rejoice101.exe,Worm.Win32.AutoRun.dve查杀

Worm.Win32.AutoRun.dve该蠕虫程序被执行后，拷贝自身到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO目录下，重命名为“rejoice101.exe”，修改文件属性为隐藏、系统；调用SCM写注册表，将病毒拷贝“rejoice101.exe”注册成名为“Windows_rejoice2007_101”的服务，使用相关API函数启动被注册的服务；使用API函数CreateProcessA运行“rejoice46.exe”；以批处理的形式将病毒原文件删除；

项：HKLM\SYSTEM\CurrentControlSet\Services\Windows_rejoice2007_101\
键值：DisplayName
指向数据：Windows_rejoice2007_101
项：HKLM\SYSTEM\CurrentControlSet\Services\windows service\
键值：ImagePath
指向文件：%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\rejoice101.exe
项：HKLM\SYSTEM\CurrentControlSet\Services\windows service\
键值：Start
指向数据：02 

“rejoice46.exe”运行后，拷贝自身到%SystemRoot%\system32目录下，重命名为“_rejoice101.exe”，修改文件属性为隐藏、系统；修改如下注册表健值开启Windows自动播放功能；

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
键值：NoDriveTypeAutoRun
指向变量：95  

使用API函数CreateProcessA分别运行%SystemRoot%\system32\calc.exe、%ProgramFiles%\internet explorer\IEXPLORE.EXE，申请内存空间将病毒部分代码写入，使用相关API函数激活病毒代码进行代码注入逃避常规杀毒软件的查杀；访问恶意网站将其他病毒下载到本地并运行；遍历盘符在移动存储介质中释放隐藏病毒文件和autorun.inf，使用Windows自动播放功能来传播病毒。

推荐安装正版的微点主动防御软件，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏，并有效的清除该病毒。