File CTFMON.EXE có hai ý kiến “tốt (windows chạy)” và “xấu (trojan)” về nó. Ở đây tôi chỉ đề cập đến ý xấu và cách diệt nó.

Đây là trojan Vb.AQT (một số tên khác như FakeRecycled.AQT!tr, Recycled.20480). Sau khi được kích hoạt trên máy tính, nó sẽ thực hiện các “hành vi bất chính” sau:

- Tạo các thư mục và tệp tin sau trên các thiết bị lưu trữ như đĩa mềm, usb, đĩa cứng:

[Tên ổ đĩa]:\autorun.inf
[Tên ổ đĩa]:\Recycled\desktop.ini
[Tên ổ đĩa]:\Recycled\INFO2

- Tạo một bản sao của chính nó ở [Tên ổ đĩa]:\Recycled\Recycled\ctfmon.exe

- Tạo các file ctfmon.exe và desktop.ini trong thư mục Startup của Windows

- Thực hiện các hành vi giống như trên nhưng với tên thư mục khác là RECYCLER

Trojan này cực kỳ mưu mô ở chỗ nếu bạn nhấn đúp vào thư mục Recycled giả thì sẽ được dẫn đến thư mục Recycled thật ngay. Để thấy được “bản chất bên trong” của thư mục này, bạn phải dùng đến một mẹo khác: cài đặt các phần mềm nén như Winrar, Winzip, mở ổ đĩa tương ứng, nhấn chuột phải lên thư mục Recycled (bạn phải chọn Show hidden files and folders và bỏ chọn ở phần Hide protected operating system files trong Folder Options mới thấy được thư mục này), dùng lệnh Compress to… trên menu ngữ cảnh để tạo một file nén từ thư mục Recycled kể trên, cuối cùng bạn mở file nén đó ra và “chiêm ngưỡng” nội dung bên trong.

Các thiết bị lưu trữ bị nhiễm trojan này sẽ gặp tình trạng không thể truy xuất trực tiếp bằng cách nhấn đúp và bạn phải nhấn chuột phải chọn Explore. Nguy hiểm hơn, theo thông tin trên một số diễn đàn tin học, trojan Vb.AQT có thể đóng vai trò như một spyware hay keylogger để đánh cắp thông tin cá nhân của người dùng.

Đừng lo lắng! Bạn có thể dễ dàng diệt trojan này với ba bước như sau:

Bước 1: Sử dụng tính năng Search của Windows với các từ khóa “Recycled”, “RECYCLER”, “INFO2″, “ctfmon” để xác định đường dẫn của các thư mục và tệp tin tạo ra bởi trojan (bạn nhớ đánh dấu chọn phần Search hidden files and folders trước khi tìm kiếm). Đường dẫn sẽ giống với miêu tả ở phần trên, bạn có thể còn tìm thấy một số đường dẫn đến những thư mục cache của Windows như Prefetch, dllcache…

Bước 2: Xóa tất cả các tệp tin và thư mục tìm thấy. Nếu xuất hiện thông báo lỗi không thể xóa được, bạn làm như sau: Tải tệp tin ảnh iso của đĩa boot Acronis Disk Director Suite tại địa chỉ http://www.fileden.com/files/2007/5/5/1051345/ -AcronisDiskDiretorSuite.iso hay http://tinyurl.com/2wsbh3 rồi ghi ra đĩa CD, sau đó khởi động máy tính bằng đĩa này. Trong giao diện của chương trình, bạn nhấn đúp vào tên ổ đĩa rồi di chuyển đến các tệp tin và thư mục cần xóa, chọn và nhấn vào biểu tượng hình chữ X để xóa, bạn cứ an tâm là sẽ không có thông báo lỗi nào cả

Bước 3 (tùy chọn): Dù hai bước trên đã đủ để tống khứ trojan Vb.AQT, nhưng bạn nên dùng các phần mềm antivirus như Bitdefender hay Kaspersky để kiểm tra lại cho… chắc ăn.

(Lưu ý, nếu bạn bỏ hai bước trên mà chỉ dùng phần mềm antivirus để diệt thì sẽ không thành công, vì thường phần mềm này chỉ quét và phát hiện chứ không “xử lý” được trojan).

Những kinh nghiệm chia sẻ ở trên hy vọng sẽ giúp ích cho các bạn. Nếu vẫn còn thắc mắc, các bạn có thể gửi email đến phuc_asimo@yahoo.com, mình sẽ sẵn sàng giải đáp.