我们研究所昨天一个网段的机器全部中招,我们的网管出差了, 我这个还没毕业的学生又得去救火了。命苦啊, 听领导说我住的学校的网络全部瘫痪,那的网络中心的人有活干了,呵呵 。大学的网络也这样脆弱啊 汗啊。 这病毒真牛啊, 我们所职工和学生基本都装了瑞星的网络版(当然我除外,我不相信瑞星)的客户端,一看服务器端的控制台也连接不上系统中心了。
服务器端大体查看了一下服务端没有大的问题。病毒木马都没有查出,等周一再跟领导报告要授权和联系电话再找瑞星吧。看看是我们自己机器的问题还是他们的问题。
客户端的我处理了一下午。有的人电脑竟然光病毒文件300多个 中的病毒种类更是多达好几十种 估计都N年没杀毒了。还有的启动输入密码就自动注销 ,根本无法进入桌面,原因是userinit.exe丢失或者错位 。看解决办法:http://blog.chinaunix.net/u1/44851/showart_682687.html
感想:瑞星虽然取得了一定成就,但高官们就爱吹嘘欺骗老百姓,自己网站被黑了,时间过去一年了那个网页还在,你们留着作证据咋的? 我支持民族产业 ,但不喜欢你们做事的态度,承认差距会死啊?不好好搞技术追赶上,就知道吹牛皮。 哎 我自己学习用的是za+微点 后备avg ;另一台干活用的 卡巴+360 都没问题 。 瑞星还得努力加油。等你正真强大了,不用吹嘘 ,人们也会认可的。
平时自己注意修补漏洞,我看了一下中心服务器竟然扫描出有52个漏洞 。代理也扫描出有30个病毒,下边的客户端估计就更好不到哪去了。下边的人估计都从来部打补丁。 汗啊 系统中心竟然这样 ,网络谈何安全啊,不中病毒才怪呢。
中毒症状:
如果360,瑞星或者别的杀软无法打开或者打开之后被关闭,系统变的非常慢,系统时间莫名其妙被更改."我的电脑"的图标不正确,输入法无法打开,还有的打开网站全部乱码,说明可能中了机器狗。
如果打开C:\WINDOWS\system32文件夹(如果您的系统不在c盘安装,请找到对应的目录),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,点击右键查看属性,如果在属性窗口中看不到文件的版本标签的话,说明已经中了机器狗。
机器狗木马病毒简介:
机器狗,是一种病毒下载器,它可以给用户的电脑下载大量的木马、病毒、恶意软件、插件等。一旦中招,用户的电脑便随时可能感染任何木马、病毒,这些木马病毒会疯狂地盗用用户的隐私资料(如帐号密码、私密文件等),也会破坏操作系统,使用户的机器无法正常运行,它还可以通过内部网络传播、下载U盘病毒和Arp攻击病毒,能引发整个网络的电脑全部自动重启。对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,其破坏力可能会很快会超过熊猫烧香。
机器狗工作原理:
机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。
(一)专杀
专杀工具下载地址:http://dl.360safe.com/killer_rodog.exe
或者360专杀大全:http://dl.360safe.com/360compkill.zip
360顽固木马专杀大全包含如下工具:360安全卫士修复工具 360安全卫士诊断工具
最新机器狗木马专杀工具 最新dummycom病毒专杀工具 最新各类流行木马专杀
大家专杀完,再用得你的通用杀软全面扫描一边,剩余的垃圾病毒文件能清除得清除 ,不行的就手动强制搞定 用冰刃或者unlocker 或者别的自己喜欢用的。
最后清理一下注册表 找个清理注册表的或者优化系统的软件都成。如果你熟悉知道清理何处也可以自己手动清理。重新启动一下电脑 又回到了往日的惬意。o(∩_∩)o...
(二)手动清除机器狗病毒
(转自网上 原出处记不住了 当时自己粘贴下来的 不好意思 谢谢原作者)
如果你喜欢手动的话 不妨试一下啊
手工清除方法机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。如何手动清除呢?
方案1:
解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。
彻底清除该病毒,处理后重启一下电脑就可以了,之前要打上补丁!
或者这样:
1。注册表,组策略中禁止运行userinit.exe 进程
2。在启动项目中加入批处理
A:强制结束userinit.exe进程
Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)
B:强制删除userinit.exe文件
DEL /F /A /Q %SystemRoot%system32userinit.exe
C:创建userinit.exe免疫文件到%SystemRoot%system32
命令:
md %SystemRoot%system32userinit.exe >nul 2>nul
或者
md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D:
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
方案2:
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.bat,"
就这3步,让这条狗再也凶不起来!
这是在windows 2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机游戏均无异常!
但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!
如果嫌麻烦,也不要紧。上面三条批处理网友已搞好了,直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
当然,如果实在不行,下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...
可防止最新变种。
请注意:此法只能是防止,对于杀机器狗还得靠最新的杀毒程序才行。
临时解决办法:
一是在路由上封IP:
ROS脚本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com action=reject
二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盘的时候,就加壳并替换。
在%systemroot%system32drivers目录下建立个名字为 pcihdd.sys 的文件夹,设置属性为:任何人禁止批处理
md %systemroot%system32driverspcihdd.sys
cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n
cacls %systemroot%system32userinit.exe /e /p everyone:r
