機器狗病毒

　　機器狗 病毒是一個典型的網路架構 木馬型病毒，病毒穿透還原軟體後將自己儲存在系統中，定期從指定的 網站下載各種 木馬程式來擷取使用者的 帳號資訊，下面由小編給你做出詳細的介紹!希望對你有幫助!

　　：

　　的說明：好，先說一些簡單的症狀，大家看看是否和自己的一致，然後決定是否採用我的方法。我們可以在drivers資料夾***WinXP在C:\Windows\system32 或者Win2000在C:\WINNT\system32***下找到pcihdd.sys檔案，這是明顯的標誌之一，很多網上也有這個說明。

　　症狀1、剛剛啟動計算機就出現系統很慢，立馬看工作管理員***右鍵桌面下方的工作列***，會看到程序中大於Explorer.exe程序PID數的有好幾個可以程序：unserinit.exe 、cmd.exe等***不一定就這兩個***，如果你比較較熟悉常用程序你會發現Rundll32.exe Internat.exe也不正常，很快不少的計算機會出現 * 、 *.tmp *host.exe 、 savedump.exe等程序****是隨機變化的我們只看用看我寫出來的幾個名稱樣子，相信不少朋友都知道，這不太正常***。

　　症狀2、開機的時候，停留在歡迎介面，但進不了桌面，當我們Ctrl+Alt+Del檢視工作管理員的時候，發現沒有

　　Explorer.exe程序，於是“檔案”“新任務”“explorer”，桌面看到了，但我們看到工作管理員裡的程序開始驟然增加，Explorer.exe程序下面會出現很多程序包括上文提到的userinit.exe，以及其他隨機出現的一些程序。

　　初探 機器狗：其實機器狗並不是一個病毒，而是一個病毒下載器，特別是我們的計算機聯網的時候，只要一開機，立馬從遠端的伺服器下載不同的病毒樣本，所以說前面所列舉的很多帶 * 就是因為下載的病毒樣本檔名不斷的變化。比方說 *.tmp 一般是數字和字母隨機組成的比方說 2096.tmp 或者 2e3c.tmp ;*host.exe 可能會是fvfhost.exe或者vvvhost.exe***此處是三個V***。所以在計算機沒有軟保和硬保的環境下，刪除pcihdd.sys，清理系統常用程序userinit.exe和explorer.exe 、 Rundll32.exe 、 ctfmon.exe 、 conime.exe等程序的病毒附著是為根本。但目前的手法好像有一些不是很湊效的，目前這個病毒也在不斷升級自己，所以形勢很嚴峻。

　　我用Antiarp防火牆監控***點選前面連結下載該軟體並看使用方法***，發現機器狗通常下載有典型的ARP攻擊病毒，所以在大型的機房或者網咖要特別注意，因為機器狗可以讓你的機房不到二十分鐘全部感染，相互攻擊，並且擁堵閘道器，從而很快的就都上不了網了。簡直就是網咖和機房的殺手。這麼說並非高機器狗，因為對於其他的Arp攻擊，當我們關閉機房電源，關閉交換機的電源三分鐘後，一切就正常了。因為Arp指令的壽命在掉電後不會超過3分鐘，而其他的計算機在關閉重新啟動後因為還原卡而變得正常。

　　但機器狗不同，它穿透了防護牆的保護***就像現在有一些病毒將宿主放到了Winxp的系統還原檔案中一樣***，保護對它是沒有作用的，但對於其他的如上網記錄等還有還原作用。

　　建議：

　　1、去掉還原保護;

　　2、下載 機器狗專殺，先查殺，然後免疫***如我們在前面時間保護器中所述，機器狗可能已經注意到專殺工具，所以，如果不能正常使用 將其檔名Killer-rodog.exe修改為任意字元.src或者 ，如 0123.src或者setup ***;

　　3、下載 antiarp防火牆，防堵其他的計算機的Arp攻擊，防止自己被重新感染，防止自己掉線;

　　4、將自己的防毒軟體升級到最新病毒庫的狀態;

　　***如果2-4步不能完成，建議使用正常的計算機燒錄機器狗專殺、antiarp防火牆，然後通過光碟安裝***

　　5、斷網，重新啟動到安全模式***F8***;

　　6、清理啟動項，注意保留防毒軟體和antiarp的程序不要被禁掉***動用msconfig命令或者regedit中的啟動項***;

　　7、使用防毒軟體查殺殘留的病毒，結束後重新使用機器狗專殺殺一遍。

　　8、重新啟動計算機。

　　9、告訴你的網路管理員，你所在的這個網段有ARP攻擊，請他告知所有人，注意防護。並請他協助在交換機上做靜態MAC地址繫結，簡單命令如：ARP -s X.X.X.X Y-Y-Y-Y-Y-Y ***其中X是十進位制IP地址，Y為兩位的十六進位制Mac地址*** 。

”人還：