1   1  /  1  页   跳转

关于 recyclecl.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:03 | 显示全部 短消息 资料
字号: 1楼

关于 recyclecl.exe

recyclecl.exe好像是个后门。
1、感染系统后试图关闭卡巴斯基(我的卡巴N天没更新了),见图1。
2、在%system%下释放recyclecl.exe;还试图释放一个aspr_keys.ini,但没成功。
3、注册表改动见图2
4、篡改hosts文件(见图3)
查杀:
后门进程recyclecl.exe可直接结束;%system%下的recyclecl.exe可直接删除。
将被改动的hosts文件内容和注册表内容删除。

图1

附件附件:

下载次数:1
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-11 12:03:20
描述:



最后编辑2005-12-30 22:29:32
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:04 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-11 12:04:45
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:05 | 显示全部 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-11 12:05:47
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:21 | 显示全部 短消息 资料
字号: 4楼

引用:
【独孤豪侠的贴子】哇,这么难呀,还好没试.
...........................

根据其关闭杀软以及添加的注册表内容,想起以前遇到过的几个bot后门。这类后门都篡改hosts。
另外,如果你用hijackthis扫日志,也会发现N个O1。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:51 | 显示全部 短消息 资料
字号: 5楼

【回复“七彩黄花菜萱草”的帖子】
谢谢你的问题。
自从用上KillBox后,基本不用资源管理器打开hosts文件了,太麻烦。也正是因为我这个习惯,忽略了这个后门的一个特点——禁止访问hosts(见附图)。
用KillBox可直接打开hosts、修改、保存。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-11 12:51:41
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 13:40 | 显示全部 短消息 资料
字号: 6楼

引用:
【再也不喝了的贴子】谢谢baohe斑竹,但我这里有几个小问题,首先recyclecl.exe进程和文件不能直接删除,要在安全模式下或借助别的小工具才能删除,删除C:\winnt\system32\recyclecl.exe后又出现个C:\!Submit\recyclecl.exe。注册表所有recyclecl.exe项删除后(包括recyclecl项),过几分钟又会出现recyclecl.exe。
hosts文件在哪?
...........................

1、C:\!Submit\是KillBox的一个文件夹,保留待提交样本用。你用KillBox删的文件都会进入这个文件夹。这个文件夹可以定期清理。
2、你的系统补丁是否打全了?系统用户口令是否足够复杂?不必要的系统服务是否关闭?
3、既然你用过KillBox,可以用它直接打开hosts。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 17:54 | 显示全部 短消息 资料
字号: 7楼

【回复“再也不喝了”的帖子】
2、你的系统补丁是否打全了?系统用户口令是否足够复杂?不必要的系统服务是否关闭?

你并没有回答着几个问题。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 21:11 | 显示全部 短消息 资料
字号: 8楼

【回复“再也不喝了”的帖子】
这东东像"高波"。
强烈建议你检查一下—— 系统和浏览器的补丁是否打全了(运行,WINDOWS UPDATE)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 21:27 | 显示全部 短消息 资料
字号: 9楼

卡巴斯基今天晚上的病毒库仍然不报。不知瑞星最新病毒库报不报?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-12 14:55 | 显示全部 短消息 资料
字号: 10楼

引用:
【独孤豪侠的贴子】老班,问你一下,你试没试过运行这个病毒后,马上重启电脑!!不要一运行就进行杀毒~~~~
...........................

这样试过。没什么不同。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT