u盘病毒清除 Discovery.exe查杀方法_病毒查杀

这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。

Quote:
File: Discovery.exe
Size: 74240 bytes
Modified: 2008年2月2日, 0:03:34
MD5: 2DA55F2A36E852EE6FC96D34DD520979
SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1
CRC32: E20E292D

1.病毒运行后,衍生如下副本及文件:

Quote:
%systemroot%\system32\Discovery.exe

各个分区根目录下生成AutoRun.inf,Discovery.exe达到通过U盘传播的目的。

并每隔一段时间检测它们是否存在,如不存在,则立即回写
2.启动两个空壳的隐藏进程svchost.exe,把病毒代码写入svchost.exe的内存,且两个进程相互监视,然后discovery.exe自身退出

3.创建注册表项目

Quote:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr 指向%systemroot%\system32\Discovery.exe

达到开机启动自身的目的

4.删除如下键破坏安全模式

Quote:
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ 
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\

 
5.破坏显示隐藏文件

Quote:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000000

 
6.试图结束很多安全软件进程

Quote:
比如:360rpt.exe
360Safe.exe
360tray.exe
srengps.exe
Ravmond.exe
rfwsrv.exe
rfwmain.exe
....

7.添加映像劫持项目劫持如下进程(包括但不限于)

Quote:
360rpt.exe
360Safe.exe
360tray.exe
ackwin32.exe
adam.exe
ADVXDWIN
AgentSvr.exe
alertsvc.exe
ALOGSERV
amon.exe
AMON9X
anti - trojan.exe
antivir
ANTS
AppSvc32.exe
apvxdwin.exe
arvmon.exe
ATCON
ATUPDATER
ATWATCH
autodown.exe
AutoGuarder.exe
autoruns.exe
AutoTrace
avconsol.exe
ave32.exe
AVGCC32
avgctrl.exe
avgrssvc.exe
AvgServ
AVGSERV9
AVGW
avkpop
AvkServ
avkserv.exe
avkservice
avkwctl9
AvMonitor.exe
Avnt.exe
avp.com
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
Avrep32.exe
avsched32.exe
avsynmgr.exe
avwin95.exe
AVWINNT
avwupd32.exe
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
AVXW
blackd.exe
blackice.exe
BullGuard
CCAPP.EXE
CCenter.exe
ccSvcHst.exe
cfgWiz
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
...

8.查找如下窗口并模拟按键对付卡巴斯基杀毒软件

Quote:
主动防御 警报
主动防御 警告
主动防御 信息

 
之后会查找“允许”“应用到所有”“跳过”的窗口 然后发送WM_LBUTTONDOWN,WM_LBUTTONUP的消息

9.启动一个iexplore.exe下载其他木马和病毒
之前会读取http://xxx.*.com/txt071219/208.txt的下载列表按照里面的文件列表下载病毒

10.另外还有感染htm,html,asp,aspx,php,jsp等网页文件的功能和锁定IE主页的功能,但测试中未发现

解决方法:

 
1.解压Icesword的压缩包 把Icesword.exe改名为1.com 运行
点击菜单栏的文件-设置 勾选禁止进线程创建的钩 然后确定

切换到进程一栏 找到红色的svchost.exe 依次结束这两个进程

点击左下角的文件按钮
进入文件列表
删除如下文件%systemroot%\system32\Discovery.exe
以及各个分区下面的Discovery.exe和autorun.inf(务必)

2.解压sreng 把srengps.exe改名为2.com 运行
启动项目  注册表 删除如下项目 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr]
    <%systemroot%\system32\Discovery.exe>  []

