[risolto]Trojan (o virus): RECYCLED\CTFMON.EXE

[AndrewB]

Buonasera a tutti,
segnalo il nuovo ennesimo virus che ho estirpato dal mio pc in modalità safeboot sparando una combinata di Kaspersky, CCleaner, Hijack e Registry Mechanic.

Tuttavia il BALORDO trojan (o virus) rilevato DAL SOLO KASPERSKY va a creare una subfolder nascosta dal nome RECYCLED\CTFMON.EXE.

Ovviamente, sia la directory del cestino che il ctfmon sono delle creazioni di Windows. Questi sono ovviamente degli alia che si insediano negli hard disc creando una stringa del tipo "OPEN(0)".

In altri termini, quando si clicca sull'unita disco Windows dice "impossibile aprire". Solo cliccando col destro e poi "apri" si riesce ad aprire l'unità.

Si noti che è molto pericoloso e probabilmente ricevuto per email.

Solo i professionisti che bazzicano da queste parti possono fornire la risposta esatta...

PS: formattando tutto torna normale

Ecco cosa avviene nella shell se si clicca sull'unità disco "contagiata" e decontaminata...
Se invece ci clicchi col destro e fai apri... funziona!

 

[Wincent]

Ciao

da un paio di giorni notavo una cosa strana al mio pc....oltre che ogni tanto si impallava per aprire una finestra....notavo che da esplora risorse....doppio klik....non mi apriva la cartella nella stessa finestra.....ma ne apriva una nuova!

visto un pò....e(ho 4 unità diciamo, disco con 4 partizioni) nella prima c'è APRI...mentre nelle altre 3 c'è Open(O)e infatti solo con le altre tre fa questo giochetto.....insomma sono infetta da questo

trojan.vb.aqt
trojan.vb.fakerecycled.b

il famoso file ctfmon....

bitdefender lo trova e lo elimina, l'ha trovato per primo anche a-squared....ma niente, eliminato si ricrea! come posso fare?

aggiornamenti

allora....dopo che bitdefender ha eliminato le cartelle RECYCLED\CTFMON.EXE in tutte le unità....ora mi appare l'errore da te citato....

e cioè...fortunatamente quando apro D E e F non si RICREA ctfom in esecuzione automatica come prima.....ma mi da l'errore.....

come risolvo?

 

[T.d.]

Ciao

da un paio di giorni notavo una cosa strana al mio pc....oltre che ogni tanto si impallava per aprire una finestra....notavo che da esplora risorse....doppio klik....non mi apriva la cartella nella stessa finestra.....ma ne apriva una nuova!

visto un pò....e(ho 4 unità diciamo, disco con 4 partizioni) nella prima c'è APRI...mentre nelle altre 3 c'è Open(O)e infatti solo con le altre tre fa questo giochetto.....insomma sono infetta da questo

trojan.vb.aqt
trojan.vb.fakerecycled.b

il famoso file ctfmon....

bitdefender lo trova e lo elimina, l'ha trovato per primo anche a-squared....ma niente, eliminato si ricrea! come posso fare?

aggiornamenti

allora....dopo che bitdefender ha eliminato le cartelle RECYCLED\CTFMON.EXE in tutte le unità....ora mi appare l'errore da te citato....

e cioè...fortunatamente quando apro D E e F non si RICREA ctfom in esecuzione automatica come prima.....ma mi da l'errore.....

come risolvo?

Innanzitutto ciao a tutti, mi hanno consigliato questo forum e spero possiate aiutarmi, ho lo stesso identico problema sopracitato, con in aggiunta la disabilitazione del Task manager...

Qualcuno può aiutarmi?

 

[tecnico24]

Per Wincent
Disabilita il ripristino configurazione di sistema(pannello di controllo>sistema>ripristino configurazione di sistema>disattiva>ok).
Poi segui attentamente i passi:
1)Riavvia il pc in modalità provvisoria.
2)Apri internet explorer,clicca su Strumenti>opzioni.
3)fai click sulla scheda visualizza e seleziona visualizza cartelle e file nascosti.
4)Deseleziona la spunta da Nascondi i file protetti di sistema e clicca su ok.
5)Scarica Avenger
Estrai ed avvia avenger.exe
-Seleziona Input script manually e poi sulla lente di ingrandimento.
-Nel box vuoto,inserisci queste scritte in grassetto con copia/incolla:

