网吧论坛 › 系统技术 › 最新病毒机器狗的预防措施

qq1003796 发表于 2007-9-2 20:25:52

最新病毒机器狗的预防措施

<p>,<font size="5"><font color="#0000ff"><strong>中毒症状：</strong>就是打开我的电脑，或者打开IE，在只开一个窗口的情况下，把打开的窗口关闭，桌面进程就会重启<br/><b></b><br/><b></b><br/><b></b><br/></font></font><b><font color="#ff0000" size="5">经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本三茗，小哨兵还原卡均被成功穿透，（此病毒对德天信山还原卡无效）这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案：一是封IP 58.221.254.103，二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys <br/>木马联网后的下载内容 </font></b><br/><font color="#ff0000"></font><b><font size="5"><br/><a href="http://yu.8s7.net/cert.cer" target="_blank"><font size="3"><font color="#ff0000">http://yu.8s7.net/cert.cer</font></font></a><br/><a href="http://www.tomwg.com/mm/mm.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/mm.jpg</font></font></a><br/><a href="http://www.tomwg.com/mm/wow.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/wow.jpg</font></font></a><br/><a href="http://www.tomwg.com/mm/mh011.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/mh011.jpg</font></font></a><br/><a href="http://www.tomwg.com/mm/zt.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/zt.jpg</font></font></a><br/><a href="http://www.tomwg.com/mm/wl.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/wl.jpg</font></font></a><br/><a href="http://www.tomwg.com/mm/wd.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/wd.jpg</font></font></a><br/><a href="http://www.tomwg.com/mm/tl.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/tl.jpg</font></font></a><br/><a href="http://www.tomwg.com/mm/dh3.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/dh3.jpg</font></font></a><br/><a href="http://www.tomwg.com/mm/my.jpg" target="_blank"><font size="3"><font color="#ff0000">http://www.tomwg.com/mm/my.jpg</font></font></a><br/><br/><font color="#ff0000">请将以上IP在路由里屏蔽连接。</font></font></b></p><p><strong><font color="#0000ff" size="5"></font></strong> </p><p><strong><font color="#0000ff" size="5">病毒样本及机器狗免疫补丁</font></strong></p><p>**** Hidden Message *****</p><p></p>

qq1003796 发表于 2007-9-2 20:31:50

如果已经中毒的请在还原ghost文件后，手动在c:\\windows\\system32\\drivers文件夹下创建pcihdd.sys,并把文件改成只读属性,或者修改这个文件的权限,删除所有用户.

qq1003796 发表于 2007-9-2 20:33:24

<p>刚刚搜集来的，还不试用。</p><p>简单防御！</p><p>在%systemroot%\\system32\\drivers\\目录下 建立个 明字 为 pcihdd.sys 的文件夹设置属性为 任何人禁止</p><p>批处理</p><p>md %systemroot%\\system32\\drivers\\pcihdd.sys</p><p>cacls %systemroot%\\system32\\drivers\\pcihdd.sys /e /p everyone:n <br/><br/>cacls %systemroot%\\system32\\userinit.exe /e /p everyone:r<br/></p><p>exit</p><p> </p><p>在路由器里封掉IP<u><font face=\"Tahoma\" color=\"#ff0000\">58.221.254.103</font></u></p><p><u><font face=\"Tahoma\" color=\"#ff0000\">此病毒为自动从这人IP上下载带木马的病毒，来盗取游戏帐号等！</font></u></p>

luoxubo 发表于 2007-9-3 01:02:04

<p>这毒也太牛了</p>

qq1003796 发表于 2007-9-3 09:42:01

<p>知道就好！！`小心被狗咬到</p>

痴雨 发表于 2007-9-3 11:33:58

其实很简单的～提前做好准备就OK了

qq1003796 发表于 2007-9-3 12:21:14

<p>恩，免疫打开，再牛的毒也不怕！</p>

bingdian 发表于 2007-9-9 19:54:47

njlovebb 发表于 2007-9-27 13:51:54

huaiwoody 发表于 2007-10-4 15:39:27

查看完整版本: 最新病毒机器狗的预防措施