机器狗病毒
机器狗 病毒是一个典型的网络架构 木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的 网站下载各种 木马程序来截取用户的 帐号信息,下面由学习啦小编给你做出详细的机器狗病毒介绍!希望对你有帮助!
机器狗病毒:
机器狗病毒的说明:好,先说一些简单的症状,大家看看是否和自己的一致,然后决定是否采用我的方法。我们可以在drivers文件夹(WinXP在C:\Windows\system32 或者Win2000在C:\WINNT\system32)下找到pcihdd.sys文件,这是明显的标志之一,很多网上也有这个说明。
症状1、刚刚启动计算机就出现系统很慢,立马看任务管理器(右键桌面下方的任务栏),会看到进程中大于Explorer.exe进程PID数的有好几个可以进程:unserinit.exe 、cmd.exe等(不一定就这两个),如果你比较较熟悉常用进程你会发现Rundll32.exe Internat.exe也不正常,很快不少的计算机会出现 *.com 、 *.tmp *host.exe 、 savedump.exe等进程(*是随机变化的我们只看用看我写出来的几个名称样子,相信不少朋友都知道,这不太正常)。
症状2、开机的时候,停留在欢迎界面,但进不了桌面,当我们Ctrl+Alt+Del查看任务管理器的时候,发现没有
Explorer.exe进程,于是“文件”“新任务”“explorer”,桌面看到了,但我们看到任务管理器里的进程开始骤然增加,Explorer.exe进程下面会出现很多进程包括上文提到的userinit.exe,以及其他随机出现的一些进程。
初探 机器狗:其实机器狗并不是一个病毒,而是一个病毒下载器,特别是我们的计算机联网的时候,只要一开机,立马从远端的服务器下载不同的病毒样本,所以说前面所列举的很多带 * 就是因为下载的病毒样本文件名不断的变化。比方说 *.tmp 一般是数字和字母随机组成的比方说 2096.tmp 或者 2e3c.tmp ;*host.exe 可能会是fvfhost.exe或者vvvhost.exe(此处是三个V)。所以在计算机没有软保和硬保的环境下,删除pcihdd.sys,清理系统常用进程userinit.exe和explorer.exe 、 Rundll32.exe 、 ctfmon.exe 、 conime.exe等进程的病毒附着是为根本。但目前的手法好像有一些不是很凑效的,目前这个病毒也在不断升级自己,所以形势很严峻。
我用Antiarp防火墙监控(点击前面链接下载该软件并看使用方法),发现机器狗通常下载有典型的ARP攻击病毒,所以在大型的机房或者网吧要特别注意,因为机器狗可以让你的机房不到二十分钟全部感染,相互攻击,并且拥堵网关,从而很快的就都上不了网了。简直就是网吧和机房的杀手。这么说并非高看了机器狗,因为对于其他的Arp攻击,当我们关闭机房电源,关闭交换机的电源三分钟后,一切就正常了。因为Arp指令的寿命在掉电后不会超过3分钟,而其他的计算机在关闭重新启动后因为还原卡而变得正常。
但机器狗不同,它穿透了防护墙的保护(就像现在有一些病毒将宿主放到了Winxp的系统还原文件中一样),保护对它是没有作用的,但对于其他的如上网记录等还有还原作用。
建议:
1、去掉还原保护;
2、下载 机器狗专杀,先查杀,然后免疫(如我们在前面时间保护器中所述,机器狗可能已经注意到专杀工具,所以,如果不能正常使用 将其文件名Killer-rodog.exe修改为任意字符.src或者 .com ,如 0123.src或者setup.com );
3、下载 antiarp防火墙,防堵其他的计算机的Arp攻击,防止自己被重新感染,防止自己掉线;
4、将自己的杀毒软件升级到最新病毒库的状态;
(如果2-4步不能完成,建议使用正常的计算机刻录机器狗专杀、antiarp防火墙,然后通过光盘安装)
5、断网,重新启动到安全模式(F8);
6、清理启动项,注意保留杀毒软件和antiarp的进程不要被禁掉(动用msconfig命令或者regedit中的启动项);
7、使用杀毒软件查杀残留的病毒,结束后重新使用机器狗专杀杀一遍。
8、重新启动计算机。
9、告诉你的网络管理员,你所在的这个网段有ARP攻击,请他告知所有人,注意防护。并请他协助在交换机上做静态MAC地址绑定,简单命令如:ARP -s X.X.X.X Y-Y-Y-Y-Y-Y (其中X是十进制IP地址,Y为两位的十六进制Mac地址) 。
看过“机器狗病毒”人还看了:
3.机械狗是什么病毒