影子系统的危害 我开了为什么还是中毒

如果用户使用了影子系统,原计算机仍可能感染病毒。

影子系统是一款由PowerShadow开发的虚拟操作系统软件。该软件在运行之后,直到重新启动计算机之前,可以保证所有的操作不会在重新启动计算机之后造成影响。用户只要运行该软件,就相当于运行了一个小型虚拟机,可以保证操作不会留下记录。

但是,使用该软件仍可能感染病毒。MBR(磁盘主引导记录)仍可能遭到恶意篡改,导致造成破坏。因此,如果有能力建立虚拟机,不建议使用该软件,以免中毒。

所有的还原系统都不是万能的!有很多病毒都可以穿这些有还原功能的系统的!像熊猫烧香、机器狗等等!因为这些东西都会有一个还原的记录点,找到这个记录点然后改掉他就不能还原这些病毒了,懂了吧!要想不中毒还是靠自己平时的使用习惯,再好的东西也会被打破的!没有万无一失的东西!

您好:

建议您安装瑞星杀毒软件V16版本升级到最新病毒库后,重启计算机按F8键选择安全模式,进行全盘病毒扫描查杀,之后使用瑞星安全助手进行电脑修复,下载地址:http://pc.rising.com.cn/

网吧用的是影子系统还是还原工具?

网吧现阶段并未使用系统还原工具。

1、目前的网吧均使用无盘系统,客户端并没有硬盘,每台电脑的系统都是安装在服务器中的,在开机时,从网络启动电脑,调用预先安装好的镜像来启动电脑。

2、客户端对系统做出的任何修改,都不会被保存到服务器的镜像中,因此也不存在还原的说法。

3、游戏服务器和电影服务器都使用了专业的管理软件,来对电脑进行保护,防护各个容易被攻击的端口,只有被授权的软件,才可以穿透防火墙对电脑进行数据修改如游戏更新等操作,也无需还原措施。

影子系统2008被机器狗穿了 ~

影子也不行了,这病毒是商业竞争搞出来的。都是顶级高手。变种以出现,

我昨天刚中过,我用的也是还原,

没用的,打了补丁也不行, 现在是变种,

我中毒是因为没装杀毒,装杀毒,升级病毒库开主动防预是最好的办法了。

主动出击,防不住就攻

机器狗的生前身后

曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。

工作原理

机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器,最可怕的是,会通过内部网络传播,一台中招,能引发整个网络的电脑全部自动重启。

重点是,一个病毒,如果以hook方式入侵系统,接替硬盘驱动的方式效率太低了,而且毁坏还原的方式这也不是最好的,还有就是这种技术应用范围非常小,只有还原技术厂商范围内有传播,在这方面国际上也只有中国在用,所以,很可能就是行业内杠。

对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现,发稿之日起,各大杀毒软件都以能查杀。

免疫补丁之争

现在的免疫补丁之数是疫苗形式,以无害的样本复制到drivers下,欺骗病毒以为本身以运行,起到阻止危害的目的。这种形式的问题是,有些用户为了自身安全会在机器上运行一些查毒程序(比如QQ医生之类)。这样疫苗就会被误认为是病毒,又要废很多口舌。

解决之道

最新的解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。

最新动向

好像机器狗的开发以停止了,从样本放出到现在也没有新的版本被发现,这到让我们非常担心,因为虽着研究的深入,现在防御的手段都是针对病毒工作原理的,一但机器狗开始更新,稍加改变工作原理就能大面积逃脱普遍的防御手段,看来机器狗的爆发只是在等待,而不是大家可以高枕了。

目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。

机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。

机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。

>> 那么如何识别是否已中毒呢?

是否中了机器狗的关键就在 Userinit.exe 文件,该文件在系统目录的 system32 文件夹中,点击右键查看属性,如果在属性窗口中看不到该文件的版本标签的话,说明已经中了机器狗。如果有版本标签则正常。

建议:

做好系统以后,打全了系统补丁,装好杀毒软件(金山,卡巴,瑞星),同时浏览器最好用maxthon 傲游浏览器,或者Firefox 火狐浏览器,这样上网会安全的多。

金山独霸下载地址:http://hxda.net/Software/Catalog11/29.html

Firefox火狐浏览器下载地址:http://hxda.net/Software/Catalog6/62.html

临时解决办法:

一是在路由上封IP:

ROS脚本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.8s7.net action=reject comment="DF6.0"

add chain=forward content=www.tomwg.comaction=reject

二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys ,

三是把他要修改的文件在做母盘的时候,就加壳并替换。

在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止

批处理

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r

exit

机器狗病毒域名和ip

vip..jqxx.org

mmm..mm5208.com

58..211.79.107

eee..jopenqc.com

www..m85853.com.cn

xx..9365.org

acc..jqxx.org

w..mh8888.cn

boc..sbb20.com

w..73734.cn

s89..cnzz.com

58.221.254.103

60.190.223.30

59.34.198.103

122.224.146.54

58.211.79.107

219.153.42.98

221.130.191.207

60.190.203.150

66.186.35.156

205.209.161.229

74.222.3.149.

