機器狗病毒
機器狗 病毒是一個典型的網路架構 木馬型病毒,病毒穿透還原軟體後將自己儲存在系統中,定期從指定的 網站下載各種 木馬程式來擷取使用者的 帳號資訊,下面由小編給你做出詳細的介紹!希望對你有幫助!
:
的說明:好,先說一些簡單的症狀,大家看看是否和自己的一致,然後決定是否採用我的方法。我們可以在drivers資料夾***WinXP在C:\Windows\system32 或者Win2000在C:\WINNT\system32***下找到pcihdd.sys檔案,這是明顯的標誌之一,很多網上也有這個說明。
症狀1、剛剛啟動計算機就出現系統很慢,立馬看工作管理員***右鍵桌面下方的工作列***,會看到程序中大於Explorer.exe程序PID數的有好幾個可以程序:unserinit.exe 、cmd.exe等***不一定就這兩個***,如果你比較較熟悉常用程序你會發現Rundll32.exe Internat.exe也不正常,很快不少的計算機會出現 * 、 *.tmp *host.exe 、 savedump.exe等程序****是隨機變化的我們只看用看我寫出來的幾個名稱樣子,相信不少朋友都知道,這不太正常***。
症狀2、開機的時候,停留在歡迎介面,但進不了桌面,當我們Ctrl+Alt+Del檢視工作管理員的時候,發現沒有
Explorer.exe程序,於是“檔案”“新任務”“explorer”,桌面看到了,但我們看到工作管理員裡的程序開始驟然增加,Explorer.exe程序下面會出現很多程序包括上文提到的userinit.exe,以及其他隨機出現的一些程序。
初探 機器狗:其實機器狗並不是一個病毒,而是一個病毒下載器,特別是我們的計算機聯網的時候,只要一開機,立馬從遠端的伺服器下載不同的病毒樣本,所以說前面所列舉的很多帶 * 就是因為下載的病毒樣本檔名不斷的變化。比方說 *.tmp 一般是數字和字母隨機組成的比方說 2096.tmp 或者 2e3c.tmp ;*host.exe 可能會是fvfhost.exe或者vvvhost.exe***此處是三個V***。所以在計算機沒有軟保和硬保的環境下,刪除pcihdd.sys,清理系統常用程序userinit.exe和explorer.exe 、 Rundll32.exe 、 ctfmon.exe 、 conime.exe等程序的病毒附著是為根本。但目前的手法好像有一些不是很湊效的,目前這個病毒也在不斷升級自己,所以形勢很嚴峻。
我用Antiarp防火牆監控***點選前面連結下載該軟體並看使用方法***,發現機器狗通常下載有典型的ARP攻擊病毒,所以在大型的機房或者網咖要特別注意,因為機器狗可以讓你的機房不到二十分鐘全部感染,相互攻擊,並且擁堵閘道器,從而很快的就都上不了網了。簡直就是網咖和機房的殺手。這麼說並非高機器狗,因為對於其他的Arp攻擊,當我們關閉機房電源,關閉交換機的電源三分鐘後,一切就正常了。因為Arp指令的壽命在掉電後不會超過3分鐘,而其他的計算機在關閉重新啟動後因為還原卡而變得正常。
但機器狗不同,它穿透了防護牆的保護***就像現在有一些病毒將宿主放到了Winxp的系統還原檔案中一樣***,保護對它是沒有作用的,但對於其他的如上網記錄等還有還原作用。
建議:
1、去掉還原保護;
2、下載 機器狗專殺,先查殺,然後免疫***如我們在前面時間保護器中所述,機器狗可能已經注意到專殺工具,所以,如果不能正常使用 將其檔名Killer-rodog.exe修改為任意字元.src或者 ,如 0123.src或者setup ***;
3、下載 antiarp防火牆,防堵其他的計算機的Arp攻擊,防止自己被重新感染,防止自己掉線;
4、將自己的防毒軟體升級到最新病毒庫的狀態;
***如果2-4步不能完成,建議使用正常的計算機燒錄機器狗專殺、antiarp防火牆,然後通過光碟安裝***
5、斷網,重新啟動到安全模式***F8***;
6、清理啟動項,注意保留防毒軟體和antiarp的程序不要被禁掉***動用msconfig命令或者regedit中的啟動項***;
7、使用防毒軟體查殺殘留的病毒,結束後重新使用機器狗專殺殺一遍。
8、重新啟動計算機。
9、告訴你的網路管理員,你所在的這個網段有ARP攻擊,請他告知所有人,注意防護。並請他協助在交換機上做靜態MAC地址繫結,簡單命令如:ARP -s X.X.X.X Y-Y-Y-Y-Y-Y ***其中X是十進位制IP地址,Y為兩位的十六進位制Mac地址*** 。
”人還: