机器狗手艺

临近春节，一款名为吵竖带“机器狗”的木马正在网上大规模传布。“机器狗木马”据称是比“熊猫烧香”还毒的木马法式，具有变种浩瀚、传布体例和路子多样化的特征。

近期该木马的诸多变种更是来势汹汹，一方面其传布手段更为普遍：通过网页挂马、第三方软件破绽等体例鼎力大举传布；以另一方面毁坏性也比过往 更强：该木马摘 用替代系统文件体例，加速本身启动速度，同时让通俗杀毒软件简双方式查杀后对系统形成严峻性后果。

【查杀及免疫办法】

1. 下载360平安卫士供给机器狗专杀东西停止查杀

请勾选“免疫”选项并扫描，假设 未中该木马也可停止免疫。

专杀下载地址：

2. 下载360平安卫士间接查杀

360平安卫士最新版本也会对机器狗停止全面查杀，而且将被替代的系统文件恢复为一般

3.下载修复东西停止查杀

若360平安卫士无法翻开，请下载360修复东西（）停止修复

4. 人工简单揣度 能否有新变种

假设 360平安卫士检测无问题，可摘 用人工简单检测体例查看能否呈现新的变种

（a）平安类软件能否无法开启

（b）查抄常用系统文件图标能否一般，查看属性能否有完全 的版本信息，假设 图标不一般，又欠缺 完全 版本信息，极有可能就是机器狗病毒

假设 发现有机器狗木马的最新变种，请及时联络我们，360平安卫士将在第一时间与您一路“打狗”，并及时搀扶帮助 更多的用户查杀。联络邮箱：fk@360safe.com或者在本贴后跟贴留下联络体例

------------------------------以下是对机器狗木马的详尽 介绍-----------------------

【现象及危害】

1 替代系统常见历程，让本身被主动施行的机率进步，被杀毒软件间接查杀的话会形成比力严峻的系统问题

替代系统常见历程，让本身被主动施行的机率进步

摘 用替代系统文件而非传染形式，让杀毒软件间接查杀招致严峻系统问题，给用户形成浩荡 缺失

摘 用该体例还能够穿透网吧复原软件，复原卡，招致网吧系统无论若何重启复原也不克不及恢复到原纤茄始平安形态

2 到指定的网站后台下载盗号木马并施行

会下载大量差别类型盗号木马，升芦如近期较为疯狂的拼音倒写木马

3 封闭平安类软件

【传染路子】

1 网页挂马

2 第三方软件破绽

你好：氏液

我比力歼握物相信 超等巡警

因为巡警在杀病毒方面比力专业。

360在查杀歹意插件皮辩比力专业。

答复完毕，谢谢!

期看 我的答复对你有所搀扶帮助 ^_^

有一种病毒喊 机器狗,用什么软件比力好?

用专杀足矣！假设 不敷用，再用以下杀软。相信 再凶猛的病毒都疲于招架。能够先用QQKAV闪电杀毒两遍肃清内存病毒，再用以下杀软中的AVG、完美卸载(开启比特过滤)、超等巡警、木马克星、小红伞等杀软全盘查杀！（杀毒软件下载详见于以下网址）机器狗/磁碟机/AV末结者中毒现象:封闭浩瀚杀毒软件和平安东西；强行封闭带有病毒字样的网页，只要在网页中输进 “病毒”相关字样，网页遂被强行封闭。★机器狗/磁碟机/AV末结者专杀东西： ★DummyCom 病毒专杀东西V1.4 绿色帆改版： ;SoftID=6369 ★360平安卫士顽固木马专杀大全： 【祝您好运！觉得谜底有用请摘 纳！】以下六款是杀毒利器（非病毒防火墙）：① （杀毒前锋QQKav——内存历程疑难杂症病毒专杀，带系统修复能恢复IE、注册表！正式杀毒前先用此软件闪电查杀内存历程，往往收到意想不到的效果。有按捺病毒再生功用！！）② （AVG Anti-Spyware完美绿色版，先点目次里的绿化再用，可在线更新病毒库，数一数二的杀木马、间谍的软件）③ （USB挪动盘、Autorun类型病毒专杀，能修复系统平安形式，极其专业的USB病毒专杀东西）④360平安卫士专业反歹意插件进 侵、修复IE、修复系统破绽、系统关键 位置庇护。奇虎公司慎重 推出“I66V积梦网”版360平安卫士，完全免费，末身晋级，下载地址是： ⑤完美卸载（彻底卸载不克不及一般卸载的软件、插件，清理系统垃圾，还杀10万时髦 木马、每日更新病毒库）： ⑥冰刃反木马公用阐发东西： ◆下载电脑全能专家(包罗木马阐发专家)： ▲windows清理助手全面肃清歹意间谍软件： ★EXE可施行文件(包罗联系关系)修复器: ★文件联系关系恢复器： ◆卡巴斯基受权文件合集(最长到2030年)： 以下杀软免费、适用，此中必有一款杀毒软件（包罗病毒防火墙）合适您： (详见杀软专区)选举 下载轮缓安拆：1、平安软件大聚集 (包腊轿模括卡巴、瑞星、江民、金山、诺顿、NOD32)： 2、McAfee(不按期更新)： 3、ESET (NOD32) (不按期更新)： 4、Avast(不按期更新)： 5、超等巡警： 6、金山毒霸 2008末身晋级版+正版通行证： 7、Avira AntiVir小红伞(不按期更新)： 8、屠魔刃+麒麟盾+紫金衣平安套拆(包罗良多适用功用：修复注册表、修复被制止的历程、被限造拜候的网站)： 9、卡巴斯基、小红伞、NOD32、Dr.Web、Avast等杀软绿色版下载（免安拆）： ◆网页主动下载病毒免疫补钉2.0(收技XP和2003系统) ◆网页木马完全免疫东西 （大大进步网页阅读平安性，简单适用，以逸待劳） ◆系统修复东西下载： （瑞星卡卡修复） （全能修复） （PConPoint修复）◆能够用EasyRecoveryPro6.10精简破解版恢复您的文件: 【一般杀毒办法】先清内存历程，然后清硬盘、挪动盘。开机请按F8进进 平安形式查杀。假设 频频肃清病毒仍然爆发，定见 重拆系统后用Ghost备份系统分区然后用杀软全盘查杀。碰着 杀不了的木马文件可按它的途径和名称，手工删除它，或运行regedit删除病毒名称的键值等即可：起头菜单→运行 输进 cmd 进进 DOS平台cd\ X:\XXX 进进 木马文件途径del 木马文件名 →删除deltree X:\XXX: →连木马文件及其目次一同删除●假设 您不克不及在电脑上安拆和运行杀软，请进百度在线杀毒频道（免费）： ╃平安软件区╃ 有大量平安东西可供下载： 【所有网址复造、粘贴到阅读器地址栏即可翻开】【祝您好运！觉得谜底有用请摘 纳！】

