recycle.exe病毒手動解決的方法

一、病毒描述：

病毒通過U盤傳播，運行後復制自身到系統目錄並釋放一個灰鴿子木馬。為增強隱蔽性，生成的病毒文件有回收站和安裝程序兩種圖標。　　

二、病毒基本情況：

病毒名稱：Trojan-Dropper.Win32.VB.rj
病毒別名：無
病毒類型：病毒
危害級別：3
感染平台：Windows
病毒大小：458,752(字節)
SHA1　　：b86e419783b2d1ca9a5d4ea7de4711cf3da7a83b
加殼類型：無
開發工具：Microsoft Visual Basic 5.0 / 6.0

三、病毒行為：

1、病毒運行後會生成以下文件：
%windir%/svchost.exe　(458752 字節，回收站圖標)
%windir%/ravfree.exe　(307640 字節，安裝程序圖標，灰鴿子木馬)
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/servieces.exe　(307640 字節，安裝程序圖
標，灰鴿子木馬)
%windir%/system32/_servieces.exe　(307640 字節，安裝程序圖標，灰鴿子木馬)
2、修改注冊表添加一個啟動項：
鍵路徑：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
鍵名：Shell
鍵值：Explorer.exe %windir%/svchost.exe 　　
3、為灰鴿子木馬添加一個服務：
服務名稱：system starmize
顯示名稱：system starmize
描述：系統自帶啟動優化
可執行文件路徑：%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/servieces.exe
啟動類型：自動 　　
4、修改系統時間。通過執行cmd.exe /c date 1980-01-01命令，將系統時間修改為1980年。
5、監視U盤等移動設備，拷貝自身到U盤裡面並命名為recycle.exe，寫入autorun.inf，以達到隨U盤傳播的目的。
6、病毒釋放的灰鴿木馬會連接http://sx.yixiti.net.ru/i/i.txt下載i.txt文件，根據i.txt文件中的內容連接黑客
並接受其控制。
7、監視自身文件及啟動項，防止被刪除。

四、解決方案：

1、刪除注冊表內的啟動項。修改注冊表刪除病毒啟動項，刪除鍵值內的%windir%/svchost.exe：
鍵路徑：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
鍵名：Shell
鍵值：Explorer.exe %windir%/svchost.exe
2、重啟計算機，進入安全模式。
3、刪除病毒文件。刪除以下文件：
%windir%/svchost.exe
%windir%/ravfree.exe
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/servieces.exe
%windir%/system32/_servieces.exe
4、刪除病毒添加的服務。打開超級巡警，使用服務管理功能刪除名為system starmize的服務。
5、修正系統時間。 　　

五、對預防此病毒的建議：

由於此病毒是通過U盤傳播的，所以建議使用超級巡警的U盤免疫對U盤進行免疫，並且廢除系統的自動運行功能。在將U盤插入到電腦時要對U盤進行殺毒，然後再使用。