机器狗病毒

2017-03-21

机器狗 病毒是一个典型的网络架构 木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的 网站下载各种 木马程序来截取用户的 帐号信息,下面由小编给你做出详细的机器狗病毒介绍!希望对你有帮助!

机器狗病毒:

机器狗病毒的说明:好,先说一些简单的症状,大家看看是否和自己的一致,然后决定是否采用我的方法。我们可以在drivers文件夹(WinXP在C:Windowssystem32 或者Win2000在C:WINNTsystem32)下找到pcihdd.sys文件,这是明显的标志之一,很多网上也有这个说明。

症状1、刚刚启动计算机就出现系统很慢,立马看任务管理器(右键桌面下方的任务栏),会看到进程中大于Explorer.exe进程PID数的有好几个可以进程:unserinit.exe 、cmd.exe等(不一定就这两个),如果你比较较熟悉常用进程你会发现Rundll32.exe Internat.exe也不正常,很快不少的计算机会出现 *.com 、 *.tmp *host.exe 、 savedump.exe等进程(*是随机变化的我们只看用看我写出来的几个名称样子,相信不少朋友都知道,这不太正常)。

症状2、开机的时候,停留在欢迎界面,但进不了桌面,当我们Ctrl+Alt+Del查看任务管理器的时候,发现没有

Explorer.exe进程,于是“文件”“新任务”“explorer”,桌面看到了,但我们看到任务管理器里的进程开始骤然增加,Explorer.exe进程下面会出现很多进程包括上文提到的userinit.exe,以及其他随机出现的一些进程。

初探 机器狗:其实机器狗并不是一个病毒,而是一个病毒下载器,特别是我们的计算机联网的时候,只要一开机,立马从远端的服务器下载不同的病毒样本,所以说前面所列举的很多带 * 就是因为下载的病毒样本文件名不断的变化。比方说 *.tmp 一般是数字和字母随机组成的比方说 2096.tmp 或者 2e3c.tmp ;*host.exe 可能会是fvfhost.exe或者vvvhost.exe(此处是三个V)。所以在计算机没有软保和硬保的环境下,删除pcihdd.sys,清理系统常用进程userinit.exe和explorer.exe 、 Rundll32.exe 、 ctfmon.exe 、 conime.exe等进程的病毒附着是为根本。但目前的手法好像有一些不是很凑效的,目前这个病毒也在不断升级自己,所以形势很严峻。

我用Antiarp防火墙监控(点击前面链接下载该软件并看使用方法),发现机器狗通常下载有典型的ARP攻击病毒,所以在大型的机房或者网吧要特别注意,因为机器狗可以让你的机房不到二十分钟全部感染,相互攻击,并且拥堵网关,从而很快的就都上不了网了。简直就是网吧和机房的杀手。这么说并非高看了机器狗,因为对于其他的Arp攻击,当我们关闭机房电源,关闭交换机的电源三分钟后,一切就正常了。因为Arp指令的寿命在掉电后不会超过3分钟,而其他的计算机在关闭重新启动后因为还原卡而变得正常。

但机器狗不同,它穿透了防护墙的保护(就像现在有一些病毒将宿主放到了Winxp的系统还原文件中一样),保护对它是没有作用的,但对于其他的如上网记录等还有还原作用。

建议:

1、去掉还原保护;

2、下载 机器狗专杀,先查杀,然后免疫(如我们在前面时间保护器中所述,机器狗可能已经注意到专杀工具,所以,如果不能正常使用 将其文件名Killer-rodog.exe修改为任意字符.src或者 .com ,如 0123.src或者setup.com );

3、下载 antiarp防火墙,防堵其他的计算机的Arp攻击,防止自己被重新感染,防止自己掉线;

4、将自己的杀毒软件升级到最新病毒库的状态;

(如果2-4步不能完成,建议使用正常的计算机刻录机器狗专杀、antiarp防火墙,然后通过光盘安装)

5、断网,重新启动到安全模式(F8);

6、清理启动项,注意保留杀毒软件和antiarp的进程不要被禁掉(动用msconfig命令或者regedit中的启动项);

7、使用杀毒软件查杀残留的病毒,结束后重新使用机器狗专杀杀一遍。

8、重新启动计算机。

9、告诉你的网络管理员,你所在的这个网段有ARP攻击,请他告知所有人,注意防护。并请他协助在交换机上做静态MAC地址绑定,简单命令如:ARP -s X.X.X.X Y-Y-Y-Y-Y-Y (其中X是十进制IP地址,Y为两位的十六进制Mac地址) 。

看过“机器狗病毒”人还看了:

1.怎么删除机器狗病毒

2.电脑病毒机器狗的源代码

3.机械狗是什么病毒

4.2016年计算机病毒最新排行榜

5.国内2016年电脑病毒排行

更多相关阅读

最新发布的文章