机器狗各位有什么好的解决方法没，帮下小弟！

woheshiyi

机器狗肆虐，小弟不慎中招，网上方法千篇一律，不知该听哪家
言归正传，就是想问下有没有什么好的解决方法，有什么什么好的补丁，目前各大杀软只有江民出了一个补丁，但是能力有限，只在打过补丁后运行几次病毒样本，没有什么反映，可是还是不放心，希望高手能帮忙测试下，还有小弟在网上找的批处理，请各位看下是不是有用！
在此还要发表下个人看法，网吧用户就不是用户了吗，为什么机器狗出来这么长时间没有杀软厂商出专杀或者补丁之类的呢！熊猫出来的时候千人指，万人骂的，机器狗就没人管！先顶下江民，至少他关注了，谢谢各位，我的邮箱azjyan@163.com,要是有什么好的方法，或者补丁就谢谢啦！

woheshiyi

为什么没有人啊

huxiqiuzhen

印象里有个什么工具,帮你找找
自觉遵守国家法律法规和当地政府的指令,禁止少年儿童去你那上网就是最好的回报,

[ 本帖最后由 huxiqiuzhen 于 2007-12-11 14:15 编辑 ]

huxiqiuzhen

[zz]预防机器狗病毒的安全建议2007年12月05日 星期三 10:59巡警写的很好，我就直接拿过来了。 by 崔
原发地址 http://hi.baidu.com/xyz24k/blog/ ... 902ffd99250ae7.html
貌似每到年末的时候总是要有些严重点病毒出现，我记得去年的这个时候“熊猫烧香”也出来了。本以为今年还会有些蠕虫会到年底泛滥，可是没想到，木马传播起来也疯狂。 我猜中了前头，可是我猜不着这结局…… 好像病毒作者总喜欢拿我们可爱的动物开涮，去年调笑的是我们的国宝熊猫，今年则幽默了我们身边的宠物狗宝宝一把。 机器狗病毒是一种可以穿透冰点、还原卡等电脑保护系统的木马病毒，其本身并不具备主动传播的特性，但其可以借助ARP病毒在局域网中传播，并且还会下载20多款恶性网游木马，盗取游戏玩家的帐号和密码，因此可以说此病毒危害十分巨大。而且，该病毒还可以借助U盘进行传播，这样就大大增加了病毒传播的范围。针对机器狗病毒，江民科技反病毒中心已经及时地更新了病毒库，只要用户将KV2007、KV2008杀毒软件升级到最新版本即可拦截查杀此病毒。 机器狗病毒一般是通过网页木马或者U盘传播的方式入侵到电脑中，然后在借助于ARP欺骗的方式在局域网中传播。由于该病毒多发生于网吧和企业，因此江民科技反病毒专家建议采取以下安全策略来加固自己的网络：
1. 由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播，因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业，采用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。 如果不具备双向绑定的条件，可以采用划分VLAN 的方法，来隔离网络的不同区域，这样可以把ARP病毒的危害降低到最小。
2. 更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看，发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。  
MS06-014 中文版系统补丁下载地址： http://www.microsoft.com/china/t ... letin/MS06-014.mspx
MS06-014 英文版系统补丁下载地址： http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址： http://www.microsoft.com/china/t ... letin/MS07-017.mspx
MS07-017 英文版系统补丁下载地址： http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx
3. 注意应用软件版本的及时更新。机器狗病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中，还利用时下最为流行的应用软件漏洞进行挂马传播，例如一些Yahoo! Messenger漏洞、暴风影音2漏洞、RealPlayer 漏洞、PPStream漏洞、联众游戏游戏漏洞、迅雷下载器漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛，这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本，一定要使用从官方网站下载的最新版本的软件，这点十分重要，不要使用老版本，因为老版本还有很多漏洞。这些漏洞的详细信息，可以参考我写的文章《近期网马漏洞总结》
4. 禁用Windows系统的自动播放功能。由于机器狗病毒还会利用U盘传播，因此如果U盘中含有此病毒时，如果直接双击打开U盘，就会激活病毒，从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。 关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit. msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。 江民杀毒软件"移动存储接入杀毒"能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，保护计算机系统安全。
5. 及时升级KV杀毒软件病毒库，上网时确保打开"网页监控"、"邮件监控"功能。 企业级用户和网吧部署KV网络版杀毒软件，KV网络版具有全网统一升级，统一杀毒功能，可以快速彻底清除网络中的ARP病毒和机器狗病毒及其变种。
网络巡警 http://hi.baidu.com/xyz24k 2007-11-30

