• 分类

  • 重置

u盘病毒清除 Discovery.exe查杀方法

    这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。


    Quote:
    File: Discovery.exe
    Size: 74240 bytes
    Modified: 2008年2月2日, 0:03:34
    MD5: 2DA55F2A36E852EE6FC96D34DD520979
    SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1
    CRC32: E20E292D


    1.病毒运行后,衍生如下副本及文件:

    Quote:
    %systemroot%\system32\Discovery.exe

    各个分区根目录下生成AutoRun.inf,Discovery.exe达到通过U盘传播的目的。

    并每隔一段时间检测它们是否存在,如不存在,则立即回写
    2.启动两个空壳的隐藏进程svchost.exe,把病毒代码写入svchost.exe的内存,且两个进程相互监视,然后discovery.exe自身退出

    3.创建注册表项目

    Quote:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr 指向%systemroot%\system32\Discovery.exe

    达到开机启动自身的目的

    4.删除如下键破坏安全模式

    Quote:
    SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ 
    SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\

     
    5.破坏显示隐藏文件

    Quote:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000000

     
    6.试图结束很多安全软件进程

    Quote:
    比如:360rpt.exe
    360Safe.exe
    360tray.exe
    srengps.exe
    Ravmond.exe
    rfwsrv.exe
    rfwmain.exe
    ….


    7.添加映像劫持项目劫持如下进程(包括但不限于)

    Quote:
    360rpt.exe
    360Safe.exe
    360tray.exe
    ackwin32.exe
    adam.exe
    ADVXDWIN
    AgentSvr.exe
    alertsvc.exe
    ALOGSERV
    amon.exe
    AMON9X
    anti – trojan.exe
    antivir
    ANTS
    AppSvc32.exe
    apvxdwin.exe
    arvmon.exe
    ATCON
    ATUPDATER
    ATWATCH
    autodown.exe
    AutoGuarder.exe
    autoruns.exe
    AutoTrace
    avconsol.exe
    ave32.exe
    AVGCC32
    avgctrl.exe
    avgrssvc.exe
    AvgServ
    AVGSERV9
    AVGW
    avkpop
    AvkServ
    avkserv.exe
    avkservice
    avkwctl9
    AvMonitor.exe
    Avnt.exe
    avp.com
    avp.exe
    avp32.exe
    avpcc.exe
    avpdos32.exe
    avpm.exe
    avpmon.exe
    avpnt.exe
    avptc32.exe
    avpupd.exe
    Avrep32.exe
    avsched32.exe
    avsynmgr.exe
    avwin95.exe
    AVWINNT
    avwupd32.exe
    AVXMONITOR9X
    AVXMONITORNT
    AVXQUAR
    AVXW
    blackd.exe
    blackice.exe
    BullGuard
    CCAPP.EXE
    CCenter.exe
    ccSvcHst.exe
    cfgWiz
    cfiadmin.exe
    cfiaudit.exe
    cfind.exe
    cfinet.exe


    8.查找如下窗口并模拟按键对付卡巴斯基杀毒软件

    Quote:
    主动防御 警报
    主动防御 警告
    主动防御 信息

     
    之后会查找“允许”“应用到所有”“跳过”的窗口 然后发送WM_LBUTTONDOWN,WM_LBUTTONUP的消息

    9.启动一个iexplore.exe下载其他木马和病毒
    之前会读取http://xxx.*.com/txt071219/208.txt的下载列表按照里面的文件列表下载病毒

    10.另外还有感染htm,html,asp,aspx,php,jsp等网页文件的功能和锁定IE主页的功能,但测试中未发现

    解决方法:

     
    1.解压Icesword的压缩包 把Icesword.exe改名为1.com 运行
    点击菜单栏的文件-设置 勾选禁止进线程创建的钩 然后确定

    切换到进程一栏 找到红色的svchost.exe 依次结束这两个进程

    点击左下角的文件按钮
    进入文件列表
    删除如下文件%systemroot%\system32\Discovery.exe
    以及各个分区下面的Discovery.exe和autorun.inf(务必)

    2.解压sreng 把srengps.exe改名为2.com 运行
    启动项目  注册表 删除如下项目 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr]
        <%systemroot%\system32\Discovery.exe>  []

    并删除所有红色的IFEO项目

    系统修复-Windows Shell/IE 全选 点击修复按钮
    高级修复-修复安全模式

    3.使用杀毒软件或者手动方法查杀其他下载的病毒或木马

发表评论

发表评论