机器狗病毒一直以来只是在网上听说,还没有真正领教过。昨天下午老板打电话说他们家电脑中毒了,电脑后进系统特别的慢,而且进去之后会弹出来开一个“16位MS-DOS子系统 EXPLORER.EXE内存错误”然后点确定桌面就没有。我一听问题不是很严重。一般用黄山IE修复一下或者用windowns清理助手清一下***然后在copy一个explorer.exe就搞定了。
        当我去了之后,打开电脑发现事情并不是那么简单。所有的杀毒软件、杀马工具根本就打不开,刚开始我想这种小把戏难不住我,改下杀软的名字不久OK了,可是但我改完后匪夷所思的事情也来了一打开就死机。一种不祥的预感浮上心头。估计什么系统文件被替换了。想到这里我不加犹豫的关机然后进入光盘WIN-PE系统,然后通过WINDOWNS清理助手和360清理***病毒,在使用360扫描的时候我发现了一个很抢眼的***名字——机器狗***下载器。OH,MY GOD!以前只是网上听说还真没有实际见过真正的中毒症状。此时有种兴奋(好像做技术的都是不怕死的),一定要冷静、镇定。
      先在网上试着搜一下解决方案(估计有人该说怎么不用360专杀,呵呵用过360的人都知道360能扫毒杀不了毒)。呵呵,奇怪的现象再次出现上网速度很慢,而且凡是杀软的链接全部打不开。此时我真是有点佩服设计和发扬机器狗的兄弟们,做事这么不留余地。网页打不开,这样耗着也不是办法,我就试着把系统盘中的userinit.exe这个文件给替换一下试试,以前好像记得这个是一个系统登陆文件。替换完之后情况稍微有点好转至少可以打开百度了,我赶紧搜索解决方案。同时360安全卫士还一直在弹出一些未知DLL文件在加载到启动项。我一看一律阻止。为了防止USERINIT.EXE文件再次被替换而导致网页打开慢,我把解决方案网页下载到桌面,然后慢慢分析解决方案可行性后来还是通过批处理指定userinit.exe路径。然后使用杀软查杀和机器狗专杀才算解决了这个问题。具体实施方案如下:
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
  2、创建个文件名为userinit.bat的批处理(文件名也可任意取),内容如下:
@echo off
  :::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
  cd /d %SystemRoot%\system32
  copy /y userinit.exe FUCKIGM.exe >nul
  :::创建userinit.bat
  echo @echo off >>userinit.bat
  echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
  del /f /q %0
然后断网,使用机器狗专杀工具查杀,然后使用eset nod32和麦咖啡轮流做收尾查杀。
在下午6:30的时候终于搞定了,长出一口气。查杀机器狗总共话费了4个小时的时间。
作为已经技术人员经常会有这样的思考。我花费了五个小时解决了这个问题。可是我要是把文件备份然后重新安装系统就算是把系统盘重新格式化也用不到这么长时间。到底这个时间花的值吗?