有客戶報(bào)稱中毒了。由于電腦安裝了海爾的一鍵還原，點(diǎn)F9還原系統(tǒng)?？墒沁B上網(wǎng)線，卡巴斯基還是一個(gè)勁的蹦發(fā)現(xiàn)病毒。難道是還原無(wú)效了？我在桌面建了幾個(gè)文件夾，重啟電腦，還原測(cè)試正常。

       查看卡巴斯基殺毒記錄，有一個(gè)Userinit.exe 的文件被殺，上百度百科搜索一下Userinit.exe，提示Userinit.exe是Windows操作系統(tǒng)一個(gè)關(guān)鍵進(jìn)程。用于管理不同的啟動(dòng)順序，例如在建立網(wǎng)絡(luò)鏈接和Windows殼的啟動(dòng)。然后以Userinit.exe病毒在百度進(jìn)行一下網(wǎng)頁(yè)搜索，老天有不少網(wǎng)友中毒了...
        經(jīng)過(guò)連續(xù)不斷的搜索，發(fā)現(xiàn)“機(jī)器狗”病毒采用hook系統(tǒng)的磁盤設(shè)備棧來(lái)達(dá)到穿透目的的，危害極大，可穿透目前技術(shù)條件下的任何軟件硬件還原！基本無(wú)法靠還原抵擋。目前已知的所有還原產(chǎn)品，都無(wú)法防止這種病毒的穿透感染和傳播。機(jī)器狗是一個(gè)木馬下載器，感染后會(huì)自動(dòng)從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶帳號(hào)的安全。
       機(jī)器狗運(yùn)行后會(huì)釋放一個(gè)名為PCIHDD.SYS的驅(qū)動(dòng)文件，與原系統(tǒng)中還原軟件驅(qū)動(dòng)進(jìn)行硬盤控制權(quán)的爭(zhēng)奪，并通過(guò)替換userinit.exe文件，實(shí)現(xiàn)開(kāi)機(jī)啟動(dòng)。

      “機(jī)器狗”病毒由于采用了更為先進(jìn)的傳播方式，其威脅甚至超越了去年的“熊貓燒香”。該病毒會(huì)首先通過(guò)網(wǎng)頁(yè)木馬或U盤傳播方式入侵到電腦中，然后在局域網(wǎng)中通過(guò)ARP欺騙等方式進(jìn)一步的傳播。
#p#副標(biāo)題#e#
可以采取以下安全策略來(lái)加固自己的網(wǎng)絡(luò)：
    1、由于機(jī)器狗病毒是借助于ARP欺騙的方式在局域網(wǎng)中傳播，因此做好ARP欺騙的防范工作十分必要。建議有條件的網(wǎng)吧和企業(yè)，采用雙向綁定策略，在交換機(jī)或路由器上綁定好全網(wǎng)的IP-MAC地址，在客戶端綁定好網(wǎng)關(guān)的IP-MAC。這樣即便是局域網(wǎng)中某臺(tái)電腦感染了ARP病毒，該電腦也不會(huì)干擾全網(wǎng)的運(yùn)行。雙向綁定策略是抵御ARP病毒的好辦法。
    如果不具備雙向綁定的條件，可以采用劃分VLAN 的方法，來(lái)隔離網(wǎng)絡(luò)的不同區(qū)域，這樣可以把ARP病毒的危害降低到最小。

    2、更新好系統(tǒng)漏洞補(bǔ)丁，尤其是網(wǎng)頁(yè)木馬常用漏洞：MS06-014和MS07-017。目前根據(jù)江民科技反病毒中心惡意網(wǎng)址跟蹤結(jié)果來(lái)看，發(fā)現(xiàn)絕大部分的網(wǎng)頁(yè)木馬都是利用以上兩個(gè)系統(tǒng)漏洞入侵到計(jì)算機(jī)中的，因此打好補(bǔ)丁十分關(guān)鍵。
MS06-014 中文版系統(tǒng)補(bǔ)丁下載地址：
http://www.microsoft.com/china/t ... letin/MS06-014.mspx
MS06-014 英文版系統(tǒng)補(bǔ)丁下載地址：
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系統(tǒng)補(bǔ)丁下載地址：
http://www.microsoft.com/china/t ... letin/MS07-017.mspx
MS07-017 英文版系統(tǒng)補(bǔ)丁下載地址：
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

    3、注意應(yīng)用軟件版本的及時(shí)更新。“機(jī)器狗”病毒除了利用以上兩個(gè)系統(tǒng)漏洞通過(guò)網(wǎng)頁(yè)木馬的方式入侵到電腦中，還利用時(shí)下最為流行的應(yīng)用軟件漏洞進(jìn)行掛馬傳播，例如一些聊天工具漏洞、播放器軟件漏洞、網(wǎng)絡(luò)電視軟件漏洞、游戲軟件漏洞、甚至是一些常用的下載工具的漏洞都會(huì)成為病毒的傳播途徑。由于應(yīng)用軟件的用戶群體更為廣泛，這也就成了病毒作者傳播病毒的又一“利器”。因此要注意軟件的版本，一定要使用從官方網(wǎng)站下載的最新版本的軟件，這點(diǎn)十分重要，不要使用老版本，因?yàn)槔习姹具€有很多漏洞。

    4、禁用Windows系統(tǒng)的自動(dòng)播放功能。這一點(diǎn)對(duì)個(gè)人用戶來(lái)說(shuō)同樣重要，由于“機(jī)器狗”病毒還會(huì)利用U盤傳播，因此如果U盤中含有此病毒時(shí)，如果直接雙擊打開(kāi)U盤，就會(huì)激活病毒，從而感染進(jìn)電腦中。建議用戶通過(guò)組策略的方式禁用U盤的自動(dòng)播放功能。
    關(guān)閉自動(dòng)播放功能方法如下：在“開(kāi)始”菜單的“運(yùn)行”框中運(yùn)行“gpedit. msc”命令，在“組策略”找到“計(jì)算機(jī)配置”和“用戶配置”下的“管理模板”功能，打開(kāi)其中的“系統(tǒng)”菜單中的“關(guān)閉自動(dòng)播放”的設(shè)置，在其屬性里面選擇“已啟用”，接著選擇“所有驅(qū)動(dòng)器”，最后確定保存即可。江民殺毒軟件“移動(dòng)存儲(chǔ)接入殺毒”能杜絕病毒利用移動(dòng)設(shè)備（如：U盤、移動(dòng)硬盤等）入侵用戶計(jì)算機(jī)，保護(hù)計(jì)算機(jī)系統(tǒng)安全。

    5、及時(shí)升級(jí)殺毒軟件病毒庫(kù)，上網(wǎng)時(shí)確保打開(kāi)“網(wǎng)頁(yè)監(jiān)控”、“郵件監(jiān)控”功能。
    建議企業(yè)級(jí)用戶和網(wǎng)吧部署網(wǎng)絡(luò)版殺毒軟件，網(wǎng)絡(luò)版具有全網(wǎng)統(tǒng)一升級(jí)，統(tǒng)一殺毒功能，可以快速?gòu)氐浊宄W(wǎng)絡(luò)中的ARP病毒和“機(jī)器狗”病毒及其變種。

百度百科 機(jī)器狗病毒詞條 地址http://bk.baidu.com/view/1157687.htm

江民機(jī)器狗病毒免疫程序下載： http://www.jiangmin.com/download/machinedogpatch.exe