機器狗是什么？

機器狗的生前身后，曾經有很多人說有穿透還原卡、冰點的病毒，但是在各個論壇都沒有樣本證據，直到2007年8月29日終于有人在社區里貼出了一個樣本。這個病毒沒有名字，圖標是SONY的機器狗阿寶，就像前輩熊貓燒香一樣，大家給它起了個名字叫機器狗。

工作原理

機器狗本身會釋放出一個pcihdd.sys到drivers目錄，pcihdd.sys是一個底層硬盤驅動，提高自己的優先級接替還原卡或冰點的硬盤驅動，然后訪問指定的網址，這些網址只要連接就會自動下載大量的病毒與惡意插件。然后修改接管啟動管理器，最可怕的是，會通過內部網絡傳播，一臺中招，能引發整個網絡的電腦全部自動重啟。

重點是，一個病毒，如果以hook方式入侵系統，接替硬盤驅動的方式效率太低了，而且毀壞還原的方式這也不是最好的，還有就是這種技術應用范圍非常小，只有還原技術廠商范圍內有傳播，在這方面國際上也只有中國在用，所以，很可能就是行業內杠。

對于網吧而言，機器狗就是劍指網吧而來，針對所有的還原產品設計，可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現，發稿之日起，各大殺毒軟件都以能查殺。

免疫補丁之爭

現在的免疫補丁之數是疫苗形式，以無害的樣本復制到drivers下，欺騙病毒以為本身已運行，起到阻止危害的目的。這種形式的問題是，有些用戶為了自身安全會在機器上運行一些查毒程序（比如QQ醫生之類）。這樣疫苗就會被誤認為是病毒，又要廢很多口舌。

解決之道

最新的解決方案是將system32/drivers目錄單獨分配給一個用戶，而不賦予administror修改的權限。雖然這樣能解決，但以后安裝驅動就是一件頭疼的事了。

來徹底清除該病毒，處理后重啟一下電腦就可以了，之前要打上補丁！

或者這樣：

1注冊表，組策略中禁止運行userinit.exe 進程

2 在啟動項目中加入批處理

A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe （其中“/IM”參數后面為進程的圖像名，這命令只對XP用戶有效）

B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe

C : 創建userinit.exe免疫文件到%SystemRoot%\system32\

命令：md %SystemRoot%\system32\userinit.exe >nul 2>nul

或者 md %SystemRoot%\system32\userinit.exe

attrib +s +r +h +a %SystemRoot%\system32\userinit.exe

D : reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe” /v debugger /t reg_sz /d debugfile.exe /f

userinit1.exe是正常文件改了名字，多加了一個1，你也可以自己修改，不過要手動修改這4個注冊表，并導出，這個批處理才能正常使用。

最新動向

好像機器狗的開發以停止了，從樣本放出到現在也沒有新的版本被發現，這到讓我們非常擔心，因為雖著研究的深入，現在防御的手段都是針對病毒工作原理的，一但機器狗開始更新，稍加改變工作原理就能大面積逃脫普遍的防御手段，看來機器狗的爆發只是在等待，而不是大家可以高枕了。

目前網上流傳一種叫做機器狗的病毒，此病毒采用hook系統的磁盤設備棧來達到穿透目的的，危害極大，可穿透目前技術條件下的任何軟件硬件還原！基本無法靠還原抵擋。目前已知的所有還原產品，都無法防止這種病毒的穿透感染和傳播。

機器狗是一個木馬下載器，感染后會自動從網絡上下載木馬、病毒，危及用戶帳號的安全。

機器狗運行后會釋放一個名為PCIHDD.SYS的驅動文件，與原系統中還原軟件驅動進行硬盤控制權的爭奪，并通過替換userinit.exe文件，實現開機啟動。

>> 那么如何識別是否已中毒呢？

是否中了機器狗的關鍵就在 Userinit.exe 文件，該文件在系統目錄的 system32 文件夾中，點擊右鍵查看屬性，如果在屬性窗口中看不到該文件的版本標簽的話，說明已經中了機器狗。如果有版本標簽則正常。

臨時解決辦法：

一是在路由上封IP：

ROS腳本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.8s7.net action=reject comment=”DF6.0″

add chain=forward content= www.tomwg.com action=reject

二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，

三是把他要修改的文件在做母盤的時候，就加殼并替換。

在%systemroot%\system32\drivers\目錄下建立一個名為“pcihdd.sys ”的文件夾，設置屬性為“任何人禁止”

批處理

1、md %systemroot%\system32\drivers\pcihdd.sys

2、cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

3、cacls %systemroot%\system32\userinit.exe /e /p everyone:r

4、exit

目前，網絡流行以下解決方法，或者可以在緊急情況下救急：

1、首先在系統system32下復制個無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執行的文件！也就是開機啟動userinit.exe的替代品！而原來的userinit.exe保留！其實多復制份的目的只是為了多重保險！可能對防止以后變種起到一定的作用。

