當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

手動(dòng)清除機(jī)器狗病毒的三招辦法

http://m.yibo1263.com　2008-6-24 11:58:36 　來源:本站　編輯:葉子

　　機(jī)器狗病毒采用hook系統(tǒng)的磁盤設(shè)備棧來達(dá)到穿透目的的，危害極大，可穿透目前技術(shù)條件下的任何軟件硬件還原！基本無法靠還原抵擋。目前已知的所有還原產(chǎn)品，都無法防止這種病毒的穿透感染和傳播。

　　機(jī)器狗是一個(gè)木馬下載器，感染后會(huì)自動(dòng)從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶帳號(hào)的安全。機(jī)器狗運(yùn)行后會(huì)釋放一個(gè)名為PCIHDD.SYS的驅(qū)動(dòng)文件，與原系統(tǒng)中還原軟件驅(qū)動(dòng)進(jìn)行硬盤控制權(quán)的爭(zhēng)奪，并通過替換userinit.exe文件，實(shí)現(xiàn)開機(jī)啟動(dòng)。如何手動(dòng)清除呢？

方案1

　　解決方案是將system32/drivers目錄單獨(dú)分配給一個(gè)用戶，而不賦予administror修改的權(quán)限。雖然這樣能解決，但以后安裝驅(qū)動(dòng)就是一件頭疼的事了。

　　徹底清除該病毒，處理后重啟一下電腦就可以了，之前要打上補(bǔ)��！

或者這樣：

1 注冊(cè)表，組策略中禁止運(yùn)行userinit.exe 進(jìn)程

2 在啟動(dòng)項(xiàng)目中加入批處理

A : 強(qiáng)制結(jié)束userinit.exe進(jìn)程 Taskkill /f /IM userinit.exe （其中“/IM”參數(shù)后面為進(jìn)程的圖像名，這命令只對(duì)XP用戶有效）

B : 強(qiáng)制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe

C : 創(chuàng)建userinit.exe免疫文件到%SystemRoot%system32

命令：md %SystemRoot%system32userinit.exe >nul 2>nul

或者 md %SystemRoot%system32userinit.exe

attrib +s +r +h +a %SystemRoot%system32userinit.exe

D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f

userinit1.exe是正常文件改了名字，多加了一個(gè)1，你也可以自己修改，不過要手動(dòng)修改這4個(gè)注冊(cè)表，并導(dǎo)出，這個(gè)批處理才能正常使用。

方案2

1、首先在系統(tǒng)system32下復(fù)制個(gè)無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執(zhí)行的文件！也就是開機(jī)啟動(dòng)userinit.exe的替代品！而原來的userinit.exe保留！其實(shí)多復(fù)制份的目的只是為了多重保險(xiǎn)！可能對(duì)防止以后變種起到一定的作用。

2、創(chuàng)建個(gè)文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊(cè)表鍵值保持一致即可），內(nèi)容如下：

start FUCKIGM.exe (呵呵，夠簡(jiǎn)單吧？)

3、修改注冊(cè)表鍵值，將userinit.exe改為userinit.bat。內(nèi)容如下：　

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

"Userinit"="C:WINDOWSsystem32userinit.bat,"

就這3步，讓這條狗再也兇不起來！這是在windows 2003測(cè)試的，雙擊機(jī)器狗后，沒什么反應(yīng)，對(duì)比批處理也是正常，即這狗根本沒改動(dòng)它！開關(guān)機(jī)游戲均無異常！但唯一美中不足的是，采用經(jīng)典模式開機(jī)的啟動(dòng)時(shí)會(huì)出現(xiàn)個(gè)一閃而過的黑框！

如果嫌麻煩，也不要緊。上面三條批處理網(wǎng)友已搞好了，直接復(fù)制下面的這個(gè)存為批處理執(zhí)行就OK了。三步合二為一

@echo off

:::直接復(fù)制系統(tǒng)system32下的無毒userinit.exe為FUCKIGM.exe

cd /d %SystemRoot%system32

copy /y userinit.exe FUCKIGM.exe >nul

:::創(chuàng)建userinit.bat

echo @echo off >>userinit.bat

echo start FUCKIGM.exe >>userinit.bat

:::注冊(cè)表操作

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul

:::刪掉自身（提倡環(huán)保）

del /f /q %0

當(dāng)然，如果實(shí)在不行，下載程序killigm。然后直接解壓運(yùn)行里面的程序:機(jī)器狗免疫補(bǔ)丁.bat 執(zhí)行就可以了.

網(wǎng)上流傳的另一種新的變種的防止方法 :

開始菜單運(yùn)行.輸入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...

可防止最新變種。請(qǐng)注意：此法只能是防止，對(duì)于殺機(jī)器狗還得靠最新的殺毒程序才行。

臨時(shí)解決辦法：

一是在路由上封IP：

ROS腳本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.8s7.net action=reject comment="DF6.0"

add chain=forward content=www.tomwg.com action=reject

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费