病人:我是一名網管,最近在網吧上班時碰到一件煩心事。網吧裏的電腦經常一次性感染七八種病毒(檢查發現,主要有“cmdbc木馬”、“AVPSrv”、“Torjan.Diskman”等),清除後不用多久又會自動生成,就像牛皮癬一樣。我們網吧的電腦可都是裝有還原卡的啊,怎麼還會感染病毒呢?
醫生:根據你的描述,這應該是近段時間比較流行的“機器狗”病毒,這種病毒類似於“下載者”,會將大量的木馬和病毒下載到你的電腦中,其下載的木馬主要就是你剛才提到的那幾種病毒。
最重要的是,“機器狗”病毒是目前對還原軟體、還原卡破壞能力最強的病毒。“機器狗”目前可以破壞冰點還原、影子系統等還原軟體,還能破壞三茗、小哨兵等硬體還原卡。被破壞的還原卡會失去作用,讓系統徹底暴露在病毒下。
“機器狗”怎麼突破還原卡
病人:謝謝醫生的解答,我現在對這個“機器狗”病毒有點瞭解了,可我還想知道它是怎麼破解還原卡的?
醫生:“機器狗”的運作流程並不複雜,比起熊貓燒香、AV終結者來說要簡單不少。運行後首先會替換系統的Userinit.exe檔,Userinit.exe是Windows操作系統的一個關鍵進程,用於管理不同的啟動順序,例如用於建立網路鏈接和Windows殼的啟動。病毒利用Userinit.exe的目的是實現隱蔽啟動。
接著在Windowssystem32drivers檔夾中生成一個名為Pcihdd.sys的驅動檔,病毒正是借助這個驅動檔來實現還原軟體和還原卡破解的。我們知道還原軟體和還原卡之所以能夠保護硬碟數據,是因為它具有很高的許可權,能夠奪取硬碟的控制權,在系統啟動之前,將硬碟中的數據還原。
而Pcihdd.sys這個檔會和還原軟體或還原卡搶奪硬碟的控制權,大部分還原軟體和還原卡的控制權都會被Pcihdd.sys奪取,它們就失去了還原數據的能力,這樣病毒就可以避開還原卡在硬碟中安營紮寨了。
徹底清除“機器狗”病毒
病人:“機器狗”果然是一個難纏的病毒,尤其是像我這樣的網吧管理員,剛解決了煩人的“熊貓燒香”,現在來了個更狠的,真是不勝其煩。請問我該如何清除“機器狗”病毒?
醫生:清除“機器狗”的方法比較簡單,操作步驟如下:
第一步:用正常的Userinit.exe檔替換被修改的Userinit.exe檔。首先新建一個記事本,輸入如下內容:
@echo off
taskkill /f /im userinit.exe
del userinit.exe /f/q/a
將這個記事本檔保存為kill.bat,雙擊運行。然後從其他乾淨的電腦中拷貝一份Userinit.exe檔,將它放到system32目錄中。
第二步:刪除pcihdd.sys檔,該檔位於Windowssystem32drivers檔夾中。用記事本打開位於Windowssystem32driversetc的HOSTS檔,在最後添加這樣一行:127.0.0.1 www.tomwg.com,修改完後保存檔。
第三步:用《360安全衛士》配合殺毒軟體清除系統中殘留的盜號木馬病毒。
第四步:為了更好地預防“機器狗”病毒,我們可以用批處理將Pcihdd.sys 的檔夾設置為禁止修改。批處理關鍵代碼如下:
md %systemroot%system32driverspcihdd.sys
cacls %systemroot%system32driverspcihdd.sys/e/p everyone:n
cacls %systemroot%system32userinit.exe /e /p everyone:r
總結
還原卡和還原軟體並不是萬能的,如果僅希望依靠它們來避免中毒不太現實。這段時間病毒技術發展得較快,網管和普通用戶一定要多加關注,以掌握最新病毒的清除方法。 |
