机器狗木马病毒的运行机制
机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe,并建立一个包含病毒的userinit.exe,随系统每次启动时加载到系统中。此文件运行后会在系统的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一系列反病毒软件和安全工具的键值,使这些软件和工具无法正常运行。另外病毒还会尝试注入IE进程通过互联网下载病毒的更新,达到躲避查杀与侦测的目的。
机器狗病毒的判断方法:
方法1:打开C:\WINDOWS\system32文件夹 (或打开系统对应目录),找到userinit.exe、explorer.exe点击右键查看文件的属性,若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换系统已经染毒。
方法2:双击瑞星杀毒软件的快捷方式,以及卡卡上网安全助手的快捷方式,或者其他杀毒软件,没有任何反应(不是窗口打开后迅速关闭或报错崩溃)。
机器狗病毒的危害性:
中了此毒后请不要登录网上银行,网游帐号等。因为此种病毒的目的就是窃取从键盘输入的密码符号,存入到一个类似* jpg*文件,然后伺机发送到指定的服务器。某些人就可以利用窃取的密码达到不可告人的目的。
机器狗病毒的清除办法:
1.手动方法:
1、开始-运行-regedit
2、HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-Curr entVersion-Run,在右侧窗口中的空白处单击鼠标右键,在弹出的右键快捷菜单中选择"新建(N)"菜单下的"字符串值(S)"菜单
3、为新的字符串设定名字"clsshare1"后,双击该字符串。在弹出的"编辑字符串"对话框中的"数值数据(V)"文本框中输入 net share C$ /del 然后单击"确定"按钮。
以此类推,重复步骤(3),将"C$"更换成其它的默认共享,直至输入完所有的默认共享。然后关闭。
要关闭的:
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
由于每次Windows启动后都会运行"Run"分支下的所有语句,所以这种方法就能实现开机后自动关闭这些默认共享的功效了。
这种方法操作也比较简便,只要设置一次就可"一劳永逸"了。若要重新启用这些默认共享,只要删除相应的字符串,重启计算机就行。
2.程序查杀
1.最简单的解决办法就是360安全卫士,在安全模式下查杀.
2.在启动程序里禁止程序启动,然后再C盘里找到类似winnt\system32\a.exe,ana.exe或lja.exe的文件删除之。
中了毒防止密码外泄的防火墙可以试一下outpost firewall专门防止文件外泄。