Files to delete:
C:\autorun.inf
C:\Recycled\destop.ini
C:\Recycled\info2
C:\Recycled\Recycled\ctfmon.exe


-Dopodiche clicca sul pulsante done,poi sul semaforo con la luce verde,poi acconsenti due volte si,il pc si riavvierà,al ritorno posta qui sul forum il log di avenger che si trova in C:\ e sarebbe (C:\AVENGER.TXT)
6)infine Fai clic su Start> Programmi> Avvio, quindi fare clic destro su ctfmon.exe e seleziona Elimina.
(Attenzione, NON sinistro del mouse su di essa!)
7)Svuota il cestino e sei a posto.
Per T.d
Fai esattamente tutti i passaggi elencati per Wincent,mentre invece dovrai fare l'8)operazione,visto che hai il task disabilitato.Scaricati Combofix ed avvialo.Segui le istruzioni passo passo e mi raccomando non fare nulla mentre fa il suo lavoro.

 

[vannox]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rpnjbrba

*******************

Script file located at: \??\C:\Program Files\krchvohv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\autorun.inf deleted successfully.


File C:\Recycled\destop.ini not found!
Deletion of file C:\Recycled\destop.ini failed!

Could not process line:
C:\Recycled\destop.ini
Status: 0xc0000034

File C:\Recycled\info2 deleted successfully.


File C:\Recycled\Recycled\ctfmon.exe not found!
Deletion of file C:\Recycled\Recycled\ctfmon.exe failed!

Could not process line:
C:\Recycled\Recycled\ctfmon.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.:boh:

 

[T.d.]

Per Wincent
Disabilita il ripristino configurazione di sistema(pannello di controllo>sistema>ripristino configurazione di sistema>disattiva>ok).
Poi segui attentamente i passi:
1)Riavvia il pc in modalità provvisoria.
2)Apri internet explorer,clicca su Strumenti>opzioni.
3)fai click sulla scheda visualizza e seleziona visualizza cartelle e file nascosti.
4)Deseleziona la spunta da Nascondi i file protetti di sistema e clicca su ok.
5)Scarica Avenger
Estrai ed avvia avenger.exe
-Seleziona Input script manually e poi sulla lente di ingrandimento.
-Nel box vuoto,inserisci queste scritte in grassetto con copia/incolla:

Files to delete:
C:\autorun.inf
C:\Recycled\destop.ini
C:\Recycled\info2
C:\Recycled\Recycled\ctfmon.exe


-Dopodiche clicca sul pulsante done,poi sul semaforo con la luce verde,poi acconsenti due volte si,il pc si riavvierà,al ritorno posta qui sul forum il log di avenger che si trova in C:\ e sarebbe (C:\AVENGER.TXT)
6)infine Fai clic su Start> Programmi> Avvio, quindi fare clic destro su ctfmon.exe e seleziona Elimina.
(Attenzione, NON sinistro del mouse su di essa!)
7)Svuota il cestino e sei a posto.
Per T.d
Fai esattamente tutti i passaggi elencati per Wincent,mentre invece dovrai fare l'8)operazione,visto che hai il task disabilitato.Scaricati Combofix ed avvialo.Segui le istruzioni passo passo e mi raccomando non fare nulla mentre fa il suo lavoro.

Prima che arrivasse la tua risposta preso dal panico avevo passato Antivir (Avscan) che penso mi abbia trovato e cancellato tutto.
Poi ho scaricato e passato il programma che mi hai consigliato (Combofix), ed ora sembra tutto a posto... che dire, grazie mille e complimenti per la professionalità.

Auguri di buon anno!

Ps. Posso allegarti il logfile di Avscan o di hijakthis, così magari mi dici se è davvero tutto a posto?

 

[tecnico24]

posta quello di hijackthis(in allegato) e vediamo subito.
Auguri di buon anno anche a te.
@Vannox
hai lo stesso problema anche tu???

 

[T.d.]

posta quello di hijackthis(in allegato) e vediamo subito.
Auguri di buon anno anche a te.
@Vannox
hai lo stesso problema anche tu???

Eccolo...

Grazie ancora, gentilissimo... ;)

 

[tecnico24]

Tutto pulito.La prossima volta postalo in formato .txt