解决方法：机器狗木马病毒的介绍和清理方法

①机犬病毒活着前后

许曾经说过，有些病毒会穿透恢复卡和冻结点，但是在各种论坛上都没有样本证据。直到2007年8月29日，终于有人在社区中发布了示例。该病毒没有名称。图标是SONY的机器狗Abao。就像前任熊猫烧香一样，每个人都将其命名为机器狗病毒。

②工作原理

机器狗病毒本身会将pcihdd.sys释放到驱动程序目录。 pcihdd.sys是低级硬盘驱动器。增加其优先级以替换恢复卡或冻结点的硬盘驱动器，然后访问指定的网站。这些网站只需要连接即可自动下载大量病毒和恶意插件。然后修改并接管启动管理器。最可怕的是它将通过内部网络传播。一次命中会导致整个网络中的所有计算机自动重新启动。

问题在于，如果病毒通过钩子入侵系统，则更换硬盘驱动器的效率太低，损坏恢复的方法也不是最好的，该技术的应用范围很小，只有还原技术制造商的范围内有交流，在这方面，只有中国在国际上使用它。因此，它很可能成为该行业的杠杆。

对于网吧，机器狗来自网吧。对于所有修复产品设计，可以预见的是，其破坏力将很快超过熊猫燃烧的香火。幸运的是，现在出现了许多免疫补丁，并且自发布之日起，所有主要的防病毒软件都可以检测并杀死它们。

③免疫补丁之战

当前的免疫补丁数量以疫苗的形式出现，并以无害样品的形式复制到驱动程序中，以诱使该病毒以为该病毒可以自行运行以防止伤害。此表单的问题在于，某些用户出于自身安全原因在计算机上运行某些病毒检查程序（例如QQ Doctor）。这样，该疫苗将被误认为是病毒，并且会浪费很多舌头。

④解决方案

最新解决方案是将system32 / drivers目录分别分配给用户，而无需授予管理员修改权限。尽管可以解决此问题，但将来安装驱动程序会很头疼。

当前，您可以使用特殊工具杀死机器狗！

方法1：使用机器狗病毒查杀工具进行检查并杀死

RavMonE Killer是唯一可以检查并杀死所有机器狗病毒及其变种的工具。它可以检测，删除和修复感染了机器狗病毒的磁盘和文件。具有检测和处理功能的未知变种，可以处理所有当前的机器狗病毒家族和相关变种。请注意，在清洁时，必须首先应用上述补丁才能结束病毒过程的操作，否则将无法删除病毒。

Robodog病毒查杀工具

·Robodog免疫补丁

·快速闪存还原V 3. 0构建0905版本

·机器人狗免疫程序

机器狗病毒的描述：

目前，一种称为“机器狗”的病毒正在Internet上传播。该病毒使用挂钩系统的磁盘设备堆栈来达到渗透的目的。它非常有害，并且在当前技术条件下可以穿透任何软件和硬件恢复！基本上无法通过恢复来抵抗。当前所有已知的还原产品都无法阻止这种病毒的穿透性感染和传播。

Robodog是木马下载器。感染后，它将自动从Internet下载木马和病毒，危及用户帐户的安全。

机械狗运行后，将释放一个名为PCIHDD.SYS的驱动程序文件，与原始系统中已还原的软件驱动程序竞争对硬盘的控制，并替换userinit.exe文件以实现启动。

方法2：

或者这样：

1禁止在组策略中运行注册表，userinit.exe进程

2将批处理添加到启动项目中

A：强制结束userinit.exe进程Taskkill / f / IM userinit.exe（其中“ / IM”参数是进程的映像名称，此命令仅对XP用户有效）

B：强制删除userinit.exe文件DEL / F / A / Q％SystemRoot％system32userinit.exe

C：将userinit.exe免疫文件创建到％SystemRoot％system32

命令：md％SystemRoot％system32userinit.exe> nul 2> nul

或md％SystemRoot％system32userinit.exe

attrib + s + r + h + a％SystemRoot％system32userinit.exe

D：reg添加“ HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage文件执行选项userinit.exe” / v调试器/ t reg_sz / d debugfile.exe / f

userinit 1. exe是一个正常的文件，其名称已更改，并添加了额外的1。您也可以自己修改它，但是必须手动修改这4个注册表表并导出它们，以便可以正常使用该批处理。

最新趋势

似乎机器狗的开发已经停止，并且自发布该示例以来未发现任何新版本。这使我们非常担心，因为尽管进行了深入研究，但当前的防御方法都基于病毒的工作原理。 ，一旦机器狗开始更新，工作原理的微小变化就可以逃脱一般的防御方法。看来，机器狗的爆发只是在等待，并不是每个人都可以坐下来放松。

目前，一种称为“机器狗”的病毒正在Internet上传播。该病毒使用挂钩系统的磁盘设备堆栈来达到渗透的目的。它非常有害，并且在当前技术条件下可以穿透任何软件和硬件恢复！基本上无法通过恢复来抵抗。当前所有已知的还原产品都无法阻止这种病毒的穿透性感染和传播。

Robodog是木马下载器。感染后，它将自动从Internet下载木马和病毒，危及用户帐户的安全。

机械狗运行后，将释放一个名为PCIHDD.SYS的驱动程序文件，与原始系统中已还原的软件驱动程序竞争对硬盘的控制，并替换userinit.exe文件以实现启动。

>>那么如何确定它是否被中毒了？

获取机器狗的关键是Userinit.exe文件。该文件位于系统目录的system32文件夹中。右键单击以查看属性。如果在属性窗口中看不到文件的版本标签，则表明您在“机械狗”中。如果有版本标签，那是正常的。

临时解决方案：

一种是阻止路由上的IP：

ROS脚本，如果需要，可以自己添加

/ ip防火墙过滤器

添加链=转发内容=操作=拒绝评论=“ DF 6. 0”

添加链条=转发内容=动作=拒绝

第二个是在c：windowssystem32drivers：pcihdd.sys下创建一个免疫文件

第三种是打包和替换他在制作主磁盘时要修改的文件。

在％systemroot％system32drivers目录中创建一个名为pcihdd.sys的文件夹，并将该属性设置为禁止任何人进行批处理

md％systemroot％system32driverspcihdd.sys

cacls％systemroot％system32driverspcihdd.sys / e / p每个人：n

cacls％systemroot％system32userinit.exe / e / p所有人：r

退出

本教程来自：计算机网络安全性

上一篇文章上一篇文章：如何使用DOS命令操作Windows防火墙（命令介绍和应用程序

下一篇文章下一篇文章：江民推出的2008年网络安全和六种反病毒技术

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-317499-1.html