“机器狗”病毒具备下载者木马的特点,会不断从网上下载数十种新木马,危害十分严重。除此之外,机器狗还有一些特殊的特点:病毒会感染硬盘中所有EXE文件,速度非常快而且不占内存和CPU;木马会利用IPC$弱口令自动进行内网和外网扫描传播。最特殊的是,病毒采用了最新的“ARP挂马”方式,通过ARP欺骗,在所有内网中的电脑访问任意网站时,在网页代码里加上挂马代码,导致内网用户全部感染木马病毒。
由于“机器狗”病毒采用了还原恢复、网络、感染EXE等多种方式传播,因此感染“机器狗”病毒后,往往很难彻底清除。使用还原系统恢复后,病毒依然存在,即使重装系统,但是过不了几分钟,又会重新感染“机器狗”病毒。要彻底请走这只“恶狗”,就必须从查杀与免疫两方面入手。网上各种“机器狗”病毒查杀与免疫方法非常多,但是有许多操作复杂,而且无法对付新的“机器狗”病毒变种。下面我们介绍两个最简单的方法,帮助大家彻底摆脱“机器狗”。
1.查杀“机器狗”
我们可使用“超级巡警之机器狗病毒专杀 v1.2”检测并查杀机器狗病毒,该工具可穿透机器狗所能穿透的还原系统来修复被感染的文件。工具还具有免疫的功能,针对已知机器狗变种进行免疫,防止再次感染。另外,可使用命令行方式进行杀毒,便于自动化操作,非常方便在网吧等场所使用。
运行“超级巡警之机器狗病毒专杀 v1.2”,勾选界面中的“免疫”项,点击“查杀”按钮,即可自动检测并查杀机器狗病毒了。软件会自动修复被感染的系统文件,并进行彻底的免疫。
比较方便的是“超级巡警之机器狗病毒专杀 v1.2”可使用命令行方式运行,格式如下:RodogKiller.exe /k /i > c:\kill_result.txt
其中,命令行参数“/k”表示进行自动杀毒,“/i”表示需要免疫,“>result.txt”用于指定将查杀结果输出到“result.txt”文件中。
2.免疫“机器狗”
“超级巡警之机器狗病毒专杀 v1.2”软件采用的免疫原理,其实就是设置病毒感染的系统文件访问权限,因此我们也可以手工进行“机器狗”病毒免疫,方法很简单。点击“开始”菜单→“运行”,输入命令“CMD”,回车后打开命令提示符窗口。在命令窗口中执行如下命令:
md C:\Windows\system32\drivers\pcihdd.sys
md C:\Windows\system32\drivers\pcihdd.sys\abc...\
md C:\Windows\system32\drivers\usb32k.sys
md C:\Windows\system32\drivers\usb32k.sys\abc...\
md C:\Windows\system32\fat32.sys
md C:\Windows\system32\fat32.sys\abc...\
md C:\Windows\system32\wxptdi.sys
md C:\Windows\system32\wxptdi.sys\abc...\
C:\WINDOWS\system32\cacls.exe C:\Windows\system32\drivers\pcihdd.sys /e /p everyone:n
C:\WINDOWS\system32\cacls.exe C:\Windows\system32\userinit.exe /e /p everyone:r
前面8条语句,用于创建与病毒同名的文件夹,防止病毒文件的生成。第9条语句,是设置“pcihdd.sys”文件夹为任何人禁止访问,以防止病毒运行。最后一条语句设置“userinit.exe”文件只读权限,以免病毒感染系统文件。设置权限时,要求系统分区转换成NTFS文件格式,如果系统分区不是NTFS文件格式,可用如下命令进行转换:C:\WINDOWS\system32\CONVERT C: /FS:NTFS /X。
请用户及时更新杀毒软件,以拦截最新变种。及时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。播放器、下载工具,最好用官方的最新版,至少老漏洞都修补过。网络防火墙、ARP防火墙一个也不能少。
