C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\

今天的確是想要發個文章
但想發的並不是如何解病毒的文啊 冏

相信如果電腦沒有被強制隱藏檔案
應該很多人會看到
C:\RECYCLER\
這個個資料夾
然後裡面有一個資源回收筒的圖案
檔名長這樣
S-1-5-21-1482476501-1644491937-682003330-1013
看起來就很像是WINDOWS裡面的什麼暫存資源回收筒之類的
點進去還真的是被刪除的資料
但是他什麼時候會漏餡呢
假如刪除此資料夾的時候會突然發現系統跳出詢問視窗詢問是不是要刪除desktop.ini以及win32.exe兩個剛才沒看到的檔案
所以就算不用皺眉頭也可以知道案情顯然並不單純

以下為此病毒的定義
來自threatexpert

http://www.threatexpert.com/report.aspx?uid=92a38f4e-68c1-4031-ab76-a9afb31eb746

顯然不是什麼狠腳色
但是看久了還是挺礙眼的

在網路找了一下
發現賽門鐵克的網站上有相關討論
↓
http://www.symantec.com/connect/forums/virus-alert-crecyclers-1-5-21-1482476501-1644491937-682003330-1013svchostexe

雖然問題檔案名稱不太一樣
但解法我想相去不遠
因此就先照它上面提供的方法操作

我想可以看到此檔案應該是表示電腦本身可以顯示隱藏檔
因此我就不提怎樣處理強制隱藏系統檔案的木馬了
想知道怎樣處理可以去請示GOOGLE
或是看此文→http://www.wretch.cc/blog/tabris13/9930470

回到主題
解毒的第一件事情是按ctrl+alt+delete打開windows工作管理員
切換到處理程序的頁籤
然後找出explorer.exe
按右鍵結束該處理程序
假如在XP底下發現有很多個explorer.exe或是名字很像的諸如exp1orer.exe、explore.exe之類的
恭喜你
我們改天再說XD

結束處理程序之後會發現視窗下面的開始按鈕那一條東西不見了
那是正常現象
explorer.exe負責項目就是這些
包含檔案資料夾操作等等
所以關掉就表示暫時不能呼叫它們
推測應該是因為木馬有修改explorer.exe的程式碼所以才做此動作
下一步是直接從工作管理員的檔案選擇執行 輸入regedit.exe
然後輸入C:\RECYCLER(不管後面接什麼 只要是有RECYCLER的通通都殺)
去把所有相關的機碼通通殺掉
殺完之後再回到工作管理員然後點檔案>執行 輸入explorer.exe把explorer.exe重新載入
然後到各個磁碟槽檢查一下
把所有的RECYCLER資料夾全部殺掉
觀察會不會再生
如果不會就重開機
然後再檢查一次
確定都沒再生就是擺平了

10/29
事隔一天來補充一點事情
RECYCLER並不完全就表示他是病毒的資料夾
除非該磁碟槽本身是FAT32才有問題
根據M$技術支援網站的奇怪翻譯→http://support.microsoft.com/kb/171694
寫道
它是NTFS格式的磁碟槽會自動產生的資料夾
所以判斷上顯然不太容易
這樣看來
是不是應該要用SID反查對應的USER呢??

總之假如電腦裡面有RECYCLER的資料夾不用緊張
使用chrome瀏覽器
把C:\RECYCLER貼到網址列可以看見目錄模式的資料夾內容
然後點選那一串SID進去
就可以知道裡面到底有什麼了
或是使用命令提示字元也可以看到