u盘病毒清除 Discovery.exe查杀方法_病毒查杀教程-查字典教程网
u盘病毒清除 Discovery.exe查杀方法
u盘病毒清除 Discovery.exe查杀方法
发布时间:2016-12-26 来源:查字典编辑
摘要:这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。Quote:File:Discovery.exeSiz...

这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。

Quote:

File:Discovery.exe

Size:74240bytes

Modified:2008年2月2日,0:03:34

MD5:2DA55F2A36E852EE6FC96D34DD520979

SHA1:44CE8F1C1A02591A88867F421C0C658B200D94C1

CRC32:E20E292D

1.病毒运行后,衍生如下副本及文件:

Quote:

%systemroot%system32Discovery.exe

各个分区根目录下生成AutoRun.inf,Discovery.exe达到通过U盘传播的目的。

并每隔一段时间检测它们是否存在,如不存在,则立即回写

2.启动两个空壳的隐藏进程svchost.exe,把病毒代码写入svchost.exe的内存,且两个进程相互监视,然后discovery.exe自身退出

3.创建注册表项目

Quote:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalledComponentsDiscoverr指向%systemroot%system32Discovery.exe

达到开机启动自身的目的

4.删除如下键破坏安全模式

Quote:

SYSTEMControlSet001ControlSafeBootMinimal

SYSTEMControlSet001ControlSafeBootNetworkSYSTEMCurrentControlSetControlSafeBootMinimalSYSTEMCurrentControlSetControlSafeBootNetwork

5.破坏显示隐藏文件

Quote:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue的值改为0x00000000

6.试图结束很多安全软件进程

Quote:

比如:360rpt.exe

360Safe.exe

360tray.exe

srengps.exe

Ravmond.exe

rfwsrv.exe

rfwmain.exe

....

7.添加映像劫持项目劫持如下进程(包括但不限于)

Quote:

360rpt.exe

360Safe.exe

360tray.exe

ackwin32.exe

adam.exe

ADVXDWIN

AgentSvr.exe

alertsvc.exe

ALOGSERV

amon.exe

AMON9X

anti-trojan.exe

antivir

ANTS

AppSvc32.exe

apvxdwin.exe

arvmon.exe

ATCON

ATUPDATER

ATWATCH

autodown.exe

AutoGuarder.exe

autoruns.exe

AutoTrace

avconsol.exe

ave32.exe

AVGCC32

avgctrl.exe

avgrssvc.exe

AvgServ

AVGSERV9

AVGW

avkpop

AvkServ

avkserv.exe

avkservice

avkwctl9

AvMonitor.exe

Avnt.exe

avp.com

avp.exe

avp32.exe

avpcc.exe

avpdos32.exe

avpm.exe

avpmon.exe

avpnt.exe

avptc32.exe

avpupd.exe

Avrep32.exe

avsched32.exe

avsynmgr.exe

avwin95.exe

AVWINNT

avwupd32.exe

AVXMONITOR9X

AVXMONITORNT

AVXQUAR

AVXW

blackd.exe

blackice.exe

BullGuard

CCAPP.EXE

CCenter.exe

ccSvcHst.exe

cfgWiz

cfiadmin.exe

cfiaudit.exe

cfind.exe

cfinet.exe

...

8.查找如下窗口并模拟按键对付卡巴斯基杀毒软件

Quote:

主动防御警报

主动防御警告

主动防御信息

之后会查找“允许”“应用到所有”“跳过”的窗口然后发送WM_LBUTTONDOWN,WM_LBUTTONUP的消息

9.启动一个iexplore.exe下载其他木马和病毒

之前会读取http://xxx.*.com/txt071219/208.txt的下载列表按照里面的文件列表下载病毒

10.另外还有感染htm,html,asp,aspx,php,jsp等网页文件的功能和锁定IE主页的功能,但测试中未发现

解决方法:

1.解压Icesword的压缩包把Icesword.exe改名为1.com运行

点击菜单栏的文件-设置勾选禁止进线程创建的钩然后确定

切换到进程一栏找到红色的svchost.exe依次结束这两个进程

点击左下角的文件按钮

进入文件列表

删除如下文件%systemroot%system32Discovery.exe

以及各个分区下面的Discovery.exe和autorun.inf(务必)

2.解压sreng把srengps.exe改名为2.com运行

启动项目注册表删除如下项目

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalledComponentsDiscoverr]

<%systemroot%system32Discovery.exe>[]

并删除所有红色的IFEO项目

系统修复-WindowsShell/IE全选点击修复按钮

高级修复-修复安全模式

3.使用杀毒软件或者手动方法查杀其他下载的病毒或木马

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新病毒查杀学习
    热门病毒查杀学习
    实用技巧子分类