金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

 找回密碼
 注冊

QQ登錄

只需一步,快速開(kāi)始

查看: 1176|回復: 4
打印 上一主題 下一主題

[分享] 機器狗病毒病毒的防范方法

跳轉到指定樓層
1#
一個(gè)神話(huà) 發(fā)表于 2010-9-6 14:59:19 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式 來(lái)自 中國江西宜春

馬上注冊,結交更多好友,享用更多功能。

您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊

x
變種機器狗木馬,此病毒采用hook系統的磁盤(pán)設備棧來(lái)達到穿透目的的,危害極大,可穿透目前技術(shù)條件下的任何軟件硬件還原!基本無(wú)法*還原抵擋。目前已知的所有還原產(chǎn)品,都無(wú)法防止這種病毒的穿透感染和傳播。
機器狗病毒是一個(gè)木馬下載器,感染后會(huì )自動(dòng)從網(wǎng)絡(luò )上下載木馬、病毒,危及用戶(hù)帳號的安全。機器狗病毒運行后會(huì )釋放一個(gè)名為PCIHDD.SYS的驅動(dòng)文件,與原系統中還原軟件驅動(dòng)進(jìn)行硬盤(pán)控制權的爭奪,并通過(guò)替換userinit.exe文件,實(shí)現開(kāi)機啟動(dòng)。

如何識別是否已中機器狗病毒是否中了機器狗病毒的關(guān)鍵就在 Userinit.exe 文件,該文件在系統目錄的 system32 文件夾中,點(diǎn)擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標簽的話(huà),說(shuō)明已經(jīng)中了機器狗病毒。如果有版本標簽則正常。

自查方法:
1.開(kāi)啟查看隱藏文件功能-打開(kāi)任意windows窗口-工具-文件夾選項-勾選“顯示系統文件夾內容”-去掉“隱藏受保護的操作系統文件”勾-選擇“顯示所有文件和文件夾”-點(diǎn)擊“確定”保存修改


