关于 RECYCLER病毒

最近 U盘和电脑都中了 RECYCLER病毒，网上的杀毒工具瑞星 360 卡巴 等都用了就是清除不掉，请高手帮忙！

RECYCLER病毒的症状：
在每个盘符下生成RECYCLER文件夹和autorun.inf。RECYCLER文件夹是隐藏只读的属性，在RECYCLER文件夹下有三个隐藏回收站，文件名分别为：S-1-5-21-855582601-134036064-58889803-500、S-1-5-21-1292428093-2111687655-1343024091-1003、S-1-5-21-2797706238-1410940092-4153244740-500，不能直接删除它们，只有进入DOS系统删除它们，进入DOS系统删除它们后，过一会儿又重新在每个盘符下生成RECYCLER文件夹，RECYCLER文件夹还是隐藏只读的属性，在RECYCLER文件夹下有一个隐藏回收站；autorun.inf是隐藏系统只读的属性，用记事本打开，其内容为：
[AutoRun]
Shell=打开(&O)
shell\打开(&O)\command=RECYCLER\UcHelp.exe。

分析：
通过批处理去掉三个隐藏回收站（S-1-5-21-855582601-134036064-58889803-500、S-1-5-21-1292428093-2111687655-1343024091-1003、S-1-5-21-2797706238-1410940092-4153244740-500）的回收站图标及隐藏属性，发现S-1-5-21-855582601-134036064-58889803-500、S-1-5-21-1292428093-2111687655-1343024091-1003、S-1-5-21-2797706238-1410940092-4153244740-500为三个文件夹，其是通过Desktop.ini配置设置伪装成回收站，并设置隐藏属性，在其文件夹下有病毒文件INFO2、UcHelp.exe及配置设置文件Desktop.ini。autorun.inf文件的作用大家都知道，这里就不作介绍。

解决方法：
一、断网，运行批处理（清理RECYCLER病毒文件.bat）；
二、不要重启，直接带电拔电源插座强行关机，然后开机用系统盘修复即可！

“清理RECYCLER病毒文件.bat“的内容如下：
======================================================================
@echo off
taskkill /im explorer.exe /f
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist "%%i:/RECYCLER" (
attrib %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\desktop.ini -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\desktop.ini
attrib %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\INFO2 -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\INFO2
attrib %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\UcHelp.exe -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\UcHelp.exe
attrib %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500 -s -h -r
rd /q/s %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500

attrib %%i:\RECYCLER\S-1-5-21-1960408961-1450960922-682003330-500\desktop.ini -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-1960408961-1450960922-682003330-500\desktop.ini
attrib %%i:\RECYCLER\S-1-5-21-1960408961-1450960922-682003330-500\INFO2 -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-1960408961-1450960922-682003330-500\INFO2
attrib %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\UcHelp.exe -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\UcHelp.exe
attrib %%i:\RECYCLER\S-1-5-21-1960408961-1450960922-682003330-500 -s -h -r
rd /q/s %%i:\RECYCLER\S-1-5-21-1960408961-1450960922-682003330-500

attrib %%i:\RECYCLER\S-1-5-21-2516078899-3036549676-3356972236-500\desktop.ini -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-2516078899-3036549676-3356972236-500\desktop.ini
attrib %%i:\RECYCLER\S-1-5-21-2516078899-3036549676-3356972236-500\INFO2 -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-2516078899-3036549676-3356972236-500\INFO2
attrib %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\UcHelp.exe -s -h -r
@del /q/s/f %%i:\RECYCLER\S-1-5-21-151679604-1924401545-338918334-500\UcHelp.exe
attrib %%i:\RECYCLER\S-1-5-21-2516078899-3036549676-3356972236-500 -s -h -r
rd /q/s %%i:\RECYCLER\S-1-5-21-2516078899-3036549676-3356972236-500

rd /q/s %%i:\RECYCLER
)

