什么是机械狗病毒（什么是机械连接）

大家好,今天就和小熊一起来看看这个问题吧 。什么是机械连接，什么是机械狗病毒很多人还不知道，现在让我们一起来看看吧！

狗病毒的介绍：

狗是木马下载器。感染后会自动从网络下载木马和病毒，危及用户账号安全。机器运行后，狗会释放一个名为PCIHDD的驱动文件。SYS，与原系统中恢复的软件驱动争夺硬盘的控制权，通过替换userinit.exe文件实现引导。

狗病毒的工作原理

dog本身会释放一个pcihdd.sys到drivers目录中。pcihdd.sys是一个低级别的硬盘驱动程序。提高其优先级接管还原卡或冰点的硬盘驱动，然后访问指定的URL。这些网址只要连接就会自动下载大量病毒和恶意插件。然后修改接管启动管理器，最可怕的是会通过内网传播。一个诡计将触发整个网络中的所有计算机自动重启。

重点是，如果病毒以hook的方式入侵系统，更换硬盘的效率太低，破坏恢复的方式也不是最好的。况且这种技术的应用范围很小，只有还原技术的厂商在推广。这方面国际上只有中国在用，所以很可能是业内人士。

对于网吧来说，机器狗是带着剑从网吧出来的。对于所有还原产品的设计，可以预见其破坏力很快会超过熊猫烧香。好在现在出现了很多免疫补丁，从发布之日起，各大杀毒软件都可以查杀。

如何识别狗病毒；

赢得机器狗的关键在于Userinit.exe文件，它在系统目录的system32文件夹中。右键单击后缀为dll或exe的应用程序(没有记事本格式的属性版本)。如果你在属性窗口看不到这个文件的版本标签，说明你已经赢了机器狗。如果有版本标签，是正常的。

狗病毒免疫贴片：

目前免疫贴片的数量是以疫苗的形式，用无害的样本复制给司机，欺骗病毒以为它可以自己跑，从而防止伤害。这种形式的问题在于，有些用户为了自身安全，会在机器上运行一些毒品检测程序(比如QQ医生)。这样一来，疫苗就会被误认为是病毒，浪费了大量的文字。

解决办法

方案1

解决方案是将system32/drivers目录单独分配给一个用户，而不给管理员修改它的权限。虽然这个可以解决，但是以后安装驱动会很头疼。

彻底清除病毒，处理完重启电脑就行，之前打补丁！

或者这样：

1注册表，组策略中禁止userinit.exe进程运行。

2将批处理添加到启动项目。

A :强制终止userinit.exe进程taskkill/f/IM userinit.exe(其中“/IM”参数后跟进程的映像名称，此命令仅对XP用户有效)

B :强制删除userinit.exe文件del/f/a/q % systemroot % \ system32 \ userinit.exe。

C :在%SystemRoot%\system32\

命令：MD % systemroot % \ system32 \ userinit.exe nul 2 nul

或者MD % systemroot % \ system32 \ userinit.exe。

attrib s r h a % SystemRoot % \ system32 \ userinit . exe

d : reg add ' HKLM \软件\微软\ Windows NT \当前版本\镜像文件执行选项\userinit.exe' /v调试器/t reg _ SZ/d debugfile.exe/f

Userinit1.exe是一个普通的文件，已经改变了它的名字，并增加了一个额外的1。也可以自己修改，但是要手动修改这四个注册表并导出，这样这一批才能正常使用。

方案2

1.先在系统system32下复制一个无毒的userinit.exe，文件名是FUCKIGM.exe(文件名可以任意取)，就是下面批处理要执行的文件！那就是，更换靴子的userinit.exe！并保持原来的userinit.exe！其实多份的目的只是为了多份保险！可能对以后的品种起到一定的防范作用。

2.创建一个批处理，文件名为userinit.bat(文件名也可以任意选择，但要和下面提到的注册表键值一致)，内容如下：

开始FUCKIGM.exe(呵呵，够简单吗？)

3.修改注册表键值，将userinit.bat改为userinit.bat，内容如下：

Windows注册表编辑器5.00版

[HKEY洛卡

　　"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"

　　就这3步，让这条狗再也凶不起来!这是在windows 2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它!开关机游戏均无异常!但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框!

　　如果嫌麻烦，也不要紧。上面三条批处理网友已搞好了，直接复制下面的这个存为批处理执行就OK了。三步合二为一

　　@echo off

　　:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe

　　cd /d %SystemRoot%\system32

　　copy /y userinit.exe FUCKIGM.exe >nul

　　:::创建userinit.bat

　　echo @echo off >>userinit.bat

　　echo start FUCKIGM.exe >>userinit.bat

　　:::注册表操作

　　reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul

　　:::删掉自身(提倡环保)

　　del /f /q %0

　　当然，如果实在不行，下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.

　　网上流传的另一种新的变种的防止方法 :

　　开始菜单运行.输入CMD

　　cd ……到drivers

　　md pcihdd.sys

　　cd pcihdd.sys

　　md 1…\

　　可防止最新变种。请注意：此法只能是防止，对于杀机器狗还得靠最新的杀毒程序才行。

　　临时解决办法：

　　一是在路由上封IP：

　　ROS脚本,要的自己加上去

　　/ ip firewall filter

　　add chain=forward content=yu.8s7.net action=reject comment="DF6.0"

　　add chain=forward content=www.tomwg.com action=reject

　　二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，

　　三是把他要修改的文件在做母盘的时候，就加壳并替换。

　　在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止批处理

　　md %systemroot%\system32\drivers\pcihdd.sys

　　cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

　　cacls %systemroot%\system32\userinit.exe /e /p everyone:r

　　exit看了“什么是机械狗病毒”文章的还看了：

1.机械狗是什么病毒

2.电脑病毒机器狗的源代码

3.机器狗病毒预防

4.机器狗病毒

这篇文章到此就结束，希望能帮助到大家。