bigdog.exe,autorun.inf,“道”字U盘病毒分析解决_电脑软硬件应用网

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

bigdog.exe,autorun.inf,“道”字U盘病毒分析解决

bigdog.exe,autorun.inf,“道”字U盘病毒分析解决

2008-1-7 12:16:10　　文/清新阳光　　出处:发掘网　　

这是一个随U盘传播的病毒，仅仅起到了一定的破坏作用，应该是作者的一个病毒雏形。

File: bigdog.exe
Size: 458723 bytes
Modified: 2007年12月29日, 22:57:26
MD5: 3178E7E6A6B0C9190ECF0857F3DE97E6
SHA1: 0782EC36266CE5426100E9D9EA4B8DA574B02A6F
CRC32: 0375B832
加壳方式：UPX
编写语言：易语言

1.病毒运行后，衍生如下副本：
%systemroot%\system32\bigdog.exe
在C盘到K盘下生成autorun.inf和bigdog.exe

如果查到C盘到K盘下有autorun.inf免疫，则使用cmd /c rmdir *:\autorun.inf /s /q（*代表盘符）命令删除该文件（夹）

2.注册启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"

3.修改系统时间为2000年1月29日 00：00

4.破坏安全模式
删除如下键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

5.添加映像劫持项目劫持杀毒软件与一些常用的Windows组件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger: "%systemroot%\system32\bigdog.exe"

6.修改hosts屏蔽某些杀毒软件网站
127.0.0.1      www.trendmicro.com
127.0.0.1      rads.mcafee.com
127.0.0.1      www.rising.com.cn
127.0.0.1      bbs.2dai.com
127.0.0.1      bbs.abcbit.com
127.0.0.1      www.freekv.net
127.0.0.1      downloads-us1.kaspersky-labs.com
127.0.0.1      downloads1.kaspersky-labs.com
127.0.0.1      downloads4.kaspersky-labs.com
127.0.0.1      downloads2.kaspersky-labs.com
127.0.0.1      downloads-eu1.kaspersky-labs.com
127.0.0.1      www.qq.com
127.0.0.1      www.duba.net
127.0.0.1      www.baidu.com
127.0.0.1      www.google.com
127.0.0.1      www.jiangmin.com
127.0.0.1      www.ahn.com.cn
127.0.0.1      www.luckfish.net
127.0.0.1      www.hao123.com
127.0.0.1      mail.163.com

连某些盗版升级的网站都屏蔽了，汗

7.破坏显示隐藏文件
把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000001

8.打开电脑的自动播放功能
把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun的值改为0x000000FF

解决方法：
到down.45its.com下载Icesword和sreng

1.打开Icesword－进程
结束%systemroot%\system32\bigdog.exe进程

点击左下角的“文件”按钮
删除如下文件%systemroot%\system32\bigdog.exe
以及各个盘符下面的autorun.inf和bigdog.exe（一定不要忘记）

2.打开sreng

注册表启动项目
删除如下项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"

并删除下面红色的IFEO项目

还是sreng -系统修复 Windows Shell/IE 全选－修复

系统修复－高级修复修复安全模式

系统修复－Hosts文件点击下面红色的重置重置后再点击右下角的保存按钮

上一篇文章： Downloader.Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

下一篇文章：病毒杀不掉的原因与解决办法

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…