u盘病毒清除 Discovery.exe查杀方法

这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。

Quote:
File: Discovery.exe
Size: 74240 bytes
Modified: 2008年2月2日, 0:03:34
MD5: 2DA55F2A36E852EE6FC96D34DD520979
SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1
CRC32: E20E292D

1.病毒运行后,衍生如下副本及文件:

Quote:
%systemroot%\system32\Discovery.exe

各个分区根目录下生成AutoRun.inf,Discovery.exe达到通过U盘传播的目的。

并每隔一段时间检测它们是否存在,如不存在,则立即回写
2.启动两个空壳的隐藏进程svchost.exe,把病毒代码写入svchost.exe的内存,且两个进程相互监视,然后discovery.exe自身退出

3.创建注册表项目

Quote:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr 指向%systemroot%\system32\Discovery.exe

达到开机启动自身的目的

4.删除如下键破坏安全模式

Quote:
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ 
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\

5.破坏显示隐藏文件

Quote:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000000

6.试图结束很多安全软件进程

Quote:
比如:360rpt.exe
360Safe.exe
360tray.exe
srengps.exe
Ravmond.exe
rfwsrv.exe
rfwmain.exe
....

7.添加映像劫持项目劫持如下进程(包括但不限于)

Quote:
360rpt.exe
360Safe.exe
360tray.exe
ackwin32.exe
adam.exe
ADVXDWIN
AgentSvr.exe
alertsvc.exe
ALOGSERV
amon.exe
AMON9X
anti - trojan.exe
antivir
ANTS
AppSvc32.exe
apvxdwin.exe
arvmon.exe
ATCON
ATUPDATER
ATWATCH
autodown.exe
AutoGuarder.exe
autoruns.exe
AutoTrace
avconsol.exe
ave32.exe
AVGCC32
avgctrl.exe
avgrssvc.exe
AvgServ
AVGSERV9
AVGW
avkpop
AvkServ
avkserv.exe
avkservice
avkwctl9
AvMonitor.exe
Avnt.exe
avp.com
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
Avrep32.exe
avsched32.exe
avsynmgr.exe
avwin95.exe
AVWINNT
avwupd32.exe
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
AVXW
blackd.exe
blackice.exe
BullGuard
CCAPP.EXE
CCenter.exe
ccSvcHst.exe
cfgWiz
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
...

8.查找如下窗口并模拟按键对付卡巴斯基杀毒软件

Quote:
主动防御 警报
主动防御 警告
主动防御 信息

之后会查找“允许”“应用到所有”“跳过”的窗口 然后发送WM_LBUTTONDOWN,WM_LBUTTONUP的消息

9.启动一个iexplore.exe下载其他木马和病毒
之前会读取http://xxx.*.com/txt071219/208.txt的下载列表按照里面的文件列表下载病毒

10.另外还有感染htm,html,asp,aspx,php,jsp等网页文件的功能和锁定IE主页的功能,但测试中未发现

解决方法:

1.解压Icesword的压缩包 把Icesword.exe改名为1.com 运行
点击菜单栏的文件-设置 勾选禁止进线程创建的钩 然后确定

切换到进程一栏 找到红色的svchost.exe 依次结束这两个进程

点击左下角的文件按钮
进入文件列表
删除如下文件%systemroot%\system32\Discovery.exe
以及各个分区下面的Discovery.exe和autorun.inf(务必)

2.解压sreng 把srengps.exe改名为2.com 运行
启动项目  注册表 删除如下项目 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr]
    <%systemroot%\system32\Discovery.exe>  []

并删除所有红色的IFEO项目

系统修复-Windows Shell/IE 全选 点击修复按钮
高级修复-修复安全模式

3.使用杀毒软件或者手动方法查杀其他下载的病毒或木马

(0)

相关推荐

  • u盘病毒清除 Discovery.exe查杀方法

    这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

  • 美女游戏病毒iwbkvd.exe查杀方法

    按下F8進入安全模式. 一,運行PowerRmv,點擊"鎖定目標"在路徑c:\winnt\system32或者c:\windows\system32下找到severe.exe的文件,進行殺滅.iwbkvd.exe同樣.powerrmv網上有得下,您可以下載一個. 二,使用卡卡的IE修復功能進行IE修復 三,使用卡卡的啟動項管理功能查看病毒的登陸項進行刪除,并找到對應的病毒程序文件進行清除. 四,使用卡卡的啟動項管理功能查看病毒的應用程式劫持項進行刪除. 五,使用SREng修復系統的文件

  • 记事本U盘病毒 Notepad.exe查杀方法

    特征: 1,运行Notepad.exe后,%SYSTEMROOT%system32建立随机命名文件夹935F0D,释放C:\WINDOWS\system32\935F0D\96B69A.EXE, 2,在%USERPROFILE%「开始」菜单\程序\启动中建立图标为文件夹文件名为空格的快捷方式,指向c:\windows\system32\935f0d\96b69a.exe 3,添加启动到HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,指向c:\

  • 最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法

    通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

  • 威金变种病毒的查杀方法

    近来,威金变种病毒肆虐,不少人中招后被迫格式化所有分区,苦心保存的数据毁于一旦. 中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变"花":到dos下用ghost恢复系统失败:如果不全盘格式化,重装系统也不能解决问题. 今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据. 现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考. 清除病毒的步骤如下: 一.结束病毒进程,删除病毒的启动项. 1.开机按F8键,进安

  • md9.exe scvhost.exe 只木马下载者查杀方法

    从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

  • shualai.exe病毒及手工查杀方法

    这是个利用ANI漏洞传播的木马群,其"动态插入进程"的功能是导致中招后杀毒困难的原因之一. 另:中招后,系统分区以外的.exe全被感染.这也是中此毒后的麻烦之处. 中招后的"症状":进程列表中可见shualai.exe进程. 建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作. 手工查杀流程如下(用IceSword操作): 1.禁止进程创建. 2.根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪

  • 病毒的万能查杀方法第1/2页

    发现病毒,无法清除怎么办? Q:发现病毒,但是无论在安全模式还是Windows下都无法清除怎么办? A:由于某些目录和文件的特殊性,无法直接清除(包括安全模式下杀毒等一些方式杀毒),而需要某些特殊手段清除的带毒文件.以下所说的目录均包含其下面的子目录. 1.带毒文件在\Temporary Internet Files目录下. 由于这个目录下的文件,Windows会对此有一定的保护作用(未经证实).所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然

  • Javascript写了一个清除“logo1_.exe”的杀毒工具(可扫描目录)

    最近我的共享目录里面所有exe文件都被病毒感染,上网一查才知道是"logo1_.exe"这个咚咚搞的鬼.网上对这个病毒的危害性评价得很高,认为只要中了病毒,整台机器都只能"Format"了.其原因大概就是因为所有应用程序都被感染,运行任何程序都回使病毒"重生".我使用"卡巴司机"杀毒,结果提示无法清除,将我整个exe文件给删了.郁闷中,自己动手写了这个咚咚来清除已感染程序里的的病毒. 中了"logo1_.exe&qu

  • recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法

    一.病毒描述:         病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马.为增强隐蔽性,生成的病毒文件有回收站和安         装程序两种图标. 二.病毒基本情况:         病毒名称:Trojan-Dropper.Win32.VB.rj         病毒别名:无         病毒类型:病毒         危害级别:3         感染平台:Windows         病毒大小:458,752(字节)         SHA1 :b86e4197

随机推荐