bigdog.exe

最近电脑突然卡，发现进程了多了很多个bigdog.exe

感觉不对，马上从收藏夹里找到在线杀毒http://www.antidu.cn/board/online/ 查杀

果然，瑞星报毒！！！

这是一个随U盘传播的病毒，bigdog.exe仅仅起到了一定的破坏作用，应该是作者的一个病毒雏形。

File: bigdog.exe

1.病毒运行后，衍生如下副本：

%systemroot%system32igdog.exe

在C盘到K盘下生成autorun.inf和bigdog.exe

如果查到C盘到K盘下有autorun.inf免疫，则使用cmd /c rmdir *:autorun.inf /s /q（*代表盘符）命令删除该文件（夹）

2.注册启动项目

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunigdog.exe: "%systemroot%system32igdog.exe"

3.修改系统时间为2000年1月29日 00：00

4.破坏安全模式

删除如下键

HKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}

5.添加映像劫持项目劫持杀毒软件与一些常用的Windows组件

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360rpt.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360safe.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsautoruns.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.comdebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVStart.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch.EXEdebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmmc.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsQQDoctor.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsQQKav.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

as.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

egedit.exedebugger: "%systemroot%system32igdog.exe"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsaskmgr.exedebugger: "%systemroot%system32igdog.exe"

6.修改hosts屏蔽某些杀毒软件网站

连某些盗版升级的网站都屏蔽了，汗

7.破坏显示隐藏文件,把HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue的值改为0x00000001

8.打开电脑的自动播放功能

把HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerNoDriveTypeAutoRun的值改为0x000000FF

解决方法：

下载Icesword，sreng：http://www.antidu.cn/board/helpst/

1.打开Icesword－进程

结束%systemroot%system32igdog.exe进程

点击 左下角的“文件”按钮

删除如下文件%systemroot%system32igdog.exe

以及各个盘符下面的autorun.inf和bigdog.exe（一定不要忘记）

2.打开sreng

注册表 启动项目

删除如下项目

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunigdog.exe: "%systemroot%system32igdog.exe"

并删除下面红色的IFEO项目

还是sreng -系统修复 Windows Shell/IE 全选－修复

系统修复－高级修复 修复安全模式

系统修复－Hosts文件 点击下面红色的重置 重置后再点击右下角的保存按钮

• ·九炁丹
• ·马世新
• ·个人偶然所得税
• ·推诚置腹
• ·如响而应
• ·好事多妨
• ·交响情人梦SP
• ·长白实验中学
• ·回筹转策
• ·摩天悍将