echo Windows Registry Editor Version 5.00>C:\seesaw.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] >>C:\seesaw.reg
echo "DisableRegistryTools"=dword:00000000 >>C:\seesaw.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] >>C:\seesaw.reg
echo "NoFolderOptions"=dword:00000000 >>C:\seesaw.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] >>C:\seesaw.reg
echo "DisableTaskMgr"=dword:00000000 >>C:\seesaw.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] >>C:\seesaw.reg
echo "CheckedValue"=dword:00000001 >>C:\seesaw.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt] >>C:\seesaw.reg
echo "UncheckedValue"=dword:00000000 >>C:\seesaw.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] >>C:\seesaw.reg
echo "@shell32.dll,-30500"="显示所有文件和文件夹" >>C:\seesaw.reg
echo "@shell32.dll,-30501"="不显示隐藏的文件和文件夹" >>C:\seesaw.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>C:\seesaw.reg
echo "Shell"="Explorer.exe" >>C:\seesaw.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] >>C:\seesaw.reg
echo "NoDriveAutoRun"=hex:ff,ff,ff,03 >>C:\seesaw.reg
echo "NoSetTaskbar"=dword:00000000 >>C:\seesaw.reg
echo "NoDriveTypeAutoRun"=dword:000000ff >>C:\seesaw.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] >>C:\seesaw.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] >>C:\seesaw.reg
echo "NoDriveTypeAutoRun"=dword:000000ff >>C:\seesaw.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] >>C:\seesaw.reg
@reg import C:\seesaw.reg
@del /q C:\seesaw.reg
start explorer.exe
echo 清理RECYCLER病毒文件完成!
Pause
exit

相信lz肯定能解决问题的

在安全模式下查杀！重启电脑时--按F8--安全模式--打开杀毒软件－－全盘查杀。！！

安全模式下病毒木马无法运行，而杀毒软件能运行!!!在安全模式删除更干净，杀毒软件查杀更彻底!!!!!!

( 一 )病毒木马的清除办法是： 如果不行,重装系统后不要点击其它的盘符下载下面的工具来清理。。。 1：先把下面的工具下载安装后升级最新，接着进入安全模式， 2：用360安全卫士里的木马云查杀全盘扫描查杀， 3：杀毒软件全盘查杀，如果还有病毒杀毒软件无法清除哪就用4： 4:用windows清理助手、360顽固木马专杀、贝壳木马专杀、金山急救箱扫描修复。 5：最后还是有删除不掉的，用Unlocker和超级巡警文件暴力删除工具来强制删除. 6:重起电脑进入正常模式下联网用360顽固木马全盘扫了一次，没发现病毒，呵呵说明没问题了!!!!

1: AV终结者木马专杀:清除AV终结者/8749病毒;修复:映像劫持、Autorun.inf、修复安全模式. 下载地址： http://mirc.ys168.com/ 2:windows清理助手3.0:对流行木马和IE弹广告窗口等有奇效！！　 下载地址： http://www.duote.com/soft/7513.html 3：360顽固木马专杀:（360顽固木马专杀一定得联网才能查杀)不能运行请改名：“asd”呵呵 下载地址： http://www.360.cn/ 4: 贝壳木马专杀 :贝壳木马专杀是绿色软件，直接双击运行就可以了 下载地址： http://www.beike.cn/ 5: 金山急救箱:简要用法：点扫描后，如果出现可以修复的项目，全选后，点修复即可。 下载地址： http://labs.duba.net/jjx.shtml

( 二 )病毒木马的手动删除法： 按照杀软给出病毒对应的文件名和路径,开始--运行--regedit，打开注册表，用光标选取注册表中的“我的电脑”，菜单--编辑--查找，从头到尾查找这文件的项目，右键--删除，F3继续，直至查完删完. 最后再删除硬盘文件,不让删的用IceSword（冰刃）的文件和注册表功能删 下载地址： http://www.onlinedown.net/soft/53325.htm 或者用Unlocker：安装好后，找到要删除的病毒，然后右键点击，有个unlocker选项，选中。 然后会弹出一个小框框，有删除，解锁等功能可以选择，一般选删除，然后确定。 再牛X的病毒也能够解决~~我用的时候从没有过删除失败。 下载地址:　 http://www.newhua.com/soft/24732.htm

最好也做些基本的防护，关闭系统还原及其服务； 安全模式下清空所有临时文件夹(网上有批处理，也可用超级兔子的文件清理) 关闭一些无用服务超级兔子: http://www.skycn.com/soft/2993.html

如果是U盘和其他盘内都存在一个隐藏的RECYCLER.exe文件那就好办了.

不过好像这个病毒不免杀吧.

反映下具体情况.

大哥，这是回收站文件夹。。。。NTFS 格式下是recyler,fat32是recyled 因为每个盘都有回收站的。删除文件只是把文件移动到这个文件夹，点击清空才会彻底删除。如果只有C盘有的话那不是其它盘删东西都要移动到C盘？ 系统的隐藏文件夹很多的，除了recyler还有system volume infomation系统还原文件夹等等...用windows 资源管理器这些都是隐藏不显示的。lz想看的清楚不如去找个第三方管理器。我现在用的就是total commander很好用，功能比windows资源管理器强上不是一两倍