最新的处理计划是将system32/drivers目次零丁分配给一个用户，而不付与administror修改的权限。固然如许能处理，但以键衫后安拆驱动就是一件头疼的事了。 目前，能够利用机器狗专杀东西！ 办法一：利用机器狗病毒专杀东西查杀 机器狗病毒专杀东西RavMonE Killer是目前独一一款能够查杀所有机器狗病毒及其变种病毒的东西，实现检测和肃清、修复传染机器狗病毒的磁盘和文件，对机器狗病毒的未知变种具备侦测和处置才能，能够处置目前所有的机器狗病毒家族和相关变种。重视 在肃清时必然要先打上上面说的补钉完毕病毒历程的运行，不然病毒将无法肃清。 机器狗病毒专杀东西 ·机器狗免疫补钉 ·迅闪复原 V3.0 build 0905 版本 ·机器狗免疫法式 病毒描述： 目前网上传播一种喊 做机器狗的病毒，此病毒摘 用hook系统的磁盘设备栈来到达穿透目标的，危害极大，可穿透目前手艺前提下的任何软件硬件复原！根本无法靠复原对抗 。目前已知的所有复原产物，都无法避免那种病毒的穿透传染和传布。 机器狗是一个木马下载器，传染后会主动从收集上下载木马、镇州病毒，危及用户帐号的平安。 机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中复原软件驱动停止硬盘掌握 权的争夺，并通过替代userinit.exe文件，实现开机启动。 办法二： 或者如许： 1注册表，组战略中制止运行userinit.exe 历程 2 在启动项目中加进 批处置 A : 强逼 完毕userinit.exe历程 Taskkill /f /IM userinit.exe （此中“/IM”参数后面为历程的图像名，那号令只对XP用户有效） B : 强逼 删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe C : 创建userinit.exe免疫文御亮蔽件到%SystemRoot%system32 号令：md %SystemRoot%system32userinit.exe nul 2nul 或者md %SystemRoot%system32userinit.exe attrib +s +r +h +a %SystemRoot%system32userinit.exe D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f userinit1.exe是一般文件改了名字，多加了一个1，你也能够本身修改，不外要手动修改那4个注册表，并导出，那个批处置才气一般利用。

机器狗能够穿破复原系统，选举 是彻底删除。下载地址:

机器狗/磁碟机/AV末结者专杀东西

肃清机器狗/AV末结者/8749病毒；修复“映像劫持”；修复Autorun.inf；修复平安野伏拍模厅轿式。

AUTO木马群专杀东西

简要介绍：

肃清auto木马群；修复“映像劫持”；修复Appinit_Dlls；肃清msosXXX病毒。

最初再尝尝翻开杀毒软件晋级.或者安拆杀毒软件.停止扫描.

根本利用专杀东西扫描之后,就能够处理问题.有些病毒颂羡可能杀毒软件及时晋级到最新也杀不掉.

