您当前的位置是： 服务器安全资讯网>反病毒>病毒预防>

关于对近期机器狗病毒的一些建议

来源：中国服务器安全网   时间:2007-12-01  作者：  点击：次  责任编辑：Flyfox
TAG:   病毒 建议 机器狗 近期   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

关于对近期机器狗病毒的一些建议

关于近期网吧被机器狗病毒骚扰的问题，这里提供一些补助方案，本帖紧紧是对使用英保通的网吧一些建议，并不是解决机器狗的完整方案，只对当前机器狗病毒有作用，如以后病毒变种后就无法预知，请自行选择是否使用。

　　如何判断电脑是否有中机器狗病毒，鼠标右键 c:windowssystem32userinit.exe 文件，查看属性，有版本的就是正常文件，该机没有中机器狗病毒；如果没有版本的就是机器狗病毒，该机已中机器狗病毒，请尽快处理

　　

　　

　　正常的userinit.exe(如上图)

　　

　　

　　中了机器狗的userinit.exe(如上图)

　　实时了解客户机状态，是否有中机器狗病毒：

　　给每台客户机电脑增加一个开机或关机批处理（二选其一既可），让下面这个批处理每次开机后自动运行，该批处理1秒内完成，不影响客户机系统。举例方法

　　左下角开始菜单》运行》输入‘gpedit.msc’打开策略组》用户配置》windows设置》脚本》登录或注销（二选其一既可）双击后出现新窗口》增加》输入批处理的路径，如c:jqg.bat后确定既可。如下图：

　　

　　

　　创建jqg.bat批处理文件（这里有不会创建的吗？）在批处理文件内写入下面内容：（可直接复制）

　　for /f "tokens=16 delims=. " %%a in ( 'ipconfig/all^ find /i "IP Address "') do set BDZJ=%%a

　　FC /B %SystemRoot%system32userinit.exe 192.168.1.6$userinit.exe >nul

　　IF "%errorlevel% "== "1 " echo 注意啦: 这台机子在 %Date:~0,10%号%Time:~0,2%时%Time:~3,2%分%Time:~6,2%秒 开机检查到可能中了机器狗或IGM病毒，快去FUCK IT！> >192.168.1.6jqg$ZJ%BDZJ%.txt

　　绿色部分为服务器端一个共享目录下的正常userinit.exe文件，只需要开启只读权限，请改为你自己的路径。

　　红色部分为服务器端共享的一个目录，需要开启写权限，请改为你自己的路径。ZJ%BDZJ%.txt不用改动。

　　在服务器端2.168.1.6$，从客户机的xp中复制一个正常的userinit.exe放在里面。

　　好了，这样你只需要空闲时查看服务端的192.168.1.6jqg$目录下有没有文件，没有文件就表示你的所有客户机没有中机器狗病毒；如果 发现有文件，（排除人为捣乱搞笑）就是该客户机已经中病毒了，批处理会自动生成中病毒电脑的IP最后3位来让你判断是哪一台中了机器狗。

　　提前创建病毒驱动，中了机器狗后机器狗也无法运行下载其他病毒：

　　在c:windowssystem32drivers 下提前创建一个名为pcihdd.sys的空文件夹（有不会创建的吗？），鼠标右键pcihdd.sys》属性》安全》高级》取消从父项继承那些……前面的钩》删除》应用》是》确定后既可。如图：

　　

　　

　　如果文件夹属性里没有安全的，请看这里：该方法只支持ntfs为系统盘的分区，不支持fat32。下图

　　

上一篇：机器狗病毒和变种的永久防御方法 下一篇：病毒变基调 新手段让扫描成本提升