手動清除機器狗病毒的三招辦法

機器狗病毒采用hook系統的磁盤設備棧來達到穿透目的的，危害極大，可穿透目前技術條件下的任何軟件硬件還原！基本無法靠還原抵擋。目前已知的所有還原產品，都無法防止這種病毒的穿透感染和傳播。

機器狗是一個木馬下載器，感染後會自動從網絡上下載木馬、病毒，危及用戶帳號的安全。機器狗運行後會釋放一個名為PCIHDD.SYS的驅動文件，與原系統中還原軟件驅動進行硬盤控制權的爭奪，並通過替換userinit.exe文件，實現開機啟動。如何手動清除呢？

方案1

解決方案是將system32/drivers目錄單獨分配給一個用戶，而不賦予administror修改的權限。雖然這樣能解決，但以後安裝驅動就是一件頭疼的事了。

徹底清除該病毒，處理後重啟一下電腦就可以了，之前要打上補丁！

或者這樣：

1 注冊表，組策略中禁止運行userinit.exe 進程

2 在啟動項目中加入批處理

A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe （其中“/IM參數後面為進程的圖像名，這命令只對XP用戶有效）

B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe

C : 創建userinit.exe免疫文件到%SystemRoot%system32

命令：md %SystemRoot%system32userinit.exe >nul 2>nul

或者 md %SystemRoot%system32userinit.exe

attrib +s +r +h +a %SystemRoot%system32userinit.exe

D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f

userinit1.exe是正常文件改了名字，多加了一個1，你也可以自己修改，不過要手動修改這4個注冊表，並導出，這個批處理才能正常使用。

方案2

1、首先在系統system32下復制個無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執行的文件！也就是開機啟動userinit.exe的替代品！而原來的userinit.exe保留！其實多復制份的目的只是為了多重保險！可能對防止以後變種起到一定的作用。

2、創建個文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊表鍵值保持一致即可），內容如下：

start FUCKIGM.exe (呵呵，夠簡單吧？)

3、修改注冊表鍵值，將userinit.exe改為userinit.bat。內容如下：　

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MacHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

"Userinit"="C:WINDOWSsystem32userinit.bat,"

就這3步，讓這條狗再也凶不起來！這是在Windows 2003測試的，雙擊機器狗後，沒什麼反應，對比批處理也是正常，即這狗根本沒改動它！開關機游戲均無異常！但唯一美中不足的是，采用經典模式開機的啟動時會出現個一閃而過的黑框！

如果嫌麻煩，也不要緊。上面三條批處理網友已搞好了，直接復制下面的這個存為批處理執行就OK了。三步合二為一

@echo off

:::直接復制系統system32下的無毒userinit.exe為FUCKIGM.exe

cd /d %SystemRoot%system32

copy /y userinit.exe FUCKIGM.exe >nul

:::創建userinit.bat

echo @echo off >>userinit.bat

echo start FUCKIGM.exe >>userinit.bat

:::注冊表操作

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul

:::刪掉自身（提倡環保）

del /f /q %0

當然，如果實在不行，下載程序killigm。然後直接解壓運行裡面的程序:機器狗免疫補丁.bat 執行就可以了.

網上流傳的另一種新的變種的防止方法 :

開始菜單運行.輸入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...

可防止最新變種。請注意：此法只能是防止，對於殺機器狗還得靠最新的殺毒程序才行。

臨時解決辦法：

一是在路由上封IP：

ROS腳本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.8s7.net action=reject comment="DF6.0"

add chain=forward content=www.tomwg.com action=reject

二是在c:Windowssystem32drivers下建立免疫文件： pcihdd.sys ，

三是把他要修改的文件在做母盤的時候，就加殼並替換。

在%systemroot%system32drivers目錄下 建立個 明字 為 pcihdd.sys 的文件夾 設置屬性為 任何人禁止批處理

md %systemroot%system32driverspcihdd.sys

cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n

cacls %systemroot%system32userinit.exe /e /p everyone:r

exit

方案2

1、首先在系統system32下復制個無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執行的文件！也就是開機啟動userinit.exe的替代品！而原來的userinit.exe保留！其實多復制份的目的只是為了多重保險！可能對防止以後變種起到一定的作用。

2、創建個文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊表鍵值保持一致即可），內容如下：

start FUCKIGM.exe (呵呵，夠簡單吧？)

3、修改注冊表鍵值，將userinit.exe改為userinit.bat。內容如下：　

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MacHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

"Userinit"="C:WINDOWSsystem32userinit.bat,"

就這3步，讓這條狗再也凶不起來！這是在Windows 2003測試的，雙擊機器狗後，沒什麼反應，對比批處理也是正常，即這狗根本沒改動它！開關機游戲均無異常！但唯一美中不足的是，采用經典模式開機的啟動時會出現個一閃而過的黑框！

如果嫌麻煩，也不要緊。上面三條批處理網友已搞好了，直接復制下面的這個存為批處理執行就OK了。三步合二為一

@echo off

:::直接復制系統system32下的無毒userinit.exe為FUCKIGM.exe

cd /d %SystemRoot%system32

copy /y userinit.exe FUCKIGM.exe >nul

:::創建userinit.bat

echo @echo off >>userinit.bat

echo start FUCKIGM.exe >>userinit.bat

:::注冊表操作

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul

:::刪掉自身（提倡環保）

del /f /q %0

當然，如果實在不行，下載程序killigm。然後直接解壓運行裡面的程序:機器狗免疫補丁.bat 執行就可以了.

網上流傳的另一種新的變種的防止方法 :

開始菜單運行.輸入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...

可防止最新變種。請注意：此法只能是防止，對於殺機器狗還得靠最新的殺毒程序才行。

方案2

1、首先在系統system32下復制個無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執行的文件！也就是開機啟動userinit.exe的替代品！而原來的userinit.exe保留！其實多復制份的目的只是為了多重保險！可能對防止以後變種起到一定的作用。

2、創建個文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊表鍵值保持一致即可），內容如下：

start FUCKIGM.exe (呵呵，夠簡單吧？)

3、修改注冊表鍵值，將userinit.exe改為userinit.bat。內容如下：　

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MacHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

"Userinit"="C:WINDOWSsystem32userinit.bat,"

就這3步，讓這條狗再也凶不起來！這是在Windows 2003測試的，雙擊機器狗後，沒什麼反應，對比批處理也是正常，即這狗根本沒改動它！開關機游戲均無異常！但唯一美中不足的是，采用經典模式開機的啟動時會出現個一閃而過的黑框！

如果嫌麻煩，也不要緊。上面三條批處理網友已搞好了，直接復制下面的這個存為批處理執行就OK了。三步合二為一

@echo off

:::直接復制系統system32下的無毒userinit.exe為FUCKIGM.exe