目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。 机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。 机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。
步骤/方法
1
1注册表,组策略中禁止运行userinit.exe 进程
2
2 在启动项目中加入批处理 A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效) B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe C : 创建userinit.exe免疫文件到%SystemRoot%system32 命令:md %SystemRoot%system32userinit.exe >nul 2>nul 或者 md %SystemRoot%system32userinit.exe attrib +s +r +h +a %SystemRoot%system32userinit.exe D : reg add 'HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe' /v debugger /t reg_sz /d debugfile.exe /f userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
上一篇:高能手办团红色警戒通关攻略
下一篇:星际战甲宠物怎么带出去