这是一个随U盘传播的病毒,仅仅起到了一定的破坏作用,应该是作者的一个病毒雏形。
File: bigdog.exe Size: 458723 bytes Modified: 2007年12月29日, 22:57:26 MD5: 3178E7E6A6B0C9190ECF0857F3DE97E6 SHA1: 0782EC36266CE5426100E9D9EA4B8DA574B02A6F CRC32: 0375B832 加壳方式:UPX 编写语言:易语言
1.病毒运行后,衍生如下副本: %systemroot%\system32\bigdog.exe 在C盘到K盘下生成autorun.inf和bigdog.exe
如果查到C盘到K盘下有autorun.inf免疫,则使用cmd /c rmdir *:\autorun.inf /s /q(*代表盘符)命令删除该文件(夹)
2.注册启动项目 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"
3.修改系统时间为2000年1月29日 00:00
4.破坏安全模式 删除如下键 HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
5.添加映像劫持项目劫持杀毒软件与一些常用的Windows组件 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\debugger: "%systemroot%\system32\bigdog.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger: "%systemroot%\system32\bigdog.exe"
6.修改hosts屏蔽某些杀毒软件网站 127.0.0.1 www.trendmicro.com 127.0.0.1 rads.mcafee.com 127.0.0.1 www.rising.com.cn 127.0.0.1 bbs.2dai.com 127.0.0.1 bbs.abcbit.com 127.0.0.1 www.freekv.net 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 127.0.0.1 www.qq.com 127.0.0.1 www.duba.net 127.0.0.1 www.baidu.com 127.0.0.1 www.google.com 127.0.0.1 www.jiangmin.com 127.0.0.1 www.ahn.com.cn 127.0.0.1 www.luckfish.net 127.0.0.1 www.hao123.com 127.0.0.1 mail.163.com
连某些盗版升级的网站都屏蔽了,汗
7.破坏显示隐藏文件 把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000001
8.打开电脑的自动播放功能 把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun的值改为0x000000FF
解决方法: 到down.45its.com下载Icesword和sreng
1.打开Icesword-进程 结束%systemroot%\system32\bigdog.exe进程
点击 左下角的“文件”按钮 删除如下文件%systemroot%\system32\bigdog.exe 以及各个盘符下面的autorun.inf和bigdog.exe(一定不要忘记)
2.打开sreng
注册表 启动项目 删除如下项目 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"
并删除下面红色的IFEO项目
还是sreng -系统修复 Windows Shell/IE 全选-修复
系统修复-高级修复 修复安全模式
系统修复-Hosts文件 点击下面红色的重置 重置后再点击右下角的保存按钮
|