论坛: 病毒专区 标题: 熊猫烧香-二带从出江湖机器狗病毒(本网吧已解决) 复制本贴地址    
作者: hifashion [hifashion]    论坛用户   登录
网吧已中招... 此类病毒仅次于熊猫烧香 --机器狗病毒 userinit.exe病毒穿透还原 注意高威病毒IGM 此病毒非常厉害  成功穿透还原 迅闪虚拟还原3.1也不幸免~网维大师  **等。。。 我们网吧已经中彪~!在此提醒大家img病毒已经泛滥 ~!  近日发现西安大型网吧现已停业IGM.EXE病毒大范围传播,很多网吧深受其害;大家务必引起重视 如果局域网内一有台中该病毒的话(如网游服务器);整个局域网就会受到影响;中毒迹象为:隔一段时间 掉线,游戏账号被盗,IP冲突,连网才会生成文件,进安全模式,断网开机都不会有    该病毒利用MAC地址欺骗进行局域网传播。木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞, 用户会感觉上网速度越来越慢,掉线;甚至无法上网,同时造成整个局域网的不稳定。 因本网吧中毒较浅。。数天观察以后。。对与次类病毒暂时已找到解决办法。。经测试已成功  从根本上杜绝网络扩 散,其病毒的发生。。 终极免疫已做好。。请在我网盘下载。。。 http://user.qzone.qq.com/13024994/blog/1193399887(内附)  具体做法。。。截压pcihdd.rar。。将此文件复制在C:\WINDOWS\system32\drivers →工具文件夹选项→查看→使用简单文 件共享(去调对号)应用→找出此文件→属性(删除所有权限) 另一个文件为病毒样本  你可以做个测试(测试前,一定把保护工作做好,出事,与我无关)
温馨提示:ARP终极免疫(提供下在)



地主 发表时间: 07-10-28 00:26

回复: 流浪猫猫 [rovecat]   版主   登录
这个病毒我也碰到过,最快的办法,重装了。

B1层 发表时间: 07-10-29 18:36

回复: 空杯笨笨 [windowsxxx]   论坛用户   登录
装个防ARP防火就行了,把MAC邦定.

B2层 发表时间: 07-11-09 13:41

回复: silence [yanglong]   论坛用户   登录
楼上的。局网内那么多机子,你有心情一台台重做。

B3层 发表时间: 07-12-30 10:55

回复: 流浪猫猫 [rovecat]   版主   登录
网吧就没有母盘??

B4层 发表时间: 08-01-07 17:50

回复: brid [cdy520]   论坛用户   登录
机器狗确实很麻烦.我在网吧试了下,他们停了2天,<别骂我>
听他们网吧说最好的办法是重做比较好

B5层 发表时间: 08-01-09 22:47

回复: 梦幻绝恋 [ww5234603]   论坛用户   登录
【故障现象】

  机器狗病毒为一个木马下载器,病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡,可通过以下几方面查看是否已中毒.:

  1、激发病毒后会在SYSTEM32下修改userinit.exe ,可通过查看版本信息看出,该文件在系统目录的 system32 文件夹中,点击右键查看属性,如果在属性窗口中看不到该文件的版本标签的话,说明已经中了机器狗,如果有版本标签则正常。

  2、查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都会真实保存.

  【运行原理】

  机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。

  【HiPER上的快速查找】

  从HiPER的上网监控中可以看到有内网主机和以下的IP地址发生联接:

  58.221.254.103

  218.30.64.194

  60.190.118.211

  60.191.124.236

  【PC上的解决办法】

  对于已中毒的用户,建议将病毒主机断网杀毒、恢复系统镜像或重做系统

  【HiPER上的解决办法】

  艾泰路由器可以在艾泰设备的“高级配置”-“业务管理”中,使用URL禁止“tomwg.com” “ 8s7.net”, 然后使用IP过滤封掉如下IP:

  58.221.254.103

  218.30.64.194

  60.190.118.211

  60.191.124.236

  1) WebUI 高级配置 组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有 IP地址(192.168.0.1--192.168.0.254)。

  注意:这里用户局域网段为 192.168.0.0/24,用户应该根据实际使用的 IP地址段进行组 IP地址段指定。  



  2)WebUI 高级配置 业务管理 业务策略配置,建立url过滤策略“f_1”(可以自定义名称),屏蔽目的地址为tomwg.com的域名,按照下图进行配置,保存。  



  3)WebUI 高级配置 业务管理 业务策略列表中,可以查看到上一步建立的“f_1”的策略(“dns”、“dhcp”为系统自动生成的允许 dns 和 dhcp 数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许” 。  



  4)在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止” 编辑为“ 允许”,保存。  



 5)重复步骤 2),将其他病毒链接URL和IP 等关闭。  

  

  



  6)WebUI 高级配置-业务管理-全局配置中,取消“允许其他用户”的选中,选中“启用业务管理” ,保存。  



  3、 注意:

  1) 配置之前不能有命令生成的业务管理策略存在,否则可能导致 Web 界面生成的业务管理策略工作异常或者不生效。

  2) 如果,已经有工作组存在,并且在业务管理中配置了策略,必须在 WebUI 高级配置-组管理中,将该网段所有用户分配在相关的组中,然后在 WebUI-高级配置-业务管理中将每个组的外网相关病毒链接url或IP地址设为禁止访问。



[此贴被 梦幻绝恋(ww5234603) 在 01月10日18时12分 编辑过]

B6层 发表时间: 08-01-10 18:09

回复: 心吠 [aesqw123]   论坛用户   登录
偶也碰到过,系统重装,也挺快的

B7层 发表时间: 08-03-01 15:35

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号