电脑中机器狗怎么办?

日前，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。机器狗病毒是一种危害用户帐号安全的病毒， 那么如何识别是否已中毒呢？机器狗病毒能带来哪些危害呢？用户应该怎样注意防范？如果不小心中了机器狗病毒，该如何清楚呢？

机器狗病毒是什么？

日前，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。

通过对病毒样本进行分析，我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发，并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本，更成熟的版本相信会更具备破坏力。

机器狗病毒的中毒症状是什么？

中毒症状是，打开我的电脑，或者打开IE，在只开一个窗口的情况下，把打开的窗口关闭，桌面进程就会重启。已经有玩家在网上论坛反映，游戏装备因此病毒而在网吧被疯狂盗取。

查看是否中了机器狗的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常。

机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

机器狗病毒的应急处理办法

1、首先在系统system32下复制个无毒的userinit.exe，文件名为FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。

2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：

start FUCKIGM.exe (呵呵，够简单吧？)

3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"

就这3步，让这条狗再也凶不起来！这是在windows 2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它！开关机游戏均无异常！但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框！

如果嫌麻烦，也不要紧。上面三条批处理网友已搞好了，直接复制下面的这个存为批处理执行就OK了。三步合二为一

@echo off

:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe

cd /d %SystemRoot%\system32

copy /y userinit.exe FUCKIGM.exe >nul

:::创建userinit.bat

echo @echo off >>userinit.bat

echo start FUCKIGM.exe >>userinit.bat

:::注册表操作

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul

:::删掉自身（提倡环保）

del /f /q %0

当然，如果实在不行，下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.

网上流传的另一种新的变种的防止方法 :

开始菜单运行.输入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...\

可防止最新变种。请注意：此法只能是防止，对于杀机器狗还得靠最新的杀毒程序才行。