2、創建個文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊表鍵值保持一致即可），內容如下：

start FUCKIGM.exe (呵呵，夠簡單吧？)

3、修改注冊表鍵值，將userinit.exe改為userinit.bat。內容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

“Userinit”=”C:\WINDOWS\system32\userinit.bat,”

就這3步，讓這條狗再也兇不起來！這是在windows 2003測試的，雙擊機器狗后，沒什么反應，對比批處理也是正常，即這狗根本沒改動它！開關機游戲均無異常！但唯一美中不足的是，采用經典模式開機的啟動時會出現個一閃而過的黑框！

如果嫌麻煩，也不要緊。上面三條批處理網友已搞好了，直接復制下面的這個存為批處理執行就OK了。三步合二為一

@echo off

:::直接復制系統system32下的無毒userinit.exe為FUCKIGM.exe

cd /d %SystemRoot%\system32

copy /y userinit.exe FUCKIGM.exe >nul

:::創建userinit.bat

echo @echo off >>userinit.bat

echo start FUCKIGM.exe >>userinit.bat

:::注冊表操作

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v Userinit / t REG_SZ /d “C:\WINDOWS\system32\userinit.bat,” /f >nul

:::刪掉自身（提倡環保）

del /f /q %0

當然，如果實在不行，下載程序killigm。然后直接解壓運行里面的程序:機器狗免疫補丁.bat 執行就可以了.

網上流傳的另一種新的變種的防止方法 :

開始菜單運行.輸入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1…\

可防止最新變種。請注意：此法只能是防止，對于殺機器狗還得靠最新的殺毒程序才行。

針對該病毒，反病毒專家建議廣大用戶及時升級殺毒軟件病毒庫，補齊系統漏洞，上網時確保打開“網頁監控”、“郵件監控”功能；禁用系統的自動播放功能，防止病毒從U盤、MP3、移動硬盤等移動存儲設備進入到計算機；登錄網游賬號、網絡銀行賬戶時采用軟鍵盤輸入賬號及密碼

什么是機器狗?

機器狗就是一個木馬下載器,且破壞還原系統,穿透還原系統然后在特定的網站下載木馬破壞你的系統

什么是機器狗？？？

網上那些人用的方法很復雜.試試我的方法.你看得懂的

1：結束掉被病毒修改覆蓋后的“C:\windows\explorer.exe”程序進程，刪除該程序文件。（注意，一定要做下一步的操作，不然重啟無法進入桌面）

2：也許系統會自動還原回來一個正常的“explorer.exe”桌面程序，如果沒有還原的話，我們可以手動把“C:\windows\system32\dllcache\”下的“explorer.exe”文件拷貝到“C:\windows\”下。

3：手動卸載掉病毒惡意驅動程序“phy.sys”文件。可以在注冊表中找到病毒惡意驅動程序“phy.sys”的啟動關聯位置然后刪除，接著再刪除掉“C:\windows\system32\DRIVERS\phy.sys”文件。 我實際試過N次這種方法，針對該病毒決定好使。

4：重新啟動計算機后，一切就都會變為正常了。但是該新版的“機器狗”病毒會下載27個(不固定)惡意程序到被感染計算機中安裝運行，這些病毒可以查殺，效果很不錯。

什么是機器狗a?

是一個木馬下載器

中了新的機器狗

下載個清理助手綠色免安裝版的,聯網升級再在安全模式下查殺

中了機器狗？

一、 病毒標簽：

病毒名稱： 機器狗/Trojan-Downloader.Win32.Agent.blm

病毒類型： 下載者/機器狗

文件 MD5：1602c5e50101cf97e85581bc461bd351

公開范圍： 完全公開

危害等級： 4

文件長度： 48.0 KB (49,152 字節)

