如何清除还原卡克星“ 机器狗” 病毒

病人：我是一名网管，最近在网吧上班时碰到一件烦心事。网吧里的电脑经常一次性感染七八种病毒（检查发现，主要有“ cmdbc 木马” 、“ AVPSrv ” 、“ Torjan.Diskman ” 等），清除后不用多久又会自动生成，就像牛皮癣一样。我们网吧的电脑可都是装有还原卡的啊，怎么还会感染病毒呢？
医生：根据你的描述，这应该是近段时间比较流行的“ 机器狗” 病毒，这种病毒类似于“ 下载者” ，会将大量的木马和病毒下载到你的电脑中，其下载的木马主要就是你刚才提到的那几种病毒。
最重要的是，“ 机器狗” 病毒是目前对还原软件、还原卡破坏能力最强的病毒。“ 机器狗” 目前可以破坏冰点还原、影子系统等还原软件，还能破坏三茗、小哨兵等硬件还原卡。被破坏的还原卡会失去作用，让系统彻底暴露在病毒下。
“ 机器狗” 怎么突破还原卡
病人：谢谢医生的解答，我现在对这个“ 机器狗” 病毒有点了解了，可我还想知道它是怎么破解还原卡的？
医生：“ 机器狗” 的运作流程并不复杂，比起熊猫烧香、AV 终结者来说要简单不少。运行后首先会替换系统的Userinit.exe 文件，
Userinit.exe 是Windows 操作系统的一个关键进程，用于管理不同的启动顺序，例如用于建立网络链接和Windows 壳的启动。病毒利用Userinit.exe 的目的是实现隐蔽启动。

接着在Windows\system32\drivers 文件夹中生成一个名为Pcihdd.sys 的驱动文件，病毒正是借助这个驱动文件来实现还原软件和还原卡破解的。我们知道还原软件和还原卡之所以能够保护硬盘数据，是因为它具有很高的权限，能够夺取硬盘的控制权，在系统启动之前，将硬盘中的数据还原。
而Pcihdd.sys 这个文件会和还原软件或还原卡抢夺硬盘的控制权，大部分还原软件和还原卡的控制权都会被Pcihdd.sys 夺取，它们就失去了还原数据的能力，这样病毒就可以避开还原卡在硬盘中安营扎寨了。彻底清除“ 机器狗” 病毒
病人：“ 机器狗” 果然是一个难缠的病毒，尤其是像我这样的网吧管理员，刚解决了烦人的“ 熊猫烧香” ，现在来了个更狠的，真是不胜其烦。请问我该如何清除“ 机器狗” 病毒？
医生：清除“ 机器狗” 的方法比较简单，操作步骤如下：
第一步：用正常的Userinit.exe 文件替换被修改的Userinit.exe 文件。首先新建一个记事本，输入如下内容：
@ echo off
taskkill /f /im userinit.exe
del userinit.exe /f/q/a
将这个记事本文件保存为kill.bat ，双击运行。然后从其他干净的电脑中拷贝一份Userinit.exe 文件，将它放到system32 目录中。
第二步：删除pcihdd.sys 文件，该文件位于Windows\system32 \drivers 文件夹中。用记事本打开位于Windows\system32\drivers\etc 的HOSTS 文件，在最后添加这样一行：127.0.0.1 www.tomwg.com ，修改完后保存文件。

第三步：用《 360 安全卫士》 配合杀毒软件清除系统中残留的盗号木马病毒。
第四步：为了更好地预防“ 机器狗” 病毒，我们可以用批处理将Pcihdd.sys 的文件夹设置为禁止修改。批处理关键代码如下：
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n cacls %systemroot%\system32\userinit.exe /e /p everyone:r 总结
还原卡和还原软件并不是万能的，如果仅希望依靠它们来避免中毒不太现实。这段时间病毒技术发展得较快，网管和普通用户一定要多加关注，以掌握最新病毒的清除方法。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-01-23 18:56:42,点击:65824