变种机器狗木马病毒防范

• 防范
• 病毒
• 木马
• 机器
• WINDOWS
• C:
• del
• sys

近期变种机器狗木马病毒猖獗，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法*还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

机器狗病毒是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。机器狗病毒运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

如何识别是否已中机器狗病毒
是否中了机器狗病毒的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗病毒。如果有版本标签则正常。

自查方法：

1.开启查看隐藏文件功能-打开任意windows窗口-工具-文件夹选项-勾选“显示系统文件夹内容”-去掉“隐藏受保护的操作系统文件”勾-选择“显示所有文件和文件夹”－点击“确定”保存修改

2.分别打开c:\windows和c:\windows\system32 两个窗口，每个窗口都右键－查看－详细信息－点击窗口栏上“修改日期”项目按照“最新-最老”日期更新顺序排列文件，对创建修改日期为2008-1~2008-2之间的扩展名为“exe/dat/ini”3种类型文件多注意，以下是判断为机器狗的文件名，给大家做参考：（出现数字x.exe或xx.exe，出现单个字母 a.exe/c.exe或C:\WINDOWS\system32\explorer.exe之类的－恭喜你：你中招了！explorer.exe应该在C:\WINDOWS\目录下，出现在C:\WINDOWS\system32\下的就是病毒！）

另外查看c:\windows\system32\drivers中有无PCIHDD.SYS，有的话也中招了

del C:\WINDOWS\dfasbhpco.exe
del C:\WINDOWS\qveschyt.exe
del C:\WINDOWS\lqvvieps.dll
del C:\WINDOWS\ehbppvct.dat
del C:\WINDOWS\DbgHlp32.exe
del C:\WINDOWS\upxdnd.exe
del C:\WINDOWS\dfasbhpco.exe.hiv
del C:\WINDOWS\dghjxbnr.dat
del C:\WINDOWS\system32\23.exe
del C:\WINDOWS\system32\explorer.exe
del C:\WINDOWS\system32\WIN.INI
del C:\WINDOWS\system32\DbgHlp32.dlL
del C:\WINDOWS\system32\upxdnd.dll
del C:\WINDOWS\system32\netsrv.dll
del C:\WINDOWS\system32\BOLE.INI
del C:\WINDOWS\system32\sgrefg.dll
del C:\WINDOWS\yuuoahmm.dat
del C:\WINDOWS\xjcouxwy.dll
del C:\WINDOWS\mwnptmtoa.exe.hiv
del C:\WINDOWS\bmyfuatg.dll
del C:\WINDOWS\mwnptmtoa.exe
del C:\WINDOWS\joxykwqv.exe
del C:\WINDOWS\xwizrokv.dat
del C:\WINDOWS\system32\ntahqyfdj.dll
del C:\WINDOWS\system32\mswwwdj32.dll

3.检查－开始－程序－启动中有没有什么名称为“x.exe”的文件或快捷方式，如果有－删除，如果提示无法删除－打开对应文件夹－找到这个文件－给予该文件当前用户完全权限－然后删除

我的自救方法：（忙了一个通宵，把两台机子基本清理好）

1.升级本机诺顿病毒库到最新－开启实时防护－进行c盘全面扫描杀毒－或者用其它杀毒软件升级到最新版病毒库杀毒

2.下载最新的瑞星卡卡助手－安装－扫描杀毒杀木马

3.开启本机系统自带的防火墙

4.开始-windowsupdate－升级所有微软补丁-ie7可以不选－碰到要求正版验证就不要做这个升级了

5.自己动手制作一个bat执行文件，把找到的确定可疑的文件列入删除命令，命名为kill.bat放到c盘根目录下，重启系统－在开机时按F8调出启动菜单，选择“带命令行的安全模式”进入系统（会比较慢，耐心点）－在dos命令窗口输入c:\kill.bat－回车执行，然后重启看有无完成操作－就是想删的有没有删掉。下面是文件内容，有基础的可以根据自己的实际情况修改制作：（因为木马狡猾把很多文件设置了隐藏系统只读等属性，如果直接del会无法成功，前半部就是把所有可疑文件不管3721都去掉这些属性然后del）

c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\explorer.exe
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\WIN.INI
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\DbgHlp32.dlL
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\upxdnd.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\netsrv.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\BOLE.INI
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\sgrefg.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\yuuoahmm.dat
c:\windows\system32\attrib -H -S -R C:\WINDOWS\xjcouxwy.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\mwnptmtoa.exe.hiv
c:\windows\system32\attrib -H -S -R C:\WINDOWS\bmyfuatg.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\mwnptmtoa.exe
c:\windows\system32\attrib -H -S -R C:\WINDOWS\joxykwqv.exe
c:\windows\system32\attrib -H -S -R C:\WINDOWS\xwizrokv.dat
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\ntahqyfdj.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\mswwwdj32.dll

del C:\WINDOWS\dfasbhpco.exe
del C:\WINDOWS\qveschyt.exe
del C:\WINDOWS\lqvvieps.dll
del C:\WINDOWS\ehbppvct.dat
del C:\WINDOWS\DbgHlp32.exe
del C:\WINDOWS\upxdnd.exe
del C:\WINDOWS\dfasbhpco.exe.hiv
del C:\WINDOWS\dghjxbnr.dat
del C:\WINDOWS\system32\23.exe
del C:\WINDOWS\system32\explorer.exe
del C:\WINDOWS\system32\WIN.INI
del C:\WINDOWS\system32\DbgHlp32.dlL
del C:\WINDOWS\system32\upxdnd.dll
del C:\WINDOWS\system32\netsrv.dll
del C:\WINDOWS\system32\BOLE.INI
del C:\WINDOWS\system32\sgrefg.dll#p#分页标题#e#
del C:\WINDOWS\yuuoahmm.dat
del C:\WINDOWS\xjcouxwy.dll
del C:\WINDOWS\mwnptmtoa.exe.hiv
del C:\WINDOWS\bmyfuatg.dll
del C:\WINDOWS\mwnptmtoa.exe
del C:\WINDOWS\joxykwqv.exe
del C:\WINDOWS\xwizrokv.dat
del C:\WINDOWS\system32\ntahqyfdj.dll
del C:\WINDOWS\system32\mswwwdj32.dll

另外

1、及时升级杀毒软件病毒库，补齐系统漏洞，上网时确保打开“网页监控”、“邮件监控”功能。
2、打开杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算 机，完全保护计算机系统安全。
3、禁用系统的自动播放功能，防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。
4、建议在登录网游账号、网络银行账户时采用软键盘输入账号及密码。
5、做好局域网的ARP病毒防范工作。

附录
1,关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit. msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。

MS06-014 中文版系统补丁下载地址：
http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS06-014 英文版系统补丁下载地址：
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址：
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
MS07-017 英文版系统补丁下载地址：
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx