穿透还原卡、冰点病毒，360安全卫士查杀免疫补丁之争

说明

该病毒在网吧和其他大型计算机网络中最普遍。通常，在个人计算机上捕获此病毒并不容易。现在，大多数防病毒软件都可以检查并杀死病毒。

计算机病毒

在机器狗死后，许曾经说过，有一种病毒穿透了恢复卡和冰点，但是在各种论坛上都没有样本证据。直到2007年8月29日，终于有人在社区中发布了一个示例。该病毒没有名字。图标是SONY的机器狗Abao。就像前任熊猫烧香一样，每个人都把它叫做机器狗。

工作原理

机器狗本身将向驱动程序目录中释放一个pcihdd.sys。 pcihdd.sys是低级硬盘驱动器。它将增加其优先级，以替换恢复卡或冻结点的硬盘驱动器，然后访问指定的URL。这些URL只需要连接即可自动下载大量病毒和恶意插件。然后修改并接管启动管理器。最可怕的是，它将通过内部网络传播。命中会导致整个网络上的所有计算机自动重新启动。

问题在于，如果病毒通过钩子入侵系统，则更换硬盘驱动器的效率太低，损坏修复的方法也不是最好的，该技术的应用范围很小，在还原技术制造商的范围内只有交流，在这方面，只有中国在国际上使用交流。因此，这很可能是该行业的内部冲突。

对于网吧，机器狗来自网吧。对于所有修复产品的设计，可以预见的是，其破坏力将很快超过熊猫燃烧的香火。幸运的是，现在已经出现了许多免疫补丁，并且自发布之日起，所有主要的防病毒软件都可以被检查并杀死。

免疫补丁之争

目前的免疫补丁是疫苗形式。将它们复制到具有无害样本的驱动程序，以诱使该病毒认为它已经在运行并防止伤害。此表单的问题在于，某些用户出于自身安全原因在计算机上运行某些病毒检查程序（例如360安全卫士）。这样，该疫苗将被误认为是病毒，并且会浪费很多舌头。

解决方案

最新的解决方案是将system32 / drivers目录分别分配给用户，而无需授予管理员修改权限。尽管可以解决此问题，但将来安装驱动程序将是一件令人头疼的事。

要完全清除病毒，请在处理完病毒后重新启动计算机，然后再应用补丁！

或者像这样：

1禁止在组策略中运行注册表，userinit.exe进程

2将批处理添加到启动项目中

A：强制结束userinit.exe进程Taskkill / f / IM userinit.exe（其中“ / IM”参数是进程的映像名称，此命令仅对XP用户有效）

B：强制删除userinit.exe文件DEL / F / A / Q％SystemRoot％\ system32 \ userinit.exe

C：创建对％SystemRoot％\ system32 \

的userinit.exe免疫文件

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-371172-1.html