[ 本帖最后由 huxiqiuzhen 于 2007-12-11 14:29 编辑 ]

huxiqiuzhen

此文章是从病毒专家崔衍渠老师的博客上找到的
原文地址 http://hi.baidu.com/teyqiu/blog/ ... 2b69dd9c820449.html
在此向崔老师表示敬意!~

huxiqiuzhen

剑盟中国论坛斑竹"重剑无锋"的帖子,因为你的情况紧急,没有来得及征得他的意见,在此先表示敬意~
------------------------------------------------------------------------------------------------------------------
江民机器狗病毒免疫程序
11月29日，江民反病毒中心监测到，首例可以突破硬盘还原卡的“机器狗”病毒正在借助ARP病毒加速传播，专家因此提醒使用还原卡的电脑用户谨防年终“机器狗”病毒大规模袭击网络。

       “机器狗”病毒9月5日首次被江民反病毒中心截获，迄今为止，该病毒已经出现10余个变种，感染超过18000台电脑，新变种借助ARP病毒传播，能够瞬间传遍局域网中所有电脑。网吧由于普遍使用硬盘还原卡，因此成为“机器狗”病毒重灾区，江民反病毒专家透露，11月份网吧业主反映感染该病毒的案例明显高于往常。

         江民反病毒专家介绍，“机器狗”病毒系“代理木马”系列病毒的变种，由于病毒感染后会生成一个“机器狗”的图标，病毒因此得名。自9月上旬首例病毒被截获以来，陆续有网吧业主反映遭受此病毒攻击。病毒发作后，首先会突破一些常见系统还原软件以及硬盘保护卡，然后向中毒电脑中下载多个恶性网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码。“机器狗”新变种在下载完木马后，会在系统中“自杀”，以便更深地隐藏自己。

        专家介绍，虽然江民等杀毒软件已经及时升级机器狗以及其变种病毒，用户只需升级杀毒软件即可有效清除病毒，但仍然有不少未安装杀毒软件的用户通过论坛以及电话、邮件等方式求助。为了防患于未然，保护更多电脑用户的网络安全，江民反病毒中心为此发布了机器狗病毒免疫程序，用户只需下载后双击运行即可对电脑进行免疫，避免遭受机器狗病毒的侵害，已经感染“机器狗”病毒的用户，请登陆江民网站下载30天免费的KV2008，全面清除机器狗及其所有变种。
-----------------------------------------------------------------------------------------------------------

爱·妖姬

【12月4日微点官方】机器狗下载器 Trojan-Downloader.Win32.EDog.h病毒名称

Trojan-Downloader.Win32.EDog.h

捕获时间

2007-11-28


病毒症状

      该病毒是一个使用汇编语言编写的下载者程序，程序未经过加壳，长度44,544 字节，图标为具有一定诱惑力的电子狗玩具状图标，病毒扩展名为exe，主要通过ARP欺骗方式进行会话劫持大规模传播。

病毒分析

      该样本程序被执行后首先在%SystemRoot%\system32\drivers目录下释放驱动文件pcihdd.sys，调用SCM写注册表将该文件注册成为服务名为“PciHdd”的内核驱动服务，通过使用StartServiceA函数启动被注册的内核驱动服务，当驱动被加载到系统内核空间后调用相关API函数将所释放的驱动删除。
病毒驱动被加载后通过访问设备对象PhysicalHardDisk0并判断主DOS分区是否被激活，如果被激活直接访问物理磁盘打开%SystemRoot%\system32\目录下userinit.exe文件，调用驱动操作物理硬盘改写系统用户模式引导文件userinit.exe。

      当计算机重启后，userinit.exe通过默认注册表启动项在winlogon.exe初始化完毕后加载，创建explorer.exe进程初始化桌面环境后直接读取下载其他的病毒和木马程序。
感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、下载器下载、ARP欺骗        

安全提示

      已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效清除该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“可疑程序”，请直接选择删除处理（如图1、2）；
如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.EDog.h”，请直接选择删除（如图3）。

使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

      没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件高效清除各类未知病毒和新病毒。
附件 111.jpg (18.79 KB) 2007-12-4 20:21

222.jpg (17.25 KB) 2007-12-4 20:21

333.jpg (19.2 KB) 2007-12-4 20:21

爱·妖姬

技术细节

该下载器具有两个明显特性，分别为：
1、通过加载驱动的方式访问设备对象PhysicalHardDisk0，判断当前文件系统等条件因素后访问物理磁盘，以读写扇区的方式改写重要系统文件，从而突破部分磁盘还原系统以及SFC的检测。

