中了第3代机器狗变种，高手来帮助下。！

机器狗,变种~

机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。
还是先弄个专杀机器狗的软件，然后在启动电脑时按F8，在安全模式下运行机器狗专杀工具！
超级巡警之机器狗病毒专杀v1.3下载地址：
http://download.pchome.net/utility/antivirus/trojan/detail-81071.html
http://update4.dswlab.com/RodogKiller1.3.zip

这不是的，只要你的电脑不卡就不是病毒，如果你的电脑开机开不了的，反应慢的，还有东东强行关闭啊，开机死机的，那有可能是“大草虫病毒“，好厉害的......

问题描述：新变种机器狗（AtiSrv.exe）病毒的现象及手动处理方法
解决方案：
【以下操作需谨慎，请完整阅读并仔细按照说明进行操作，误操作可能导致系统异常。在操作前，建议您先备份重要数据及注册表。】

新变种机器狗（AtiSrv.exe）行为解析：
本周（2008年3月1日）一款融合机器狗、auto木马群、磁碟机特点的病毒大范围爆发。其主文件名为：AtiSrv.exe
该病毒会迫使杀毒软件失效，安全模式加载、下载大量盗号木马、劫持浏览器、写入rootkits驱动进行自保护....
该病毒简单特征分析：
释放自身到启动文件夹随机加载：
%ALLUSERSPROFILE%\「开始」菜单\程序\启动\AtiSrv.exe 如图所示：

写入执行挂钩：
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
ffHADHAD1042.dll
HKCR\CLSID\{1133c611-c3b1-4626-bd63-6605ea0d3486}
c:\windows\system32\ffhadhad1042.dll
Microsoft
HKCR\CLSID\{45AADFAA-DD36-42AB-83AD-0521BBF58C24}
c:\windows\system32\zjydcx.dll
Microsoft
HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}
c:\windows\system32\zgxfdx.dll
Microsoft
HKCR\CLSID\{1DB3C525-5271-46F7-887A-D4E1ADAA7632}
c:\windows\system32\hfrdzx.dll
fJACJAC1041.dll
HKCR\CLSID\{6b22d384-97ba-4c43-81ab-a6bb24e9d831}
c:\windows\system32\fjacjac1041.dll
fNNBNNB1032.dll
HKCR\CLSID\{a6f28a4f-afc8-430e-9093-25083eb3aa77}
c:\windows\system32\fnnbnnb1032.dll
fSACSAC1016.dll
HKCR\CLSID\{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}
c:\windows\system32\fsacsac1016.dll
winsys8v.sys
HKCR\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}
c:\program files\internet explorer\plugins\winsys8v.sys（该文件会同时写入BHO加载）

写入Appinit_dlls由于写入过多dll信息导致sreng无法检测到该项目。数据如下：
bauhgnem.dll,eohsom.dll,fyom.dll,sauhad.dll,ijougiemnaw.dll,taijoad.dll,lnaixnauhqq.dll,idtj.dll,vhqq.dll,atgnehz.dll,rsqq.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll,jz.dll,bz.dll,pyomielnux.dll,mhtd.dll,qnefnaib.dll,ej.dll,uixauh.dll,hjiq.dll,kiluw.dll,dsfg.dll,yqhs.dll,oaijihzeuyouhz.dll,jemnaw.dll,cuhad.dll,laixuhz.dll,rfhx.dll,mnauygniqaixnaij.dll,oqnauhc.dll,xjxr.dll,utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll,htwx.dll,knaixnauhuoyizqq.dll,duygnef.dll,gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll,bchib.dll,tzm.dll,r2.dll,slcs.dll,xptyj.dll,xhtd.dll,QQ.dll,sfhx.dll,gnaixnauhqq.dll,3auhad.dll,oadnew.dll,iemnaw.dll,qcsct.dll,oadgnohiac.dll,iqnauhc.dll,aixauh.dll,ddtj.dll,nuygnef.dll,uohsom.dll,gnefnaib.dll,ijiq.dll,hjxr.dll,naijoad.dll,naixuhz.dll,nahzij.dll,fmxh.dll,zqhs.dll,jsfg.dll,utgnehz.dll,uyom.dll,wtiemnaw.dll,uyomielnux.dll,vlihzouhgnfe.dll,2ty.dll,nauhgnem.dll,auhad.dll,rj.dll,hz.dll,naijihzeuyouhz.dll,xhqq.dll,jmx.dll,dgzg.dll,gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll,gnolnait.dll,jsqc.dll,dqncj.dll,eve.dll,2nauygniqaixnaij.dll,niluw.dll,ijougiemnaw.dll,wtwx.dll,jghf.dll,msd.dll,asj.dll,her.dll,awf.dll,

目的是为了安全模式也能加载，导致用户修复安全模式无效。如图所示：

后台联网下载木马程序：
1=http://iii.u***u.com/wm/1.exe
2=http://iii.u***u.com/wm/2.exe
3=http://iii.u***u.com/wm/3.exe
4=http://iii.u***u.com/wm/4.exe
5=http://iii.u***u.com/wm/5.exe
6=http://iii.u***u.com/wm/6.exe
7=http://iii.u***u.com/wm/7.exe
8=http://iii.u***u.com/wm/8.exe
9=http://iii.u***u.com/wm/9.exe
10=http://iii.u***u.com/wm/10.exe
11=http://iii.u***u.com/wm/11.exe
12=http://iii.u***u.com/wm/12.exe
13=http://iii.u***u.com/wm/13.exe
14=http://iii.u***u.com/wm/14.exe
15=http://iii.u***u.com/wm/15.exe
16=http://iii.u***u.com/wm/16.exe
17=http://iii.u***u.com/wm/17.exe
18=http://iii.u***u.com/wm/18.exe
19=http://iii.u***u.com/wm/19.exe
20=http://iii.u***u.com/wm/20.exe
21=http://iii.u***u.com/wm/21.exe
22=http://iii.u***u.com/wm/22.exe
23=http://iii.u***u.com/wm/23.exe
24=http://iii.u***u.com/wm/24.exe
25=http://iii.u***u.com/wm/25.exe
26=http://iii.u***u.com/wm/26.exe
27=http://iii.u***u.com/wm/27.exe
28=http://iii.u***u.com/wm/28.exe

与auto木马群勾结，写入盗号木马：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mhuslmqi><C:\WINDOWS\hsmijpow.exe>
<C:\WINDOWS\AVPSrv.exE>
<C:\WINDOWS\upxdnd.exe>
<Kvsc3><C:\WINDOWS\Kvsc3.exE>
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>
<SHAProc><C:\WINDOWS\SHAProc.exe>等

加载rootkits驱动进行自我保护：
[iCafe Manager / iCafe Manager][Stopped/Manual Start]
<\??\C:\DOCUME~1\papa\LOCALS~1\Temp\usbhcid.sys>
[Sc Manager / Sc Manager][Running/Manual Start]
<\??\C:\DOCUME~1\papa\LOCALS~1\Temp\usbcams3.sys>
[dohs / dohs][Stopped/Auto Start]
<\??\C:\DOCUME~1\papa\LOCALS~1\Temp\tmp3.tmp>
[fpids32 / fpids32][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys>
[msertk / msertk][Running/Auto Start]
<system32\drivers\msyecp.sys>
[msert / msert][Running/Auto Start]
<system32\drivers\mselk.sys>

写入ntsd劫持与破坏安全模式，导致杀软失效，如图所示：

病毒的处理方法：
该病毒融合了目前多种流行病毒木马技术，破坏杀毒程序导致普通用户很难进行清理操作。建议对该病毒以注意日常防范为主，保持毒霸病毒库更新以及良好健康的上网习惯。
对于已经感染病毒的用户可以尝试在正常模式运行使用附件中的脚本Del_AtiSrv.bat后重启进入安全模式。
进入安全模式后运行附件中的Clean_IFEO.bat清除映像劫持
注：Del_AtiSrv.ba和Clean_IFEO.bat的下载地址：http://bbs.duba.net/thread-21891198-1-1.html

