最近接到越来越多的机器狗变种的反馈，其中大多呈现复合型趋势。本文列举机器狗新变种的复合要点与解决方案。

1.病毒修改替换userinit.exe并通过该文件开机写入ntsd -d数据劫持安全软件，使得sreng、autoruns等检测工具无法检测到病毒劫持。

解决方案：
将对应版本的userinit.exe进行复制替换，如果无法替换的话通常在进程中会存在userinit.exe进程，将其结束后替换即可。

参考：http://bbs.duba.net/thread-21876176-1-1.html

注意：某些网友提供的插入系统安装光盘，命令行下输入sfc /scannow的方法，实质是使用系统的sfc检
测与保护机制修复受损文件，在插入xp安装光盘的前提下即使病毒再度修改也会被sfc迅速修正。 但该方
法的是前提是系统sfc功能被病毒禁用的两处注册表项目需要修复。（很多精简版本的操作系统默认禁用
该系统保护功能）如有相关需要可下载附件中的修复脚本修复系统的文件保护功能。
Fix_SFC.rar (248 Bytes)

Fix_SFC.rar (248 Bytes)
下载次数: 355

2008-2-6 17:48

相关知识参考：http://support.microsoft.com/kb/222473/en-us

2.病毒写入了大量的执行挂钩以及Appinit_dlls,导致在安全模式依然加载病毒文件难以彻底清理。

典型日志如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   
<AppInit_DLLs><utgnehz.dll,nauhgnem.dll,auhad.dll,nuygnef.dll,uohsom.dll,uyom.dll,gnolnait.d
ll,ijiq.dll,ijougiemnaw.dll,iemnaw.dll,niluw.dll,naixuhz.dll,xhtd.dll,oadgnohiac.dll,iqnauhc
.dll,nahzij.dll,gnefnaib.dll,gsqq.dll,3auhad.dll,naijoad.dll,aixauh.dll,xhqq.dll,QQ.dll,hjxr
.dll,zqhs.dll,oadnew.dll,dgzg.dll,hz.dll,2ty.dll,jsfg.dll,rj.dll,fmxh.dll,jmx.dll,wtwx.dll,d
dtj.dll,fz.dll,gnaixnauhuoyizqq.dll,gnaixnauhqq.dll,2nauygniqaixnaij.dll,naijihzeuyouhz.dll,
uyomielnux.dll,vlihzouhgnfe.dll,sfhx.dll,eve.dll,jsqc.dll,wtiemnaw.dll,dqncj.dll>  [N/A]

注意：其中并非所有AppInit_DLLs注册项目下的记录均有真实存在的文件。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{19e83df9-18c4-4fca-8fa4-b70035681dc1}><C:\WINDOWS\system32\IGB_JZ_1028.dll>  []
    <{9a8234b5-a04c-4b0c-ad8c-f4fdb94c9543}><C:\WINDOWS\system32\RAA_RAA_1002.dll>  []
    <{4B23A8E5-CC9C-4A15-81F3-9B902C00AF4B}><C:\Program Files\Internet
Explorer\PLUGINS\NvSys_55.Sys>  []
    <{2f32e793-9263-4aa5-862f-da2480554715}><C:\WINDOWS\system32\JAA-JAA-1032.dll>  []

解决方案：
使用重启删除工具批量删除相关文件，但寻找文件列表的工作量非常大。可以尝试使用附件中的脚本强制清理以及修复执行挂钩和AppInit_DLLs。使用方法：双击脚本后立即切断主机电源，以保证注册项不再被重写。（断电法有操作风险，请谨慎考虑是否使用。）
Fix_AS.rar (223 Bytes)

Fix_AS.rar (223 Bytes)
下载次数: 261

2008-2-6 17:48

3.机器狗病毒后台加载驱动、下载大量盗号木马以及恶意软件并破坏安全模式。

解决方案：
使用附件中的脚本修复安全模式后进入该模式，将升级后的金山清理专家的安装目录拷贝到中毒主机上面运行改名后的kasmain.exe文件，根据清理恶意软软件即可。

Fix_S.rar (252 Bytes)

Fix_S.rar (252 Bytes)
下载次数: 354

2008-2-6 17:48

[ 本帖最后由 papa 于 2008-2-6 17:52 编辑 ]

毒霸不能防御吗？

破狗

这么麻烦

干掉狗狗，害人的东西！！！！

狗真不好！

病毒名是什么样子的，很好奇

需要用新的专杀才可以去掉

打死这坏狗，保护电脑安全。

谢谢

我做网管，让这破狗累傻了!有没有有效的免疫方法？

用360有机器狗专杀

对！臭狗狗！消灭..............

坏狗

SHA A

{tsj21}

坏蛋！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！                                   <

愿天下无狗！！
愿天下无狗！！
愿天下无狗！！
愿天下无狗！！