii destul de controversate, chiar daca initial da senzatia ca e blanduta.
mersi pt ca ti-ai rapit cateva minute bune pt mine. e lucru mare in ziua de azi.
esti rocker, dupa cum observ. mie imi plac doar baladele – si nu toate. insa piesa “Electric Worry” by Clutch e kool.
am fost la vama dupa buget, ca altfel alegeam grecia care e tara mea de suflet
poate la anu’ mi-oi reveni din colaps si voi merge din nou. nu disper.
God bless your soul!
Felicitari pentru munca si multumim. Puszi
(fisierul de care ziceai se numeste RECYCLED sau RECYCLER)
pentru snake – seara bună.
toate piesele, sau aproape toate din Music Box şi de cântat, cânt în toate… nu numai Rock.
minutele (mele) sunt încă free…. ca şi multe din ce fac. fiindcă le fac din plăcere…
da, sper ca la anul să ne fie mai bine, nouă tuturor. nu mai ştiu cum e la Vamă… mie mi-a plăcut Turcia.
pentru Petra – ce este enervant, este faptul că nu-l vede nici un anti-virus…. sau jenant?
o seară faină.
http://support.microsoft.com/kb/282599
pentru Rienne – sărut-mâna. problema nu e neapărat dezactivarea ctfmon.exe-ului – ce am făcut din meniul de Start/Run – msconfig şi în poţi dezactiva din lista programelor din Start Up – şi problema este că troianul infectează acest executabil şi acţionează prin el… şi nu-l recunoaşte nici un antivirus…
http://www.syschat.com/how-to-remove-the-recycler-virus-4815.html
Aditional, trebuie inlaturate niste chei din registi.
http://www.syschat.com/how-to-remove-the-recycler-virus-4815.html
pentru Rienne – sărut-mâna. încerc şi asta…. m-a făcut cu nervii virusul ăsta. deh, nu sunt itist… doar un punker amărât!
Nu e suficient sa debifezi ctfmon din msconfig->startup mai e necesara o chestie
Executaţi Regsvr32 /U pe fişierele Msimtf.dll şi Msctf.dll
1. Faceţi clic pe Start, apoi pe Run (Executare).
2. În caseta de dialog Run (Executare), tastaţi următoarea comandă:
Regsvr32.exe /u msimtf.dll
3. Faceţi clic pe OK.
4. Repetaţi paşii de la 1 la 3 pentru fişierul Msctf.dll.
PS: eu am gasit in C:\RECYCLE nu RECYCLED.
presupun ca ce am gasit eu e fisieru bun al windowsului, daca nu sa-mi spuneti
pentru yry – fişierul bun al Windows-ului este exclusiv Recycle Bin-ul… Dacă ai găsit un fişier Read Only şi Hide (ascuns) indiferent că se numeşte RECYCLE, RECYCLED sau RECYCLER, este acelaş troian…
ctfmon-ul de altfel este un component corect al Windows-ului, controlează bara de selectare a limbii folosită pe tastatură, dacă-l dezactivezi, dezactivezi şi icoana şi funcţia, dar poţi schimba limba din Shift stânga + Alt.
Virusul asta l-am luat de la chinezi acum aproape 1 an. Am folosit Nortonul original si am scapa de el
pentru shobby – salut. păi tu tocmai din China aduci viruşi?!
pe vremea mea se aduceau ascuţitoare şi compot de mandarine… 
serios vorbind, am vorbit şi cu alţii mult-mult mai pricepuţi, Recycler-ul acesta este un troian vechi şi în mod paradoxal majoritatea anti-viruşilor nu-l au în baza de date… dacă la tine Norton-ul l-a văzut (nu cred că de dragul licenţei), eşti un norocos…
eu m-am facut cu el de pe jocuri online gen triburile etc.la o reparare de sistem a disparut ,apoi o cunostinta s-a logat pe alt joc de gen de pe PCul meu si ……..a aparut iar evident.la mine se lanseaza la restart ,sau daca il intrerup din task manager se lanseaza iar cind pornesc internet explorer.cu sfaturile de mai sus se pare ca sa dezactivat.
care ati gasit virusul.Nu inteleg cum sa fac?Ma ajutati si pe mine.id meu neon.spider pls
pentru andrei – dacă urmezi paşii de mai sus, teoretic scapi de el. problema este că dacă l-ai salvat involuntar pe stick, card, o dischetă, CD sau DVD, el se reinstalează confortabil şi partea nasoală este că nu-l vede anti-virusul.
