|
 | 作者: hifashion [hifashion]
 论坛用户 |
登录 |
| 网吧已中招... 此类病毒仅次于熊猫烧香 --机器狗病毒 userinit.exe病毒穿透还原 注意高威病毒IGM 此病毒非常厉害 成功穿透还原 迅闪虚拟还原3.1也不幸免~网维大师 **等。。。 我们网吧已经中彪~!在此提醒大家img病毒已经泛滥 ~! 近日发现西安大型网吧现已停业IGM.EXE病毒大范围传播,很多网吧深受其害;大家务必引起重视 如果局域网内一有台中该病毒的话(如网游服务器);整个局域网就会受到影响;中毒迹象为:隔一段时间 掉线,游戏账号被盗,IP冲突,连网才会生成文件,进安全模式,断网开机都不会有 该病毒利用MAC地址欺骗进行局域网传播。木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞, 用户会感觉上网速度越来越慢,掉线;甚至无法上网,同时造成整个局域网的不稳定。 因本网吧中毒较浅。。数天观察以后。。对与次类病毒暂时已找到解决办法。。经测试已成功 从根本上杜绝网络扩 散,其病毒的发生。。 终极免疫已做好。。请在我网盘下载。。。 http://user.qzone.qq.com/13024994/blog/1193399887(内附) 具体做法。。。截压pcihdd.rar。。将此文件复制在C:\WINDOWS\system32\drivers →工具文件夹选项→查看→使用简单文 件共享(去调对号)应用→找出此文件→属性(删除所有权限) 另一个文件为病毒样本 你可以做个测试(测试前,一定把保护工作做好,出事,与我无关) 温馨提示:ARP终极免疫(提供下在) |
| 地主 发表时间: 07-10-28 00:26 |
 | 回复: rovecat [rovecat]  版主 |
登录 |
|
这个病毒我也碰到过,最快的办法,重装了。 |
| B1层 发表时间: 07-10-29 18:36 |
 | 回复: windowsxxx [windowsxxx]  论坛用户 |
登录 |
|
装个防ARP防火就行了,把MAC邦定. |
| B2层 发表时间: 07-11-09 13:41 |
 | 回复: silence [yanglong] 论坛用户 |
登录 |
|
楼上的。局网内那么多机子,你有心情一台台重做。 |
| B3层 发表时间: 07-12-30 10:55 |
| 回复: rovecat [rovecat] 版主 |
登录 |
|
网吧就没有母盘?? |
| B4层 发表时间: 08-01-07 17:50 |
 | 回复: brid [cdy520]  论坛用户 |
登录 |
|
机器狗确实很麻烦.我在网吧试了下,他们停了2天,<别骂我> 听他们网吧说最好的办法是重做比较好 |
| B5层 发表时间: 08-01-09 22:47 |
 | 回复: ww5234603 [ww5234603] 论坛用户 |
登录 |
|
【故障现象】 机器狗病毒为一个木马下载器,病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡,可通过以下几方面查看是否已中毒.: 1、激发病毒后会在SYSTEM32下修改userinit.exe ,可通过查看版本信息看出,该文件在系统目录的 system32 文件夹中,点击右键查看属性,如果在属性窗口中看不到该文件的版本标签的话,说明已经中了机器狗,如果有版本标签则正常。 2、查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都会真实保存. 【运行原理】 机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。 【HiPER上的快速查找】 从HiPER的上网监控中可以看到有内网主机和以下的IP地址发生联接: 58.221.254.103 218.30.64.194 60.190.118.211 60.191.124.236 【PC上的解决办法】 对于已中毒的用户,建议将病毒主机断网杀毒、恢复系统镜像或重做系统 【HiPER上的解决办法】 艾泰路由器可以在艾泰设备的“高级配置”-“业务管理”中,使用URL禁止“tomwg.com” “ 8s7.net”, 然后使用IP过滤封掉如下IP: 58.221.254.103 218.30.64.194 60.190.118.211 60.191.124.236 1) WebUI 高级配置 组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有 IP地址(192.168.0.1--192.168.0.254)。 注意:这里用户局域网段为 192.168.0.0/24,用户应该根据实际使用的 IP地址段进行组 IP地址段指定。 2)WebUI 高级配置 业务管理 业务策略配置,建立url过滤策略“f_1”(可以自定义名称),屏蔽目的地址为tomwg.com的域名,按照下图进行配置,保存。 3)WebUI 高级配置 业务管理 业务策略列表中,可以查看到上一步建立的“f_1”的策略(“dns”、“dhcp”为系统自动生成的允许 dns 和 dhcp 数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许” 。 4)在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止” 编辑为“ 允许”,保存。 5)重复步骤 2),将其他病毒链接URL和IP 等关闭。 6)WebUI 高级配置-业务管理-全局配置中,取消“允许其他用户”的选中,选中“启用业务管理” ,保存。 3、 注意: 1) 配置之前不能有命令生成的业务管理策略存在,否则可能导致 Web 界面生成的业务管理策略工作异常或者不生效。 2) 如果,已经有工作组存在,并且在业务管理中配置了策略,必须在 WebUI 高级配置-组管理中,将该网段所有用户分配在相关的组中,然后在 WebUI-高级配置-业务管理中将每个组的外网相关病毒链接url或IP地址设为禁止访问。 [此贴被 梦幻绝恋(ww5234603) 在 01月10日18时12分 编辑过] |
| B6层 发表时间: 08-01-10 18:09 |
| 回复: aesqw123 [aesqw123] 论坛用户 |
登录 |
|
偶也碰到过,系统重装,也挺快的 |
| B7层 发表时间: 08-03-01 15:35 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 熊猫烧香-二带从出江湖机器狗病毒(本网吧已解决)