设为首页收藏本站
开启辅助访问

 找回密码
 立即注册

QQ登录

只需一步,快速开始

赛盟中国KZ玩家社区»社区 交流与分享 计算机技术 电脑病毒防治 查杀:bigdog.exe,autorun.inf,"道"字U盘病毒
返回列表 发新帖
查看: 1198|回复: 3

查杀:bigdog.exe,autorun.inf,"道"字U盘病毒

[复制链接]
Simen.Resh@d

该用户从未签到
发表于 2008-1-11 18:15:56 | 显示全部楼层 |阅读模式
作者:清新阳光


这是一个随U盘传播的病毒,仅仅起到了一定的破坏作用,应该是作者的一个病毒雏形。

File: bigdog.exe
Size: 458723 bytes
Modified: 2007年12月29日, 22:57:26
MD5: 3178E7E6A6B0C9190ECF0857F3DE97E6
SHA1: 0782EC36266CE5426100E9D9EA4B8DA574B02A6F
CRC32: 0375B832
加壳方式:UPX
编写语言:易语言

1.病毒运行后,衍生如下副本:
%systemroot%\system32\bigdog.exe
在C盘到K盘下生成autorun.inf和bigdog.exe

如果查到C盘到K盘下有autorun.inf免疫,则使用cmd /c  rmdir *:\autorun.inf /s /q(*代表盘符)命令删除该文件(夹)

2.注册启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"

3.修改系统时间为2000年1月29日 00:00

4.破坏安全模式
删除如下键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

5.添加映像劫持项目劫持杀毒软件与一些常用的Windows组件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger: "%systemroot%\system32\bigdog.exe"

6.修改hosts屏蔽某些杀毒软件网站
127.0.0.1      www.trendmicro.com
127.0.0.1      rads.mcafee.com
127.0.0.1      www.rising.com.cn
127.0.0.1      bbs.2dai.com
127.0.0.1      bbs.abcbit.com
127.0.0.1      www.freekv.net
127.0.0.1      downloads-us1.kaspersky-labs.com
127.0.0.1      downloads1.kaspersky-labs.com
127.0.0.1      downloads4.kaspersky-labs.com
127.0.0.1      downloads2.kaspersky-labs.com
127.0.0.1      downloads-eu1.kaspersky-labs.com
127.0.0.1      www.qq.com
127.0.0.1      www.duba.net
127.0.0.1      www.baidu.com
127.0.0.1      www.google.com
127.0.0.1      www.jiangmin.com
127.0.0.1      www.ahn.com.cn
127.0.0.1      www.luckfish.net
127.0.0.1      www.hao123.com
127.0.0.1      mail.163.com

连某些盗版升级的网站都屏蔽了,汗

7.破坏显示隐藏文件
把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000001

8.打开电脑的自动播放功能
把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun的值改为0x000000FF


解决方法:
下载Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng:http://download.kztechs.com/files/sreng2.zip

1.打开Icesword-进程
结束%systemroot%\system32\bigdog.exe进程

点击 左下角的“文件”按钮
删除如下文件%systemroot%\system32\bigdog.exe
以及各个盘符下面的autorun.inf和bigdog.exe(一定不要忘记)

2.打开sreng

注册表 启动项目
删除如下项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"

并删除下面红色的IFEO项目

还是sreng -系统修复 Windows Shell/IE  全选-修复

系统修复-高级修复 修复安全模式

系统修复-Hosts文件 点击下面红色的重置  重置后再点击右下角的保存按钮





回复

使用道具 举报

Xx'

该用户从未签到
发表于 2008-1-11 19:09:32 | 显示全部楼层
辛苦丸子了.

回复 鲜花 鸡蛋

使用道具 举报

SiMen.CS.sp

该用户从未签到
发表于 2008-1-11 19:51:09 | 显示全部楼层
.有什么用吗??!!...
回复 鲜花 鸡蛋

使用道具 举报

Simen.Resh@d

该用户从未签到
 楼主| 发表于 2008-1-11 20:39:33 | 显示全部楼层
不做任何解释...
回复 鲜花 鸡蛋

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表