pe de altă parte, încă tot nu am înţeles cât de dăunător este el… dacă nu faci tranzacţii on-line, altceva nu cred că face… şi este un virus vechi, s-ar putea să nu mai aibe nici un efect.
pentru ictln – eu nu ştiu de unde l-am căpătat. dacă s-a salvat pe un stick, dischetp, CD sau DVD inscripţionat de tine, când îl “bagi” din nou, se reinstalează confortabil… eu îl am pe unul din computerele pe care nu le conectez la internet niciodată…
partea proastă e că nu-l recunoaşte nici un anti-virus şi cred că rădăcina este în sectorul de boot, eu am formatat hardul, am reinstalat sistemul de operare şi…. surpriză, el era bine merci tot acolo… nu ştiu cât de nociv e, ce face…. e vechi, poate nici destinatar nu mai are, teoretic te afectează doar când faci tranzacţii on-line, îţi fură datele de pe card… cred.
Felicitari pt. perseverenta! L-am capatat si au direct (cred) la instalarea win de pe un cd aruncat aiurea prin biblioteca magnetica a unui it-ist. Totusi, Avast! l-a vazut si ma anunta ca l-a sters dupa turn off in system restore. La capacitatea ta ma indoiesc ca n-ai fi bifat in task scan all hard disk sa caute in toate pachetele, toate fisierele – nu doar infectabile sau cu anumite extensii, iar la general – “adanc”, chestia aia care te anunta ca sistemul va fi foarte slow la scanare. Protectia rezidenta setata pe high la standard si script blocker. Si da, ai dreptate si in cazul migrarii acestui virme facut de alt vierme: se scurge prin toate mufele si porturile comp. Pe acel laptop am reinstalat win numai dupa ce am refacut MBR. Si mai stii ceva? Animalul cred ca este inca pe acolo, prin hard, nu siu pe unde… Pe la jumatatea unui cilindru, prin vreun sector busit, nu-mi dau seama. Parerea mea este ca mai are capacitatea de a se imparti in bucati atunci cand este depistat si, teoretic, sters. pe vechiul sistem, dupa ce Avast zicea ca l-a sters ii dadeama din nou scanare si ghici ce? cateva exe din system 32, nu mai stiu acum nici care nici daca normal ele trebuia sa existe acolo, apareau grav injectate de troyeni. Pana sa renunt la acel sistem am sters in disperare la fisiere din system 32 sa vad ce se inampla. S-a intamplat ca vreo doua luni nu mi-au mai aparut straini prin calculator – cel putin asa zicea antivirusul. Dar mai mult s-a tarat. Multumesc pt. rabdarea de a fi citit acest post. Nu sunt specialist, ma gandeam ca poate cuiva o sa foloseasca aceste informatii. O zi buna!
pentru winall – nici eu nu sunt It-ist şi ce ştiu, am învăţat “din mers”, cum m-am lovit de diferite problemeşi odată lucrând cu computere toată ziua, cred că nu strică să ştii câteceva despre instrumentul pe care-l foloseşti.
merci şi eu pentru răbdarea cu care ne-ai povestit păţania ta, da virusul este activ, o singură dată l-a văzut AVG-ul, l-a şters, dar a…. revenit.
totuşi mă intrigă că nu-l vede nici un antivirus.
Sărbători Fericite şi… fără viruşi!
bune instructiunile dar omite sa spuna de ce nu pot sa sterg din sistem32 oare nu se poate ca e un program normal sau doar e mai smecher virusu ca mine? astept raspuns.
pentru virusat la maxim – executabilul ctfmon.exe poate fi dezactivat cum am şi arătat, dar nu poţi să-l ştergi, este parte din sistemul windows – ţine de language bar, dacă-l dezactivezi, acesta nu mai rulează.
virusul dacă a infectat executabilul ai ghinionul să fi nevoit să reinstalez sistemul după ce faci curăţenia completă.
altă idee chiar n-am şi nici la alţii n-am găsit.
Mersi mult omule, chiar ma ajutat chestia asta.
Insa as avea ceva de precizat. La mine folderul e “Recycler”, si cand am dat comanda “ATTRIB -H -R -S Recycled”, virsusul nu a disparut, dar cand am schimbat Recycled cu Recycler, mi-a mers.
Felicitari inca o data.
pentru Phyre667 – virusul circulă sub diferite forme şi variante de nume, însă funcţionează la fel.
sper să scapi de el, însă dacă l-ai salvat undeva, se reinstalează imediat şi am auzit că circulă şi discuri Windows gata infectate, deci atenţie.
baftă!