神马品牌网广讯通平台下载:求助:Recycled.exe是什么啊?我的U盘是不是中毒了?
来源:百度文库 编辑:神马品牌网 时间:2024/04/28 12:48:30
但用资源管理器确能打开,这是怎么回事啊?希望得到大家的指点。万分感谢!我还会追加悬赏分的。谢谢!!!!
“冒名者”病毒分析:
病毒名称:Backdoor/VB.Sfcdis
病毒类型:后门
病毒大小:73728字节
传播方式:网络
危害程度:★★
该病毒由VB语言编写的后门病毒Backdoor/VB.Sfcdis。该病毒试图禁用Windows 2000/XP/2003的系统文件保护功能,进而替换系统文件。还会收集用户系统信息向某网站提交,并能够根据远程黑客命令,在用户机器上进行文件复制删除、截取屏幕画面、发送消息等操作。
病毒具体技术特征如下:
1.运行后显示对话框。
2.创建下列文件:
c:\recycled.exe, 73728字节,隐藏属性文件,病毒本身
c:\autorun.inf, 44字节,隐藏属性文件,自动播放配置文件,指向病毒程序。
这样,用户每次双击c:驱动器盘符,都会激活病毒程序。
3.添加或修改下列注册表键值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon]
"SFCDisable" = 00000001
这样,使用Windows资源管理器浏览文件时将不会显示隐藏文件,在系统文件被破坏时,Windows 2000/XP/2003也不会发出警告。
4. 尝试用自身替换系统文件%SystemDir%\Rundll32.exe。一旦替换成功,每次Rundll32.exe被调用时都会激活病毒程序。正常的Rundll32.exe被完全破坏,只能通过备份恢复。
5. 收集用户系统的进程列表、机器名、驱动器等信息,向网页脚本http://virtu****st.w**plus.com.cn/v**rl/v.asp提交。
6. 根据黑客命令,可以在用户本地系统进行下列操作:
文件复制、移动、删除、改变属性;
文件夹复制、移动、删除、新建;
运行程序;
弹出消息对话框,包含字符串“从 xfastx 到……的消息”;
抓取用户屏幕画面
解决方案:
首先进运行regedit 再在里面把上述的注册码键值删除
打开进程,结束rundll.exe和explorer.exe进程,打开我的电脑,右键打开{一定用右键} 每个盘,,,删去recycled.exe 和 autonorn.inf就行了
最后重起
中了病毒,这里给出解决办法。
冒名者病毒处理方法
重点:
完全杀除病毒之前绝对不要双击去打开任何盘符,任何时候都要用右键->资源管理器去打开
以下四步必须按顺序完成
1。杀病毒进程
方法一:ctrl+alt+del三个键一起按打开任务管理器,右键点Recycled.exe这个进程(如果有的话)把它关闭
方法二:开始->运行->输入cmd->再输入tasklist 回车
如果看到Recycled.exe就是病毒进程了
输入
taskkill /F /IM Recycled.exe 回车
2。改回被病毒更改的注册表键值
开始->运行->regedit.exe
打开注册表编辑器注册表
里面:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 00000000
把这项的值改成1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable" = 00000001
把这项的值改成0
3.删除病毒文件
去我的电脑(完全杀除病毒之前不要双击任何C或者D或者E。。。
去文件夹选项
允许显示所有文件和受保护的系统文件,
右键点C盘选资源管理器去到C盘根目录,看到
Recycled.exe(隐藏属性文件,病毒本身)
Autorun.inf(隐藏属性文件,自动播放配置文件,指向病毒程序,每次双击C盘都会激活病毒,所以杀除之前用资源管理器打开不要双击)
的话删除他们)
用同样的方法去到其他盘下面,一定要把U盘,移动硬盘根目录下的这个病毒文件用上面的方法删除,不然会传染更多的人!
看到它们也要把它们删除(右键资源管理器去打开)
4. 替换受损的rundll32.exe文件
方法一:使用系统盘\Windows\system32\dllcache下的rundll32.exe替换系统盘\Windows\system32\下的rundll32.exe
方法二:重启动把你的XP安装光盘放到光驱里面运行cmd
再输入SFC /SCANNOW
系统会自动检测并修复受保护的系统文件(主要这个病毒会替换rundll32.exe)
方法三:去别人那里拷贝个rundll32.exe过来覆盖
PS:skygunner 的限量版手工杀毒方法~11.12日亲自测试通过的
另外一个重点:
在第三步里面把U盘和移动硬盘/mp3等也一起查杀病毒文件,否则插到哪台电脑,病毒就会
mp3 上有毒
格了吧~
别把系统也染上啦
打不开你可以右击打开啊
看右键菜单是不是有个自动播放
要是有系统可能染上了
赶紧杀
以下四步必须按顺序完成
1。杀病毒进程
方法一:ctrl+alt+del三个键一起按打开任务管理器,右键点Recycled.exe这个进程(如果有的话)把它关闭
方法二:开始->运行->输入cmd->再输入tasklist 回车
如果看到Recycled.exe就是病毒进程了
输入
taskkill /F /IM Recycled.exe 回车
2。改回被病毒更改的注册表键值
开始->运行->regedit.exe
打开注册表编辑器注册表
里面:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 00000000
把这项的值改成1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable" = 00000001
把这项的值改成0
3.删除病毒文件
去我的电脑(完全杀除病毒之前不要双击任何C或者D或者E。。。
去文件夹选项
允许显示所有文件和受保护的系统文件,
右键点C盘选资源管理器去到C盘根目录,看到
Recycled.exe(隐藏属性文件,病毒本身)
Autorun.inf(隐藏属性文件,自动播放配置文件,指向病毒程序,每次双击C盘都会激活病毒,所以杀除之前用资源管理器打开不要双击)
的话删除他们)
用同样的方法去到其他盘下面,一定要把U盘,移动硬盘根目录下的这个病毒文件用上面的方法删除,不然会传染更多的人!
看到它们也要把它们删除(右键资源管理器去打开)
4. 替换受损的rundll32.exe文件
方法一:使用系统盘\Windows\system32\dllcache下的rundll32.exe替换系统盘\Windows\system32\下的rundll32.exe
方法二:重启动把你的XP安装光盘放到光驱里面运行cmd
再输入SFC /SCANNOW
系统会自动检测并修复受保护的系统文件(主要这个病毒会替换rundll32.exe)
方法三:去别人那里拷贝个rundll32.exe过来覆盖
PS:skygunner 的限量版手工杀毒方法~11.12日亲自测试通过的
欢乐时光之类的病毒.格式化u盘即可