论坛: 病毒专区 标题: 再更新!!RECYCLER!!病毒? 复制本贴地址    
作者: 44 [cspaw]    论坛用户   登录
最近我发现我的MP3里面有一个名为RECYCLER.样子像回收站的东西.里面有RECYCLER.EXE.和
desktop.ini这两个文件.外面还有一个autorun.inf文件.瑞星有时会报告.但删了N次就是删不掉!哪位朋友可以告诉我这是什么东东?危险性怎样?谢谢!!
  更新一下..呵 呵 ...那个desktop里面是这样的:
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=-173
LocalizedResourceName=@shell32.dll,-12693
请问一下这是啥意思?我太菜了
那个autorun我没敢开...样本我放在我的FD卡中..哪个有兴趣的可跟我要...呵 呵
更新:
卡巴等N种杀毒软件皆不认毒RECYCLER.EXE是一个回收站形式的图标,里边还包这个DESKTOP.INI和一个autorun.inf但是无论怎么设置系统RECYCLER.EXE里的DESKTOP.INI和一个autorun.inf均不可见只能在U盘根文件夹内看见autorun.inf和RECYCLER.EXE,格式话了N变依旧如此...



autorun.inf内容如下
[autorun]
open=.\RECYCLER\RECYCLER.exe
shell\1=打开(&O)
shell\1\Command=.\RECYCLER\RECYCLER.exe
shell\2\=浏览(&B)
shell\2\Command=.\RECYCLER\RECYCLER.exe
shellexecute=.\RECYCLER\RECYCLER.exe

将其都删除后双击U盘出现打开方式,按住SHIFT右键点自动播放出现找不到文件'\RECYCLER\RECYCLER.exe'


在网上翻了N遍没有一个这样的案例,请大侠们指点迷津,还有不要把那个RECYCLER.EXE的答案复制过来,这个跟那个不是一回事不会就别回答别瞎复制
问题补充:用HIJACKTHIS扫描系统如下
Logfile of HijackThis v1.99.1
Scan saved at 6:51:32, on 2007-1-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
1. 通过U盘传播,会自动在U盘根目录每个文件夹下生成与主文件夹相同名称的病毒文件,图标为普通文件夹;
2. 运行以上文件后,便会中毒,并以当前用户为用户名,新建进程services.exe, winlogon.exe, lsass.exe,
smss.exe等多个进程,且无法在任务管理器中终止,说是系统关键进程;
3. 开机会启动记事本,但是启动菜单上并没有相应的文件,文件名为KB20060111;
4. 以smss为关键字搜索,可以发现在\\Documents and Settings\[当前用户名]\Application
Data文件夹下有病毒文件,但是一打开该文件夹,就会立刻关机;
5. 即使进入安全模式,用administrator,依然有病毒进程,无法终止;
6. U盘下会有autorun.inf文件,指向U盘中的\RECYCLER\RECYCLER.exe,虽然双击打开确实是回收箱,但是却可以删除,而且有两个文件;

7. 对盘符右击,会有OPEN和BROWSE两个命令;
8. 说注册表被管理员停用;
9. 即使把shutdown.exe删除掉,病毒依然能够关机;
10. 当查找病毒文件时,会出现许多killtask.exe进程(可终止);
11. 开机时,会有许多at.exe进程(可终止);
12. 可以发现wincfgs.exe进程,另有一个SVCHOST.exe进程占据大量CPU(可终止);
13. 即使删除部分病毒文件,下次开机时,一切都恢复原;


[此贴被 44(cspaw) 在 03月27日17时51分 编辑过]


[此贴被 44(cspaw) 在 03月27日18时02分 编辑过]


[此贴被 44(cspaw) 在 03月27日18时02分 编辑过]


[此贴被 44(cspaw) 在 03月28日11时54分 编辑过]


[此贴被 44(cspaw) 在 03月28日11时56分 编辑过]
这回在U盘中有一个autorun.inf 它指U盘中的tool.exe文件!删不掉!!


[此贴被 44(cspaw) 在 04月04日20时31分 编辑过]

地主 发表时间: 07-03-27 18:00

回复: rovecat [rovecat]   版主   登录
确定不是回收站吗?那把重要的文件复制出来格式化吧。
正常的XP的回收站如果清空的话里面是没有东西 的。估计就里病毒,    格式化后如果还有那就是你电脑 里有病毒,先把主机清理干净再说吧

B1层 发表时间: 07-03-27 19:53

回复: 44 [cspaw]   论坛用户   登录
晕..好多重要东西的...

B2层 发表时间: 07-03-28 11:43

回复: kailangq [kailangq]   版主   登录
通过U盘传播的病毒
AutoRun病毒

B3层 发表时间: 07-03-28 23:28

回复: kailangq [kailangq]   版主   登录
http://www.smoile.com/BLOG/article.asp?id=581

来这看看,对你应该有点帮助,不行在回帖

B4层 发表时间: 07-03-28 23:33

回复: 44 [cspaw]   论坛用户   登录
谢了..

B5层 发表时间: 07-03-29 19:23

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号