机器狗病毒是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。机器狗病毒运行后会释放一个名为PCIHDD.SYS的驱 动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

如何识别是否已中机器狗病毒
是否中了机器狗病毒的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗病毒。如果有版本标签则正常。

自查方法：

1.开启查看隐藏文件功能-打开任意windows窗口-工具-文件夹选项-勾选“显示系统文件夹内容”-去掉“隐藏受保护的操作系统文件”勾-选 择“显示所有文件和文件夹”－点击“确定”保存修改

2.分别打开c:\windows和c:\windows\system32 两个窗口，每个窗口都右键－查看－详细信息－点击窗口栏上“修改日期”项目按照“最新-最老”日期更新顺序排列文件，对创建修改日期为 2008-1~2008-2之间的扩展名为“exe/dat/ini”3种类型文件多注意，以下是判断为机器狗的文件名，给大家做参考：（出现数字 x.exe或xx.exe，出现单个字母 a.exe/c.exe或C:\WINDOWS\system32\explorer.exe之类的－恭喜你：你中招了！explorer.exe应该在 C:\WINDOWS\目录下，出现在C:\WINDOWS\system32\下的就是病毒！）

另外查看c:\windows\system32\drivers中有无PCIHDD.SYS，有的话也中招了

del C:\WINDOWS\dfasbhpco.exe
del C:\WINDOWS\qveschyt.exe
del C:\WINDOWS\lqvvieps.dll
del C:\WINDOWS\ehbppvct.dat
del C:\WINDOWS\DbgHlp32.exe
del C:\WINDOWS\upxdnd.exe
del C:\WINDOWS\dfasbhpco.exe.hiv
del C:\WINDOWS\dghjxbnr.dat
del C:\WINDOWS\system32\23.exe
del C:\WINDOWS\system32\explorer.exe
del C:\WINDOWS\system32\WIN.INI
del C:\WINDOWS\system32\DbgHlp32.dlL
del C:\WINDOWS\system32\upxdnd.dll
del C:\WINDOWS\system32\netsrv.dll
del C:\WINDOWS\system32\BOLE.INI
del C:\WINDOWS\system32\sgrefg.dll
del C:\WINDOWS\yuuoahmm.dat
del C:\WINDOWS\xjcouxwy.dll
del C:\WINDOWS\mwnptmtoa.exe.hiv
del C:\WINDOWS\bmyfuatg.dll
del C:\WINDOWS\mwnptmtoa.exe
del C:\WINDOWS\joxykwqv.exe
del C:\WINDOWS\xwizrokv.dat
del C:\WINDOWS\system32\ntahqyfdj.dll
del C:\WINDOWS\system32\mswwwdj32.dll

3.检查－开始－程序－启动中有没有什么名称为“x.exe”的文件或快捷方式，如果有－删除，如果提示无法删除－打开对应文件夹－找到这个文件－ 给予该文件当前用户完全权限－然后删除

我的自救方法：（忙了一个通宵，把两台机子基本清理好）

1.升级本机诺顿病毒库到最新－开启实时防护－进行c盘全面扫描杀毒－或者用其它杀毒软件升级到最新版病毒库杀毒

2.下载最新的瑞星卡卡助手－安装－扫描杀毒杀木马

3.开启本机系统自带的防火墙

4.开始-windowsupdate－升级所有微软补丁-ie7可以不选－碰到要求正版验证就不要做这个升级了

5.自己动手制作一个bat执行文件，把找到的确定可疑的文件列入删除命令，命名为kill.bat放到c盘根目录下，重启系统－在开机时按F8调 出启动菜单，选择“带命令行的安全模式”进入系统（会比较慢，耐心点）－在dos命令窗口输入c:\kill.bat－回车执行，然后重启看有无完成操作 －就是想删的有没有删掉。下面是文件内容，有基础的可以根据自己的实际情况修改制作：（因为木马狡猾把很多文件设置了隐藏系统只读等属性，如果直接del 会无法成功，前半部就是把所有可疑文件不管3721都去掉这些属性然后del）

c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\explorer.exe
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\WIN.INI
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\DbgHlp32.dlL
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\upxdnd.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\netsrv.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\BOLE.INI
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\sgrefg.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\yuuoahmm.dat
c:\windows\system32\attrib -H -S -R C:\WINDOWS\xjcouxwy.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\mwnptmtoa.exe.hiv
c:\windows\system32\attrib -H -S -R C:\WINDOWS\bmyfuatg.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\mwnptmtoa.exe
c:\windows\system32\attrib -H -S -R C:\WINDOWS\joxykwqv.exe
c:\windows\system32\attrib -H -S -R C:\WINDOWS\xwizrokv.dat
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\ntahqyfdj.dll
c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\mswwwdj32.dll

del C:\WINDOWS\dfasbhpco.exe
del C:\WINDOWS\qveschyt.exe
del C:\WINDOWS\lqvvieps.dll
del C:\WINDOWS\ehbppvct.dat
del C:\WINDOWS\DbgHlp32.exe
del C:\WINDOWS\upxdnd.exe
del C:\WINDOWS\dfasbhpco.exe.hiv
del C:\WINDOWS\dghjxbnr.dat
del C:\WINDOWS\system32\23.exe
del C:\WINDOWS\system32\explorer.exe
del C:\WINDOWS\system32\WIN.INI
del C:\WINDOWS\system32\DbgHlp32.dlL
del C:\WINDOWS\system32\upxdnd.dll
del C:\WINDOWS\system32\netsrv.dll
del C:\WINDOWS\system32\BOLE.INI
del C:\WINDOWS\system32\sgrefg.dll
del C:\WINDOWS\yuuoahmm.dat
del C:\WINDOWS\xjcouxwy.dll
del C:\WINDOWS\mwnptmtoa.exe.hiv
del C:\WINDOWS\bmyfuatg.dll
del C:\WINDOWS\mwnptmtoa.exe
del C:\WINDOWS\joxykwqv.exe
del C:\WINDOWS\xwizrokv.dat
del C:\WINDOWS\system32\ntahqyfdj.dll
del C:\WINDOWS\system32\mswwwdj32.dll