并删除所有红色的IFEO项目

系统修复-Windows Shell/IE 全选 点击修复按钮
高级修复-修复安全模式

3.使用杀毒软件或者手动方法查杀其他下载的病毒或木马

时间: 2024-10-24 17:20:32

u盘病毒清除 Discovery.exe查杀方法_病毒查杀的相关文章

清除MDM.EXE木马的方法_病毒查杀

在我的C盘WINDOWS根目录下多了一个MDM.EXE文件,每次删除之后会自动生成,并产生一个名为SVCHOST的进程,而且自从中了这个以后,我的所有文件夹都不可见了,即使在设置中选择"显示所有文件和文件夹",关掉"隐藏受保护的系统文件"也没用.这是怎么回事?  这个病毒我昨天遇倒了!最后问题解决了(当然不是格式化硬盘哈)  中了这个病毒以后,在各个分区的根目录下会生成两个文件,分别是autorun.inf 和ravmon.exe(这个文件比较大的)并且属性为隐藏属

一个不错的清除winsmd.exe木马的方法_病毒查杀

我最近好像是中了病毒了,在任务管理器的进程中可以找到一个vktserv.exe进程,我用高级的任务管理器工具找到了这个文件与"C:\WINDOWS\system32\winsmd.exe"和"C:\WINDOWS\system32\vktserv.exe"有关联.我用msconfig打开系统的启动标签也发现了"winsmd.exe".我在网上搜了一下,好像有人说这是一个病毒,我想问问你这是不是一个病毒呢,如果是我该如何清除呢?  答:你中了win

U盘病毒vistaAA.exe的手动查杀方法_病毒查杀

Modified: 2008年5月8日, 18:52:32 MD5: 7009AC302C6D2C6AADEDE0D490D5D843 SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E CRC32: DCE5AE5A 病毒运行后: 1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT钩子,导致某些杀毒软件的主动防御功能失效. 2.结束很多杀毒软件和安全工具的进程 诸如: Qu

最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法_病毒查杀

通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

中了桌面上的ie.exe的解决方法_病毒查杀

目前杀毒软件还不能彻底清除  病毒除了在C盘产生病毒文件IE.EXE等等外,会修改游戏启动文件 如原文件名是 jxonline.exe 病毒就改了原来的文件名成为 jxonline~.exe,然后生成感染病毒的jxonline.exe  在第8次重装完系统后终于. 当我装好系统,心想终于可以玩游戏了,  结果一运行游戏,马上防火墙就检测到有一堆不知道那里冒出来的程序要求访问网络,接着就不断的弹出一大堆广告网业,主业跟着被修改.且每次重新打开IE主业都被改一次(厉害,主业也做到自动切换)   救命

md9.exe scvhost.exe 只木马下载者查杀方法_病毒查杀

从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

shualai.exe病毒及手工查杀方法_病毒查杀

这是个利用ANI漏洞传播的木马群,其"动态插入进程"的功能是导致中招后杀毒困难的原因之一. 另:中招后,系统分区以外的.exe全被感染.这也是中此毒后的麻烦之处. 中招后的"症状":进程列表中可见shualai.exe进程. 建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作. 手工查杀流程如下(用IceSword操作): 1.禁止进程创建. 2.根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪

美女游戏病毒iwbkvd.exe查杀方法_病毒查杀

按下F8進入安全模式. 一,運行PowerRmv,點擊"鎖定目標"在路徑c:\winnt\system32或者c:\windows\system32下找到severe.exe的文件,進行殺滅.iwbkvd.exe同樣.powerrmv網上有得下,您可以下載一個. 二,使用卡卡的IE修復功能進行IE修復 三,使用卡卡的啟動項管理功能查看病毒的登陸項進行刪除,并找到對應的病毒程序文件進行清除. 四,使用卡卡的啟動項管理功能查看病毒的應用程式劫持項進行刪除. 五,使用SREng修復系統的文件

Windows提示找不到文件“chkfat.exe”的解决方法_病毒查杀

尽管已经中毒,但卡巴斯基对这一个进程,一个文件,只能循环连续地报毒,再报杀毒成功,一个chkfat.exe需要重启后删除.          在msconfig启动中关了可疑进程后,重启卡巴斯基提示仍然!察看进程仍可以看到chkfat.exe的运行.结束进程后它随即又启动,卡巴斯基提示仍然!          在window的system32中找到chkfat.exe文件,用unlocker删除,按提示重启电脑,在再开机后弹出提示说,Windows找不到文件"chkfat.exe",请