開發工具： MASM32 / TASM32

加殼類型： 未知殼/無殼

命名對照：

卡巴斯基 Trojan-Downloader.Win32.Agent.blm

安博士V3 Dropper/Agent.49152.O

江民 Trojan/Agent.pgz

熊貓衛士 Trj/Downloader.MDW

瑞星 Trojan.DL.Win32.Agent.yrh

賽門鐵克 Trojan.Dropper

趨勢 TROJ_Generic

麥咖啡 Generic Downloader.ab

金山毒霸 Win32.TrojDownloader.Agent.61440

二、 病毒描述：

該病毒行為是下載者，它穿冰點，修改USERINIT，極為隱蔽，大小與系統的一樣，只能通過文件對比或者數字簽名驗證到真假。連接網絡下載一大堆東西：

http://60.190.203.154/100.exe

http://60.190.203.154/101.exe

http://60.190.203.154/102.exe

http://60.190.203.154/103.exe

http://60.190.203.154/104.exe

http://60.190.203.154/105.exe

http://60.190.203.154/106.exe

http://60.190.203.154/107.exe

http://60.190.203.154/108.exe

http://60.190.203.154/109.exe

http://60.190.203.154/110.exe

http://60.190.203.154/111.exe

http://60.190.203.154/112.exe

http://60.190.203.154/113.exe

http://60.190.203.154/114.exe

http://60.190.203.154/115.exe

http://60.190.203.154/116.exe

http://60.190.203.154/117.exe

http://60.190.203.154/118.exe

http://60.190.203.154/119.exe

http://mama.jopenkk.com/down/dogdel.exe

http://mama.jopenkk.com/down/arpkk.exe

http://mama.jopenkk.com/down/hosts.exe。

三、 行為分析

釋放

C:\windows\system32\drivers\pcihdd.sys

6.60 KB (6,768 字節)

并加載。穿越冰點。

創建名為pcihdd的服務，啟動服務。

直接訪問硬盤，寫入文件userinit.exe，把原來的userinit.exe替換掉。

刪除pcihdd.sys與pcihdd.服務。

userinit.exe等待網絡連接，網絡通暢的時候連接http://1.jopenkk.com/test.cer或者http://yu.8s7.net/cert.cer根據列表下載病毒，地址因樣本而異，應該是有生成器在流傳。

下載之后分別創建進程進行啟動。

解決方案：

關閉冰點，先按 ctrl+AIt+shift+F6 他會出來個框你就把你那密碼輸入進去。然后在最下面選擇最下面那個單選按鈕-BOOT THAWED ，重新啟動下機器，刪除C:\windows\system32\userinit.exe,到DLLCACHE里面找到備份的userinit.exe放到SYSTEM32，或者找個正常干凈的系統復制userinit.exe去替換，然后重起系統即可

電腦中機器狗

機器狗專殺,或進入安全模式中查殺,再不行只有把硬盤格掉

網吧系統中機器狗“`

專殺工具

http://www.xs2009.cn/PE/List.asp?SelectID=7218&ClassID=19

通過禁止文件訪問的形式來禁止病毒的運行，可自由設置配置文件并方便的加入到客戶機啟動運行列表項，具體操作如下:

一、驅動內核層防御：( 從原理上防御 )

.. 針對機器狗病毒對網吧業帶來的巨大影響，強者公司經過日夜奮戰，終于反編譯了該木馬大部分代碼，提供機器狗病毒的終級解決方案，本著對用戶負責的態度，現維護系統免費加入“驅動內核級”機器狗病毒防御，徹底杜絕機器狗病毒包括其變種的破壞.

關鍵它是完全免費的.

二、禁止文件訪問法：( 初級防御)

1．下載 “機器狗病毒防御補丁點擊下載” , 把UnCracker.exe和UnCracker.ini兩個文件放在服務端的一個共享目錄下,（如：\\qzse\netgame1），并保證在客戶機可以正常訪問這個路徑；

2．打開服務端主控制器在隨意哪臺客戶機上點右鍵-à運行工作站命令,加上如上形象圖中所設置的工作站每次啟動運行列表:

3．編輯UnCracker.ini文件，如下所述：

[system]

1=c:\windows\hh.exe

2=…

[nosystem]

1=C:\WINDOWS\system32\drivers\pcihdd.sys(可防機器狗病毒)

2=d:\command.com

3=d:\Iexplores.exe

以上內容可以根據用戶需求自由添加,如防止arp運行時可在配置中加入”c:\windows\system32\drivers\npf.sys”,”c:\windows\system32\packet.dll”,

“c:\windows\system32\pthreadVC.dll”,”c:\windows\system32\wpcap.dll”.

網吧中了機器狗

請把下面IP在你的路游上封絕 58.221.254.103

機器狗跟IGM.EXE 暫時只通過這個IP去傳播

暫時沒有變種 這是下策 因為現在還沒找到最終極的解決辦法 一旦變種或者換IP 所有的還原軟件全軍覆沒 我們是同行 我也深受其害 大家一起努力打擊它吧

還有 封了IP之后 還得重新做母盤

XSBPAKNT.exe 為 防機器狗補丁

userinit.exe 為無毒的文件，請替換 x:\windows\system32\ 下的同名文件，如無法替換，請在任

務管理器中結束userinit.exe 的進程。

基本可以解決問題，為防在傳播，務必全盤殺毒。。。。

http://www.dhnj.com/Soft/ShowSoft.asp?SoftID=192

參考資料： http://www.dhnj.com/Soft/ShowSoft.asp?SoftID=192

有沒有中機器狗

機器狗病毒超級頑固 你在安全模式下查殺 多殺幾次