2、该下载器会下载多种游戏盗号木马，盗取传奇、魔兽世界、征途、大话西游、QQ等用户帐号信息；不定时更新机器狗下载器，防止被杀毒软件特征码识别并查杀；下载激活ARP病毒造成局域网瘫痪，并使用会话劫持手段封装数据包，造成局域网任意计算机打开网页后被嵌入隐藏iframe语句实现网页木马传播，行为极其恶劣。


下载列表连接网址：
Http://1.*******.com/test.cer


被下载木马文件网址：
http://1.***09.com/02.exe  ：Trojan-PSW.Win32.OnLineGames.yus
http://1.***05.com/3.exe   ：Trojan-PSW.Win32.WOW.bnj
http://1.***05.com/4.exe   ：Trojan-PSW.Win32.OnLineGames.ziw
http://1.***05.com/5.exe   ：Trojan-PSW.Win32.OnLineGames.ziw
http://1.***05.com/6.exe   ：Trojan-PSW.Win32.OnLineGames.zlp
http://1.***05.com/7.exe   ：Trojan-PSW.Win32.OnLineGames.zik
http://1.***05.com/8.exe   ：Trojan-PSW.Win32.OnLineGames.xea
http://1.***05.com/10.exe  ：Trojan-PSW.Win32.OnLineGames.yjv
http://1.***05.com/11.exe  ：Trojan-PSW.Win32.QQPass.gxh
http://1.***05.com/12.exe  ：Trojan-PSW.Win32.QQPass.gxh
http://1.***05.com/13.exe  ：Trojan-PSW.Win32.Lmir.coc
http://1.***05.com/14.exe  ：Trojan-PSW.Win32.OnLineGames.yas
http://1.***05.com/15.exe  ：Trojan-PSW.Win32.OLGames.ln
http://1.***05.com/16.exe  ：Trojan-PSW.Win32.OnLineGames.zjf
http://1.***05.com/17.exe  ：Trojan-PSW.Win32.OLGames.hg
http://1.***05.com/18.exe  ：Trojan-PSW.Win32.OLGames.lo
http://1.***05.com/19.exe  ：Trojan-PSW.Win32.OnLineGames.zpy
http://1.***05.com/20.exe  ：Trojan-PSW.Win32.OnLineGames.ynd
http://1.***05.com/21.exe  ：Trojan-PSW.Win32.OnLineGames.xzs
http://1.***05.com/22.exe  ：Trojan-PSW.Win32.OLGames.ij
http://1.***08.com/23.exe  ：Trojan-Downloader.Win32.EDog.j
http://1.***08.com/24.exe  ：压缩包文件包含：Backdoor.Win32.ARP.d

http://bbs.micropoint.com.cn/showthread.asp?tid=22548&fpage=1

huxiqiuzhen

剑盟中国论坛 重剑无锋斑竹的另外一篇帖子,因为你情况紧急,没有征得他的同意,在此先向他表示敬意~
--------------------------------------------------------------------------------------------
机器狗-IGM.exe病毒分析解决方案
igm.exe病毒中毒症状：

1.MSconfig的启动项里发现IGM.EXE
2.还自动启动

igm.exe病毒病毒清除办法：

以上两点都具有病毒的特征，自启动和自保护
可以判定这个程序是一个病毒。

既然是病毒，就要删除。

清除此文件的突破口就是停止此文件运行。

这里就用到了一个禁用文件的命令了，禁用了文件，文件就不会运行，这样就可以轻松清除了～～

先打开cmd （按开始-运行-输入“CMD”-打开-出现黑框）
然后输入下边说要输入的命令，回车。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f

比如要禁用IGM.EXE,那么就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
这样的话，即使IGM.EXE文件存在也没法运行了，病毒不会发作了呵呵～

不信的话可以自己试试俄～比如禁止QQ运行。
那么命令就是
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d debugfile.exe /f
输入后你关掉QQ就再也打不开了

取消方法：
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /f

以上用的是IFEO技术禁用文件的方法实现禁用病毒的。
禁用成功后，请楼主重新启动计算机，重启后因为病毒已经停止运行
1.机器狗病毒来历，防御病毒分析资料大全

         经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本均被成功穿透，这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案：一是封IP，二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys

