u盘病毒清除 Discovery.exe查杀方法

当前位置 : 首页 > 实用技巧 > 病毒查杀 > u盘病毒清除 Discovery.exe查杀方法

u盘病毒清除 Discovery.exe查杀方法

来源:互联网 作者:脚本宝典 时间:2015-07-26 16:58
这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。 Quote: File:Discovery.exe Size:74240bytes Modified:2008年2月2日,0:03:34 MD5:2DA55F2A36E852EE6FC96D34DD520979 SHA1:44CE8F1

这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。 


Quote: 
File: Discovery.exe 
Size: 74240 bytes 
Modified: 2008年2月2日, 0:03:34 
MD5: 2DA55F2A36E852EE6FC96D34DD520979 
SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 
CRC32: E20E292D 


1.病毒运行后,衍生如下副本及文件: 

Quote: 
%systemroot%\system32\Discovery.exe 

各个分区根目录下生成AutoRun.inf,Discovery.exe达到通过U盘传播的目的。 

并每隔一段时间检测它们是否存在,如不存在,则立即回写 
2.启动两个空壳的隐藏进程svchost.exe,把病毒代码写入svchost.exe的内存,且两个进程相互监视,然后discovery.exe自身退出 

3.创建注册表项目 

Quote: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr 指向%systemroot%\system32\Discovery.exe 

达到开机启动自身的目的 

4.删除如下键破坏安全模式 

Quote: 
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\  
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\ 

  
5.破坏显示隐藏文件 

Quote: 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000000 

  
6.试图结束很多安全软件进程 

Quote: 
比如:360rpt.exe 
360Safe.exe 
360tray.exe 
srengps.exe 
Ravmond.exe 
rfwsrv.exe 
rfwmain.exe 
.... 


7.添加映像劫持项目劫持如下进程(包括但不限于) 

Quote: 
360rpt.exe 
360Safe.exe 
360tray.exe 
ackwin32.exe 
adam.exe 
ADVXDWIN 
AgentSvr.exe 
alertsvc.exe 
ALOGSERV 
amon.exe 
AMON9X 
anti - trojan.exe 
antivir 
ANTS 
AppSvc32.exe 
apvxdwin.exe 
arvmon.exe 
ATCON 
ATUPDATER 
ATWATCH 
autodown.exe 
AutoGuarder.exe 
autoruns.exe 
AutoTrace 
avconsol.exe 
ave32.exe 
AVGCC32 
avgctrl.exe 
avgrssvc.exe 
AvgServ 
AVGSERV9 
AVGW 
avkpop 
AvkServ 
avkserv.exe 
avkservice 
avkwctl9 
AvMonitor.exe 
Avnt.exe 
avp.com 
avp.exe 
avp32.exe 
avpcc.exe 
avpdos32.exe 
avpm.exe 
avpmon.exe 
avpnt.exe 
avptc32.exe 
avpupd.exe 
Avrep32.exe 
avsched32.exe 
avsynmgr.exe 
avwin95.exe 
AVWINNT 
avwupd32.exe 
AVXMONITOR9X 
AVXMONITORNT 
AVXQUAR 
AVXW 
blackd.exe 
blackice.exe 
BullGuard 
CCAPP.EXE 
CCenter.exe 
ccSvcHst.exe 
cfgWiz 
cfiadmin.exe 
cfiaudit.exe 
cfind.exe 
cfinet.exe 
... 




8.查找如下窗口并模拟按键对付卡巴斯基杀毒软件 

Quote: 
主动防御 警报 
主动防御 警告 
主动防御 信息 

  
之后会查找“允许”“应用到所有”“跳过”的窗口 然后发送WM_LBUTTONDOWN,WM_LBUTTONUP的消息 

9.启动一个iexplore.exe下载其他木马和病毒 
之前会读取http://xxx.*.com/txt071219/208.txt的下载列表按照里面的文件列表下载病毒 

10.另外还有感染htm,html,asp,aspx,php,jsp等网页文件的功能和锁定IE主页的功能,但测试中未发现 

解决方法: 

  
1.解压Icesword的压缩包 把Icesword.exe改名为1.com 运行 
点击菜单栏的文件-设置 勾选禁止进线程创建的钩 然后确定 

切换到进程一栏 找到红色的svchost.exe 依次结束这两个进程 

点击左下角的文件按钮 
进入文件列表 
删除如下文件%systemroot%\system32\Discovery.exe 
以及各个分区下面的Discovery.exe和autorun.inf(务必) 

2.解压sreng 把srengps.exe改名为2.com 运行 
启动项目  注册表 删除如下项目  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr] 
    <%systemroot%\system32\Discovery.exe>  [] 

并删除所有红色的IFEO项目 

系统修复-Windows Shell/IE 全选 点击修复按钮 
高级修复-修复安全模式 

3.使用杀毒软件或者手动方法查杀其他下载的病毒或木马 

Tag:
上一篇:机器狗病毒清除方法
下一篇:没有了
网友评论

<