另外

1、及时升级杀毒软件病毒库，补齐系统漏洞，上网时确保打开“网页监控”、“邮件监控”功能。
2、打开杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算 机，完全保护计算机系统安全。
3、禁用系统的自动播放功能，防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。
4、建议在登录网游账号、网络银行账户时采用软键盘输入账号及密码。
5、做好局域网的ARP病毒防范工作。

附录
1,关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit. msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选 择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。

MS06-014 中文版系统补丁下载地址：

http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx

MS06-014 英文版系统补丁下载地址：

http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

MS07-017 中文版系统补丁下载地址：

http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

MS07-017 英文版系统补丁下载地址：

http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

您可能还对这些文章感兴趣

• 四月 18, 2010 -- 从进程中判断出病毒和木马 (0)
• 五月 26, 2010 -- 什么是位、字节、字长 (0)
• 六月 8, 2010 -- 让老主板支持U盘启动 (0)
• 五月 22, 2010 -- 将NTFS格式转换FAT32格式 (1)
• 五月 12, 2010 -- 文件夹选项 (0)
• 二月 28, 2010 -- 如何全面清除计算机电脑病毒 (0)
• 四月 9, 2011 -- 生命游戏-LifeGame（附下载和源代码） (4)
• 五月 18, 2010 -- 内存不足的原因和解决方法 (0)
• 四月 22, 2010 -- 电脑操作16个小技巧 (0)
• 四月 19, 2010 -- Photoshop选择技巧 (0)

您可能还对这些文章感兴趣

• 五月 30, 2010 -- 防范变种机器狗木马 (0)
• 五月 22, 2010 -- 将NTFS格式转换FAT32格式 (1)
• 五月 12, 2010 -- 文件夹选项 (0)
• 六月 8, 2010 -- 让老主板支持U盘启动 (0)
• 五月 18, 2010 -- 内存不足的原因和解决方法 (0)
• 四月 18, 2010 -- 从进程中判断出病毒和木马 (0)
• 四月 17, 2010 -- 你知道alt键的用法吗？ (0)
• 二月 28, 2010 -- XP就要过时了 用户盘点Windows 7五大优点 (0)
• 二月 28, 2010 -- 让你不希望要Windows 7的XP模式的5个原因 (0)
• 二月 28, 2010 -- 让32位Windows 7用上大内存 (0)

1.以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、 iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、 iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中 正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如 explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了， 病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪 明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只 是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS \system32”目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到“C:\WINDOWS\” 中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是 病毒的进程吗？

3.借尸还魂

除了上文中的两种方法外，病毒还有一招终极＊＊＊＊＊——借尸还魂。所谓的借尸还 魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借 助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面 我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功＊＊＊＊＊病毒的“以假乱真”和“偷梁换柱”了。

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、 scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。 而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由svchost调用相应服务的动态链接库来启动服务。我们可以打 开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS \system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32 \svchost.exe-kLocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32 \svchost.exe-knetsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服 务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是 RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中， 则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简 单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS \system32”目录外，那么就可以判定是病毒了。

常被病毒冒充的进程名有：iexplorer.exe、 expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将 explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入 “explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我?＊＊＊＊芾砑扑慊械淖试础?

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为 “C:\Windows”目录，除此之外则为病毒。

explorer.exe 常被病毒冒充的进程名有：iexplorer.exe、iexploer.exe  iexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实IExplorer.exe是 Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，IExplore.exe进程名的开头为 “IE”，就是IE浏览器的意思。

IExplore.exe进程对应的可执行程序位于 C:\ProgramFiles\Internet Explorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在 IExplore.exe进程，这要分两种情况：1.病毒假冒IExplore.exe进程名。2.病毒偷偷在后台通过IExplore.exe干坏事。 因此出现这种情况还是赶快用杀毒软件进行查杀吧。

rundll32.exe

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。 rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe 启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入 “rundll32.exeuser32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe 的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。

常被病毒冒充的进程名 有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“PrintSpooler”所对应的可执行程序，其作 用?＊＊＊＊芾硭斜镜睾?span style=’cursor:pointer;border-bottom: 1px solid #FA891B;’ id=’rlt_2′>网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机 上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一

您可能还对这些文章感兴趣

• 五月 30, 2010 -- 防范变种机器狗木马 (0)
• 二月 28, 2010 -- WinXP中CPU占用率100%原因及解决方法 (0)
• 二月 28, 2010 -- 一条命令解决解决该内存不能为“read”或“written” (0)
• 十月 6, 2009 -- 如果遇到删不掉的文件该如何处理 (0)
• 四月 2, 2010 -- 你会用shutdown吗？看看吧 (0)
• 二月 28, 2010 -- 免费数据恢复软件：NTFSUndelete (0)
• 二月 28, 2010 -- 我印象中的Internet Explorer浏览器 (0)
• 十月 8, 2009 -- 保护Excel表格 (0)
• 七月 25, 2009 -- 卡巴斯基2010key的添加方法 （命令行） (0)
• 七月 23, 2009 -- Windows7预售太火爆，微软要涨价？ (0)