                               
登錄/注冊后可看大圖

2. 分別打開(kāi)c:\windows和c:\windows\system32 兩個(gè)窗口,每個(gè)窗口都右鍵-查看-詳細信息-點(diǎn)擊窗口欄上“修改日期”項目按照“最新-最老”日期更新順序排列文件,對創(chuàng )建修改日期為 2008-1~2008-2之間的擴展名為“exe/dat/ini”3種類(lèi)型文件多注意,以下是判斷為機器狗的文件名,給大家做參考:(出現數字 x.exe或xx.exe,出現單個(gè)字母 a.exe/c.exe或C:\WINDOWS\system32\explorer.exe之類(lèi)的-恭喜你:你中招了!explorer.exe應該在 C:\WINDOWS\目錄下,出現在C:\WINDOWS\system32\下的就是病毒。
另外查看c:\windows\system32\drivers中有無(wú)PCIHDD.SYS,有的話(huà)也中招了
del C:\WINDOWS\dfasbhpco.exedel C:\WINDOWS\qveschyt.exedel C:\WINDOWS\lqvvieps.dlldel C:\WINDOWS\ehbppvct.datdel C:\WINDOWS\DbgHlp32.exedel C:\WINDOWS\upxdnd.exedel C:\WINDOWS\dfasbhpco.exe.hivdel C:\WINDOWS\dghjxbnr.datdel C:\WINDOWS\system32\23.exedel C:\WINDOWS\system32\explorer.exedel C:\WINDOWS\system32\WIN.INIdel C:\WINDOWS\system32\DbgHlp32.dlLdel C:\WINDOWS\system32\upxdnd.dlldel C:\WINDOWS\system32\netsrv.dlldel C:\WINDOWS\system32\BOLE.INIdel C:\WINDOWS\system32\sgrefg.dlldel C:\WINDOWS\yuuoahmm.datdel C:\WINDOWS\xjcouxwy.dlldel C:\WINDOWS\mwnptmtoa.exe.hivdel C:\WINDOWS\bmyfuatg.dlldel C:\WINDOWS\mwnptmtoa.exedel C:\WINDOWS\joxykwqv.exedel C:\WINDOWS\xwizrokv.datdel C:\WINDOWS\system32\ntahqyfdj.dlldel C:\WINDOWS\system32\mswwwdj32.dll
3.檢查-開(kāi)始-程序-啟動(dòng)中有沒(méi)有什么名稱(chēng)為“x.exe”的文件或快捷方式,如果有-刪除,如果提示無(wú)法刪除-打開(kāi)對應文件夾-找到這個(gè)文件-給予該文件當前用戶(hù)完全權限-然后刪除
我的自救方法:(忙了一個(gè)通宵,把兩臺機子基本清理好)
1.升級本機瑞星病毒庫到最新-開(kāi)啟實(shí)時(shí)防護-進(jìn)行c盤(pán)全面掃描殺毒
2.下載最新的瑞星卡卡助手-安裝-掃描殺毒殺木馬
3.開(kāi)啟本機系統自帶的防火墻
4.開(kāi)始-windowsupdate-升級所有微軟補丁-ie7可以不選-碰到要求正版驗證就不要做這個(gè)升級了
5. 自己動(dòng)手制作一個(gè)bat執行文件,把找到的確定可疑的文件列入刪除命令,命名為kill.bat放到c盤(pán)根目錄下,重啟系統-在開(kāi)機時(shí)按F8調出啟動(dòng)菜 單,選擇“帶命令行的安全模式”進(jìn)入系統(會(huì )比較慢,耐心點(diǎn))-在dos命令窗口輸入c:\kill.bat-回車(chē)執行,然后重啟看有無(wú)完成操作-就是想 刪的有沒(méi)有刪掉。下面是文件內容,有基礎的可以根據自己的實(shí)際情況修改制作:(因為木馬狡猾把很多文件設置了隱藏系統只讀等屬性,如果直接del會(huì )無(wú)法成 功,前半部就是把所有可疑文件不管3721都去掉這些屬性然后del)
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\explorer.exec:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\WIN.INIc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\DbgHlp32.dlLc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\upxdnd.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\netsrv.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\BOLE.INIc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\sgrefg.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\yuuoahmm.datc:\windows\system32\attrib -H -S -R C:\WINDOWS\xjcouxwy.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\mwnptmtoa.exe.hivc:\windows\system32\attrib -H -S -R C:\WINDOWS\bmyfuatg.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\mwnptmtoa.exec:\windows\system32\attrib -H -S -R C:\WINDOWS\joxykwqv.exec:\windows\system32\attrib -H -S -R C:\WINDOWS\xwizrokv.datc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\ntahqyfdj.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\mswwwdj32.dll
del C:\WINDOWS\dfasbhpco.exedel C:\WINDOWS\qveschyt.exedel C:\WINDOWS\lqvvieps.dlldel C:\WINDOWS\ehbppvct.datdel C:\WINDOWS\DbgHlp32.exedel C:\WINDOWS\upxdnd.exedel C:\WINDOWS\dfasbhpco.exe.hivdel C:\WINDOWS\dghjxbnr.datdel C:\WINDOWS\system32\23.exedel C:\WINDOWS\system32\explorer.exedel C:\WINDOWS\system32\WIN.INIdel C:\WINDOWS\system32\DbgHlp32.dlLdel C:\WINDOWS\system32\upxdnd.dlldel C:\WINDOWS\system32\netsrv.dlldel C:\WINDOWS\system32\BOLE.INIdel C:\WINDOWS\system32\sgrefg.dlldel C:\WINDOWS\yuuoahmm.datdel C:\WINDOWS\xjcouxwy.dlldel C:\WINDOWS\mwnptmtoa.exe.hivdel C:\WINDOWS\bmyfuatg.dlldel C:\WINDOWS\mwnptmtoa.exedel C:\WINDOWS\joxykwqv.exedel C:\WINDOWS\xwizrokv.datdel C:\WINDOWS\system32\ntahqyfdj.dlldel C:\WINDOWS\system32\mswwwdj32.dll
另外
1、及時(shí)升級殺毒軟件病毒庫,補齊系統漏洞,上網(wǎng)時(shí)確保打開(kāi)“網(wǎng)頁(yè)監控”、“郵件監控”功能。2、打開(kāi)殺毒軟件“移動(dòng)存儲接入殺毒”能杜絕病毒利用移動(dòng)設備(如:U盤(pán)、移動(dòng)硬盤(pán)等)入侵用戶(hù)計算 機,完全保護計算機系統安全。3、禁用系統的自動(dòng)播放功能,防止病毒從U盤(pán)、MP3、移動(dòng)硬盤(pán)等移動(dòng)存儲設備進(jìn)入到計算機。4、建議在登錄網(wǎng)游賬號、網(wǎng)絡(luò )銀行賬戶(hù)時(shí)采用軟鍵盤(pán)輸入賬號及密碼。5、做好局域網(wǎng)的ARP病毒防范工作。

2#
一個(gè)神話(huà)  | 發(fā)表于 2010-9-6 17:30:33 | 只看該作者 來(lái)自 中國湖南長(cháng)沙
只要不被盜取很重要的東西那才是最需要的.
3#
bihupq 發(fā)表于 2010-9-6 20:42:33 | 只看該作者 來(lái)自 中國廣東韶關(guān)
我電腦上有很多很重要的東西,看來(lái)我一定要好好防范才行!免得被盜!
4#
市地方打 發(fā)表于 2010-9-6 21:26:36 | 只看該作者 來(lái)自 中國湖北孝感
真的好好學(xué)學(xué)這方面的知識啊,這對我們菜鳥(niǎo)來(lái)說(shuō)真的是很有用處啊
5#
tian55476 發(fā)表于 2010-9-9 09:11:59 | 只看該作者 來(lái)自 中國四川南充
又學(xué)習一招了謝謝樓主
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規則

快速回復 返回頂部 返回列表
夏邑县| 乌鲁木齐市| 且末县| 长治市| 安塞县| 海阳市| 民丰县| 井冈山市| 雷山县| 涿鹿县| 如东县| 名山县| 新平| 天水市| 江西省| 珠海市| 夏邑县| 山西省| 从江县| 甘南县| 临洮县| 长子县| 万年县| 油尖旺区| 江山市| 陆川县| 永川市| 桂平市| 临澧县| 嵊泗县| 出国| 新泰市| 金溪县| 昔阳县| 米易县| 太谷县| 齐河县| 红原县| 稻城县| 石首市| 太原市|