中了机器狗病毒?怎么办呢.?

最近机器狗病毒十分猖狂,不少朋友都中了招,如果你也不幸中招了,那么可以试试以下的方法!!先别被这么长的文字吓到,其实挺简单的!!
机器狗病毒查杀方案及pcibus.sys,pcidisk.sys,wxptdi.sys文件的清除
(一)病毒描述:
该病毒属后门类。病毒运行后衍生病毒文件到%System32%附属目录下。修改注册表添加服务、创建服务以到随机启动的目的;病毒完全运行后删除自身。连接网络下载病毒文件,并执行,通过下载的病毒文件获取用户的敏感信息,该病毒可以通过局域网进行传播。
(二)行为分析:
本地行为:
1、文件运行后会释放以下文件:
  %System32%\com\comrepl32.exe       9,216 字节
%System32%\ drivers\pcibus.sys     90,112 字节
2、新增注册表:
网络行为:
  连接网络获取病毒文件的下载列表
  依据下载列表下载病毒文件
(三)危害说明
在网上找了很多资料,现在简要说明如下:
目前机器狗很流行,其实它本身没什么,要命的是它具有自身不断复制功能,并可在后台下载大量流行的木马程序,还破坏IE浏览器,并把用户的帐号密码等信息发到指定网上或黑客电脑上。因此引发了木马灾难,不少人中招,很多学校或企业甚至出现电脑大面积瘫痪的状况。本人就刚脱离苦海,故特在此发帖,希望给各路中招的网友们带来帮助。
当前由于机器狗太过猖獗,而无迅捷方便的杀毒工具,因此像360安全卫士机器狗专杀工具、超级巡警之机器狗专杀工具等都采用了“填坑法”进行免疫。即在机器病毒要写入系统的地方先放入三个0字节的文件,阻止其写入。由此,就出现了网友反映的下列状况:pcibus.sys,pcidisk.sys,wxptdi.sys怎么也删除不掉。
这三个文件的位置分别为:
C:\WINDOWS\system32\drivers\pcibus.sys,
C:\WINDOWS\system32\drivers\pcidisk.sys,
C:\WINDOWS\system32\wxptdi.sys
虽然目前还不清楚这三个到底是不是木马程?但总是让人觉得有点不爽,那么究竟这些玩意该怎么删除呢?
(四)清除方案:
1.Windows清理助手
方法:先进行快速扫描,再选高级模式进行定制扫描
(设定路径:C:\WINDOWS\system32\,指定文件扩展名:.sys)
结果:成功删除机器狗病毒和pcidisk.sys文件
2.360机器狗专杀工具和恶意软件清理工具RogueCleaner
方法:先在360机器狗专杀工具中关闭免疫,再用恶意软件清理工具重新扫描恶意软件
结果:成功删除剩下的2个pcibus.sys和wxptdi.sys
温馨提示:如果在处理过程中有人不小心点了清除机器狗病毒,结果又中了其他木马,安装了一个恶意插件的话。没关系,用恶意软件清理程序清理一遍后,点击该项目,在显示出的文件夹中找到其位置,发现是在C:\Documents and Settings\Administrator\Local Settings\Temp文件夹中的,那么你手动清理一下临时文件就可删除了
提示:哈哈,总算全部搞定,不过千万别掉以轻信,前面已经提过,它会把帐号等信息发到网上或黑客电脑上,所以还必须继续做后期的清除工作!
3.用瑞星卡卡助手修复IE
结果:成功删除HOSTS文件,避免了信息传输与发布
4.用SR2修复IE
结果:成功修复了文件关联
5.木马克星2008
结果:成功查杀下载的大量木马病毒
温馨提示:如果没有购买造成部分功能受限制的用户该怎么办呢?可把主页设为木马克星主页即可(其实就是用百度搜索页)
6.用瑞星2008(最好在安全模式下)或卡巴(最好卡巴7.0)全盘杀毒
结果:成功清除剩下的病毒
温馨提示:可能杀毒速度有点慢噢~
7.查杀\_restore文件夹里的病毒时提示“需要解压”或“删除失败”时该怎么办?(重新建立干净的系统还原点)
方法:我的电脑,右击鼠标选属性/系统还原,在“在所有系统上关闭系统还原”处打钩,重新启动电脑,这时就可清除位于C:\System Volume Information\_restore{3D854C9F-2FAA-4188-A396-0B6A1CEE7CB5}的病毒文件了;然后在同样的操作,取消“ 在所有系统上关闭系统还原处” 的钩,再重新启动电脑,此时系统会自动重建System Volume Information文件的。
温馨提示:我发现通过此操作还可增加C盘的可用空间哎~呵呵
【相关知识】
系统还原是 Windows Me中的一项功能。该功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows可使用该功能进行还原。Windows Me把还原信息保存在_RESTORE 文件夹中。计算机的每个硬盘驱动器上都会创建一个_RESTORE 文件夹,重新启动计算机将更新这些文件夹。虽然该功能是您所需要使用的,但在某些情况下应当暂时关闭该功能。例如,如果计算机受到病毒感染,则病毒也有可能备份到 _RESTORE 文件夹。默认情况下,Windows 会阻止外来程序对系统还原功能进行修改。因此,您很有可能会不小心恢复受感染的文件,或在线扫描程序会在该位置检测到感染。当禁用了系统还原后重启计算机,_RESTORE 文件夹中的内容会被清除掉。(这将毫无疑问清除掉所有已设定的还原点,而使系统还原功能不能恢复系统以前的状态。当您重新开启系统还原时,系统会开始建立新的还原点。)
8.重装某些牵涉到用户帐号安全或已经受损的程序
例如我重装了QQ

发表评论

电子邮件地址不会被公开。 必填项已用*标注