1，請問機器狗病毒有什么補下嗎

穿透還原病毒(機器狗)免疫補丁 http://www.9ixz8.cn/soft/7/419.html 綠茶機器狗免疫補丁下載 綠色版 http://www.anwang.cn/soft/2/23/2007/200709282994.htmlhttp://www.jl110.com/download.htm 唉~~同情??！ 不知道有沒有用，現(xiàn)在網(wǎng)吧難做啊

2，機器狗修復(fù)是干嗎的

計算機病毒“機器狗” 機器狗的生前身后，曾經(jīng)有很多人說有穿透還原卡、冰點的病毒，但是在各個論壇都沒有樣本證據(jù)，直到2007年8月29日終于有人在社區(qū)里貼出了一個樣本。這個病毒沒有名字，圖標(biāo)是SONY的機器狗阿寶，就像前輩熊貓燒香一樣，大家給它起了個名字叫機器狗。 工作原理 機器狗本身會釋放出一個pcihdd.sys到drivers目錄，pcihdd.sys是一個底層硬盤驅(qū)動，提高自己的優(yōu)先級接替還原卡或冰點的硬盤驅(qū)動，然后訪問指定的網(wǎng)址，這些網(wǎng)址只要連接就會自動下載大量的病毒與惡意插件。然后修改接管啟動管理器，最可怕的是，會通過內(nèi)部網(wǎng)絡(luò)傳播，一臺中招，能引發(fā)整個網(wǎng)絡(luò)的電腦全部自動重啟。 重點是，一個病毒，如果以hook方式入侵系統(tǒng)，接替硬盤驅(qū)動的方式效率太低了，而且毀壞還原的方式這也不是最好的，還有就是這種技術(shù)應(yīng)用范圍非常小，只有還原技術(shù)廠商范圍內(nèi)有傳播，在這方面國際上也只有中國在用，所以，很可能就是行業(yè)內(nèi)杠。 對于網(wǎng)吧而言，機器狗就是劍指網(wǎng)吧而來，針對所有的還原產(chǎn)品設(shè)計，可預(yù)見其破壞力很快會超過熊貓燒香。好在現(xiàn)在很多免疫補丁都以出現(xiàn)，發(fā)稿之日起，各大殺毒軟件都以能查殺。 免疫補丁之爭 現(xiàn)在的免疫補丁之?dāng)?shù)是疫苗形式，以無害的樣本復(fù)制到drivers下，欺騙病毒以為本身已運行，起到阻止危害的目的。這種形式的問題是，有些用戶為了自身安全會在機器上運行一些查毒程序（比如QQ醫(yī)生之類）。這樣疫苗就會被誤認(rèn)為是病毒，又要廢很多口舌。 解決之道 最新的解決方案是將system32/drivers目錄單獨分配給一個用戶，而不賦予administror修改的權(quán)限。雖然這樣能解決，但以后安裝驅(qū)動就是一件頭疼的事了。 來徹底清除該病毒，處理后重啟一下電腦就可以了，之前要打上補??！ 或者這樣： 1注冊表，組策略中禁止運行userinit.exe 進程 2 在啟動項目中加入批處理 A : 強制結(jié)束userinit.exe進程 Taskkill /f /IM userinit.exe （其中“/IM”參數(shù)后面為進程的圖像名，這命令只對XP用戶有效） B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\\system32\\userinit.exe C : 創(chuàng)建userinit.exe免疫文件到%SystemRoot%\\system32\\ 命令：md %SystemRoot%\\system32\\userinit.exe >nul 2>nul 或者 md %SystemRoot%\\system32\\userinit.exe attrib +s +r +h +a %SystemRoot%\\system32\\userinit.exe D : reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\userinit.exe\" /v debugger /t reg_sz /d debugfile.exe /f userinit1.exe是正常文件改了名字，多加了一個1，你也可以自己修改，不過要手動修改這4個注冊表，并導(dǎo)出，這個批處理才能正常使用。 最新動向 好像機器狗的開發(fā)以停止了，從樣本放出到現(xiàn)在也沒有新的版本被發(fā)現(xiàn)，這到讓我們非常擔(dān)心，因為雖著研究的深入，現(xiàn)在防御的手段都是針對病毒工作原理的，一但機器狗開始更新，稍加改變工作原理就能大面積逃脫普遍的防御手段，看來機器狗的爆發(fā)只是在等待，而不是大家可以高枕了。 目前網(wǎng)上流傳一種叫做機器狗的病毒，此病毒采用hook系統(tǒng)的磁盤設(shè)備棧來達到穿透目的的，危害極大，可穿透目前技術(shù)條件下的任何軟件硬件還原！基本無法靠還原抵擋。目前已知的所有還原產(chǎn)品，都無法防止這種病毒的穿透感染和傳播。 機器狗是一個木馬下載器，感染后會自動從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶帳號的安全。 機器狗運行后會釋放一個名為PCIHDD.SYS的驅(qū)動文件，與原系統(tǒng)中還原軟件驅(qū)動進行硬盤控制權(quán)的爭奪，并通過替換userinit.exe文件，實現(xiàn)開機啟動。 >> 那么如何識別是否已中毒呢？ 是否中了機器狗的關(guān)鍵就在 Userinit.exe 文件，該文件在系統(tǒng)目錄的 system32 文件夾中，點擊右鍵查看屬性，如果在屬性窗口中看不到該文件的版本標(biāo)簽的話，說明已經(jīng)中了機器狗。如果有版本標(biāo)簽則正常。 臨時解決辦法： 一是在路由上封IP： ROS腳本,要的自己加上去 / ip firewall filter add chain=forward content=yu.8s7.net action=reject comment=\"DF6.0\" add chain=forward content=www.tomwg.com action=reject 二是在c:\\windows\\system32\\drivers下建立免疫文件： pcihdd.sys ， 三是把他要修改的文件在做母盤的時候，就加殼并替換。 在%systemroot%\\system32\\drivers\\目錄下建立一個名為“pcihdd.sys ”的文件夾，設(shè)置屬性為“任何人禁止” 批處理 1、md %systemroot%\\system32\\drivers\\pcihdd.sys 2、cacls %systemroot%\\system32\\drivers\\pcihdd.sys /e /p everyone:n 3、cacls %systemroot%\\system32\\userinit.exe /e /p everyone:r 4、exit 目前，網(wǎng)絡(luò)流行以下解決方法，或者可以在緊急情況下救急： 1、首先在系統(tǒng)system32下復(fù)制個無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執(zhí)行的文件！也就是開機啟動userinit.exe的替代品！而原來的userinit.exe保留！其實多復(fù)制份的目的只是為了多重保險！可能對防止以后變種起到一定的作用。 2、創(chuàng)建個文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊表鍵值保持一致即可），內(nèi)容如下： start FUCKIGM.exe (呵呵，夠簡單吧？) 3、修改注冊表鍵值，將userinit.exe改為userinit.bat。內(nèi)容如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] \"Userinit\"=\"C:\\WINDOWS\\system32\\userinit.bat,\" 就這3步，讓這條狗再也兇不起來！這是在windows 2003測試的，雙擊機器狗后，沒什么反應(yīng)，對比批處理也是正常，即這狗根本沒改動它！開關(guān)機游戲均無異常！但唯一美中不足的是，采用經(jīng)典模式開機的啟動時會出現(xiàn)個一閃而過的黑框！ 如果嫌麻煩，也不要緊。上面三條批處理網(wǎng)友已搞好了，直接復(fù)制下面的這個存為批處理執(zhí)行就OK了。三步合二為一 @echo off :::直接復(fù)制系統(tǒng)system32下的無毒userinit.exe為FUCKIGM.exe cd /d %SystemRoot%\\system32 copy /y userinit.exe FUCKIGM.exe >nul :::創(chuàng)建userinit.bat echo @echo off >>userinit.bat echo start FUCKIGM.exe >>userinit.bat :::注冊表操作 reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\" /v Userinit / t REG_SZ /d \"C:\\WINDOWS\\system32\\userinit.bat,\" /f >nul :::刪掉自身（提倡環(huán)保） del /f /q %0 當(dāng)然，如果實在不行，下載程序killigm。然后直接解壓運行里面的程序:機器狗免疫補丁.bat 執(zhí)行就可以了. 網(wǎng)上流傳的另一種新的變種的防止方法 : 開始菜單運行.輸入CMD cd ……到drivers md pcihdd.sys cd pcihdd.sys md 1...\\ 可防止最新變種。請注意：此法只能是防止，對于殺機器狗還得靠最新的殺毒程序才行。 針對該病毒，反病毒專家建議廣大用戶及時升級殺毒軟件病毒庫，補齊系統(tǒng)漏洞，上網(wǎng)時確保打開“網(wǎng)頁監(jiān)控”、“郵件監(jiān)控”功能；禁用系統(tǒng)的自動播放功能，防止病毒從U盤、MP3、移動硬盤等移動存儲設(shè)備進入到計算機；登錄網(wǎng)游賬號、網(wǎng)絡(luò)銀行賬戶時采用軟鍵盤輸入賬號及密碼機器狗是個病毒。。修復(fù)的當(dāng)然是這個病毒的專殺了。