然后运行金山清理专家清理恶意软件即可。如图所示：

参考资料:金山毒霸克服专区http://kefu.xoyo.com/index.php?game=duba&type=info&id=139160

下个360 在360里边下个卡巴7.0带F火或者你去官网下一个，免费一个月。重起后，要两个一起查，速度点，把360更新好，拔掉网线哦，杀完重起就OK了。。。。如果不放心可以在杀一遍看看有残余没，```````````呵呵，有亲身经历的，病毒很顽固战斗1个多小时 哈哈````````````````````````说重装那是P话``虽然可以克制住一时，但是回来他还会爆发的````
时间不时间的无所谓，没病毒什么都可以改回来，如果杀毒软件突然过期，不用去管它，病毒没了就会自己变回来````OK

这个机器狗害人不浅啊 `````

360安全中心提示用户，如果存在上述“中招”现象，请立即使用360顽固木马专杀大全或者360机器狗木马专杀进行查杀

下载专杀工具,然后进入安全模式查杀. http://www.duba.net/zhuansha/259.shtml

用360上的工具啊.有专杀机器狗的

---

乾县13649288266： 高手解招:中了机器狗三代病毒怎么杀!!？
蹉祥喘络： 建议去太平洋电脑网下载 RogueCleaner (恶意软件清理助手)和 ArSwp (Windows清理助手)肯定能杀到不少木马和恶意软件!!!最方便的是不用安装,直接就可以用~永久免费使用,还可以升级~方便了吧!两个一起用效果会更好!~!..

乾县13649288266： 电脑中了机器狗三代``用360专杀工具杀都杀不掉``有什么办法么?？
蹉祥喘络：机器狗的生前身后,曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本.这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起...

乾县13649288266： 中木马 C:\WINDOWS\svchost.exe 怎么清除 - ？
蹉祥喘络： 此病毒是机器狗三代变种,我的电脑前两天也不幸中标,折腾了两天昨天下午才搞定,这个变种一般表现是(我的本子): 1. 卡巴斯基、360安全卫士以及任务管理器开机后无法正常启动. 2. 断开外网用五六种木马清除工具在安全模式下查杀...

乾县13649288266： 机器狗三代最新变种 怎么杀啊 燥死了~~？
蹉祥喘络： 下载一个最新的Windows清理助手,再下载一个系统管理的SREng,配合 360,不需要进入安全模式,首先用浏览器的属性中,选择空白首页,不要打开浏览器,然后用360清楚恶意插件,然后继续用Windows清理助手清理可删除的东西,然后再打开那个SREng,选择系统修复,修复一下,最后再打开浏览器插件,你会看到在BHO目录里有一个没有名称的插件,删除之.关机重启我qq 250124141 可线上指导

乾县13649288266： 我中了机器狗变种木马病毒怎么查杀？
蹉祥喘络：这个病毒又是一个被瑞* 金* 吹嘘的病毒 其实只是能穿透 还原软件 网吧最害怕的 其实很简单 我手工都可以干掉 升级杀软 进行全盘扫描把 字体的问题 工具--Internet选项--下边有个字体 那里设置一下 看行不行~

乾县13649288266： 机器狗病毒要怎么杀? - ？
蹉祥喘络： 机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动. 通过对病毒样本进行分析,研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员...

乾县13649288266： 为什么我的电脑什么也没有做 就中了好多网络游戏盗号之类的木马呢??麻烦各位高手帮帮忙啊 谢谢啦？
蹉祥喘络： 中了机器狗后很多杀软也会失效.最直接的就是瑞星 卡巴斯基互联网安全套装7.0+360安全卫士组合+360顽固木马专杀大全.用顽固木马大全开个免疫修复后再从安全模式查杀吧

乾县13649288266： 电脑上中了机器狗病毒怎么杀掉? - ？
蹉祥喘络： 【希望贵机早日恢复正常】------------------------------------------------------------------------------ 可能被病毒关闭或者破坏了了,一般重装即可,如果不行说明有病毒搞鬼.------------------------------------------------------------------------------<新>机器狗/磁碟机/AV终结者...

乾县13649288266： 我中了机器狗3代BHO盗号木马aind.杀不掉怎么办?？
蹉祥喘络： 360顽固木马专杀绝对管用的.我今天还试了呢.先进安全模式.杀一次.在运行360.恶意软件检测.

乾县13649288266： 中了机器狗三代BHO盗号木马 关机后无法启动 进不了BOIS 求高手救急!!!BOIS报警一长两短 - ？
蹉祥喘络： 可以进安全模式嘛?开机按F8 如果可以进就安装江民杀毒,全盘杀.