刚写好的ROS脚本,要的自己加上去
以下为引用的内容：
/ ip firewall filter
add chain=forward c.8s7.net/cert.cer action=reject comment="DF6.0"
add chain=forward c.tomwg.com/mm/mm.jpg action=reject
add chain=forward c.tomwg.com/mm/wow.jpg action=reject
add chain=forward c.tomwg.com/mm/mh011.jpg action=reject
add chain=forward c.tomwg.com/mm/zt.jpg action=reject
add chain=forward c.tomwg.com/mm/wl.jpg action=reject
add chain=forward c.tomwg.com/mm/wd.jpg action=reject
add chain=forward c.tomwg.com/mm/tl.jpg action=reject
add chain=forward c.tomwg.com/mm/dh3.jpg action=reject
/ ip firewall filter
add chain=forward c.221.254.103 action=reject comment="DF6.0"
批处理注,此批处理最好是安装还原以后再用.)
以下为引用的内容：
echo tinking > c:\windows\system32\drivers\pcihdd.sys
echo y|cacls   c:\windows\system32\drivers\pcihdd.sys /c /d everyone
echo y|cacls   c:\windows\system32\userinit.exe /c /d everyone
echo y|cacls   c:\windows\system32\userinit.exe /c /p everyone:r

穿透冰点病毒分析
004016ED >/$   6A 00         push     0                                 ; /pModule = NULL
004016EF   |.   E8 80000000   call     00401774                         ; \GetModuleHandleA
004016F4   |.   A3 F0304000   mov     dword ptr [4030F0], eax
004016F9   |.   E8 CBF9FFFF   call     004010C9
004016FE   |.   68 00010000   push     100                               ; /DestSizeMax = 100 (256.)
00401703   |.   68 F4304000   push     004030F4                         ; |DestString = ""
00401708   |.   68 2B134000   push     0040132B                         ; |SrcString = "%SystemRoot%\System32\Userinit.exe"
0040170D   |.   E8 50000000   call     00401762                         ; \ExpandEnvironmentStringsA


00401712   |.   68 F4304000   push     004030F4                         ; /Arg1 = 004030F4
00401717   |.   E8 32FCFFFF   call     0040134E                         ; \111.0040134E
0040171C   |.   0BC0           or       eax, eax
0040171E   |.   75 0C         jnz     short 0040172C
00401720   |.   68 E7304000   push     004030E7                         ; /String = ""B2,"?,D7,"",F7,"成?,A6,""
00401725   |.   E8 68000000   call     00401792                         ; \OutputDebugStringA
0040172A   |.   EB 06         jmp     short 00401732
0040172C   |>   50             push     eax                               ; /String
0040172D   |.   E8 60000000   call     00401792                         ; \OutputDebugStringA
00401732   |>   E8 F9F8FFFF   call     00401030
00401737   |.   6A 00         push     0                                 ; /ExitCode = 0
00401739   \.   E8 1E000000   call     0040175C



2：什么是机器狗？

    日前，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。
　　通过对病毒样本进行分析，我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发，并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本，更成熟的版本相信会更具备破坏力。

3.经过对样本的分析和测试 DF6.0、DF6.1、DF6.2等以前版本均被成功穿透，这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:此清除免疫程序可清除和免疫目前流行的：
机器狗(穿透冰点的病毒)
威金
熊猫烧香，熊猫烧香变种
金猪
QQ阿拉大盗
4199恶劣网站病毒
静音
洪水猛兽
。。。。。常见病毒，并在截杀病毒进程，清除病毒文件后，生成假文件进行免疫。

假文件共46个,分别释放到了
c:\windows
c:\windows\system32
c:\windows\system32\drivers下
都为0字分。并加了拒读权限，如果杀软误报，请自行分析。

免疫时，会在各分区根目录清除以下程序和文件：
autorun.inf
setup.exe
go.exe
如果你的正常的setup.exe放在到分区根目录，还请使用前挪挪位。

清除上述文件后，随后生成三个同名文件，并设为拒读。同样为0字节。

免疫下载：http://www.hnwglm.cn/Soft/UploadSoft/200709/20070905094623885.rar

4.IGM.exe

禁用IGM.EXE,那么就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
这样的话，即使IGM.EXE文件存在也没法运行了，病毒不会发作了.(我不知道这样可行不？这里用的是IEFO技术。)
-------------------------------------------------------------------------
原文地址  http://bbs.janmeng.com/viewthrea ... =%BB%FA%C6%F7%B9%B7

huxiqiuzhen

网吧老板就是网吧老板，帮助过了，就沉没了，连个谢谢都不说，呵呵