工做原理机器狗自己会释放出一个pcihdd.sys到drivers目次，pcihdd.sys是一个底层硬盘驱动，进步自桥茄己的优先级接替复原卡或冰点的硬盘驱动，然后拜候指定的网址，那些网址只要毗连就会主动下载大量的病毒与歹意插件。然后修改接收启动治理 器，最可怕的是，会通过内部收集传布，一台中招，能引发整个收集的电脑全数主动重启。 重点是，一个病毒，假设 以hook体例进 侵系统，接替硬盘驱动的体例效率太低了，并且损坏 复原的体例那也不是更好的，还有就是那种手艺利用 范畴 十分小，只要复原手艺厂商范畴 内有传布，在那方面国际上也只要中国在用，所以，很可能就是行业内杠。 关于网吧而言，机器狗就是剑指网吧而来，针对所有的复原产物设想，可预见其毁坏力很快会超越熊猫烧香。好在如今良多免疫补钉都以呈现，发稿之日起，各大杀毒软件都以能查杀。 免疫补钉之争 如今的免疫补钉之数是疫苗形式，以无害的样本复造到drivers下，哄骗 病毒认为自己以运行，起到阻遏危害的目标。那种形式的问题是，有些用户为了本身平安会在机器上运行一些查毒法式（好比QQ医生之类）。如许疫苗就会被误认为是病毒，又要废良多口舌。 处理之道 最新的处理计划是将system32/drivers目次零丁分配给一个用户，而不付与administror修改的权限。固然如许能处理，但以后安拆驱动就是一件头疼的事了。 目前，能够利用机器狗专杀东西！办法一：利用机器狗病毒专杀东西查杀机器狗病毒专杀东西RavMonE Killer是目前独一一款能够查杀所有机器狗病毒及其变种病毒的东西，实现检测和肃清、修复传染机器狗病毒的磁盘和文件，对机器狗病毒的未知变种具备侦测和处置才能，能够处置目前所有的机器狗病毒家族和相关变种。重视 在肃清时必然要先打上上面说的补钉完毕病毒历程的运行，不然病毒将无法肃清。机器狗病毒专杀东西·机器狗免疫补钉·迅闪复原 V3.0 build 0905 版本 ·机器狗免疫法式 病毒描述：目前网上传播一种喊 做机器狗的病毒，此病毒摘 用hook系统的磁盘设备栈来到达穿透目标的，危害极大，可穿透目前手艺前提下的任何软件硬件复原！根本无法靠复原对抗 。目前已知的所有复原产物，都无法避免那种病毒的穿透传染和传布。 机器狗是一个木马下载器，传染后会主动从收集上下载木马、病毒，危及用户帐号的平安。 机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中复原软件驱动停止硬盘掌握 权的争夺，并通过替代userinit.exe文件，实现开机启动。办法二：或者如许：1注册表，组战略中制止运行userinit.exe 历程 2 在启动项目中加进 批处置 A : 强逼 完毕userinit.exe历程 Taskkill /f /IM userinit.exe （此中“/IM”参数后面为历程的图像名，那号令只对XP用户有效） B : 强逼 删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe C : 创建userinit.exe免疫文件到%SystemRoot%system32 号令：md %SystemRoot%system32userinit.exe nul 2nul 或者 md %SystemRoot%system32userinit.exe attrib +s +r +h +a %SystemRoot%system32userinit.exe D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f userinit1.exe是一般文件改了名字，多加了一个1，你也能够本身修改，不外要手动修改那4个注册表，并导出，那个批处置才气一般利用。 最新意向 似乎 机器狗的开发以停行了，从样本放出到现搜消前在也没有新的版本被发现，那到让我们十分担忧，因为虽着研究的深进 ，如今防备 的手段都是针对病毒工做原理的，一但机器狗起头更新，世清稍加改动工做原理就能大面积逃脱普及 的防备 手段，看来机器狗的发作只是在期待，而不是各人能够高枕了。目前网上传播一种喊 做机器狗的病毒，此病毒摘 用hook系统的磁盘设备栈来到达穿透目标的，危害极大，可穿透目前手艺前提下的任何软件硬件复原！根本无法靠复原对抗 。目前已知的所有复原产物，都无法避免那种病毒的穿透传染和传布。机器狗是一个木马下载器，传染后会主动从收集上下载木马、病毒，危及用户帐号的平安。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中复原软件驱动停止硬盘掌握 权的争夺，并通过替代userinit.exe文件，实现开机启动。 那么若何识别能否已中毒呢？能否中了机器狗的关键 就在 Userinit.exe 文件，该文件在系统目次的 system32 文件夹中，点击右键查看属性，假设 在属性窗口中看不到该文件的版本标签的话，阐明 已经中了机器狗。假设 有版本标签则一般。暂时 处理办法 ：一是在路由上封IP：ROS脚本,要的本身加上往 / ip firewall filteradd chain=forward content=yu.8s7.net action=reject comment="DF6.0"add chain=forward content= action=reject二是在c:windowssystem32drivers下成立免疫文件： pcihdd.sys 三是把他要修改的文件在做母盘的时候，就加壳并替代。在%systemroot%system32drivers目次下 成立个名为 pcihdd.sys 的文件夹，设置属性为 任何人制止批处置md %systemroot%system32driverspcihdd.syscacls %systemroot%system32driverspcihdd.sys /e /p everyone:n cacls %systemroot%system32userinit.exe /e /p everyone:rexit