212.22.225.82

203.174.87.210

61.233.167.99

58.211.79.98

60.173.11.137

60.173.11.149

60.190.101.206

60.190.222.235

【12月4日微点官方】机器狗下载器 Trojan-Downloader.Win32.EDog.h

病毒名称

Trojan-Downloader.Win32.EDog.h

捕获时间

2007-11-28

病毒症状

该病毒是一个使用汇编语言编写的下载者程序,程序未经过加壳,长度44,544 字节,图标为具有一定诱惑力的电子狗玩具状图标,病毒扩展名为exe,主要通过ARP欺骗方式进行会话劫持大规模传播。

病毒分析

该样本程序被执行后首先在%SystemRoot%\system32\drivers目录下释放驱动文件pcihdd.sys,调用SCM写注册表将该文件注册成为服务名为“PciHdd”的内核驱动服务,通过使用StartServiceA函数启动被注册的内核驱动服务,当驱动被加载到系统内核空间后调用相关API函数将所释放的驱动删除。

当计算机重启后,userinit.exe通过默认注册表启动项在winlogon.exe初始化完毕后加载,创建explorer.exe进程初始化桌面环境后直接读取下载其他的病毒和木马程序。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、下载器下载、ARP欺骗

安全提示

已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效清除该蠕虫程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“可疑程序”,请直接选择删除处理;

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Trojan-Downloader.Win32.EDog.h”,请直接选择删除。

使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件高效清除各类未知病毒和新病毒。

技术细节

该下载器具有两个明显特性,分别为:

2、该下载器会下载多种游戏盗号木马,盗取传奇、魔兽世界、征途、大话西游、QQ等用户帐号信息;不定时更新机器狗下载器,防止被杀毒软件特征码识别并查杀;下载激活ARP病毒造成局域网瘫痪,并使用会话劫持手段封装数据包,造成局域网任意计算机打开网页后被嵌入隐藏iframe语句实现网页木马传播,行为极其恶劣。

下载列表连接网址:

http://1.*******.com/test.cer

被下载木马文件网址:

http://1.***09.com/02.exe :Trojan-PSW.Win32.OnLineGames.yus

http://1.***05.com/3.exe :Trojan-PSW.Win32.WOW.bnj

http://1.***05.com/4.exe :Trojan-PSW.Win32.OnLineGames.ziw

http://1.***05.com/5.exe :Trojan-PSW.Win32.OnLineGames.ziw

http://1.***05.com/6.exe :Trojan-PSW.Win32.OnLineGames.zlp

http://1.***05.com/7.exe :Trojan-PSW.Win32.OnLineGames.zik

http://1.***05.com/8.exe :Trojan-PSW.Win32.OnLineGames.xea

http://1.***05.com/10.exe :Trojan-PSW.Win32.OnLineGames.yjv

http://1.***05.com/11.exe :Trojan-PSW.Win32.QQPass.gxh

http://1.***05.com/12.exe :Trojan-PSW.Win32.QQPass.gxh

http://1.***05.com/13.exe :Trojan-PSW.Win32.Lmir.coc

http://1.***05.com/14.exe :Trojan-PSW.Win32.OnLineGames.yas

http://1.***05.com/15.exe :Trojan-PSW.Win32.OLGames.ln

http://1.***05.com/16.exe :Trojan-PSW.Win32.OnLineGames.zjf

http://1.***05.com/17.exe :Trojan-PSW.Win32.OLGames.hg

http://1.***05.com/18.exe :Trojan-PSW.Win32.OLGames.lo

http://1.***05.com/19.exe :Trojan-PSW.Win32.OnLineGames.zpy

http://1.***05.com/20.exe :Trojan-PSW.Win32.OnLineGames.ynd

http://1.***05.com/21.exe :Trojan-PSW.Win32.OnLineGames.xzs

http://1.***05.com/22.exe :Trojan-PSW.Win32.OLGames.ij

http://1.***08.com/23.exe :Trojan-Downloader.Win32.EDog.j

http://1.***08.com/24.exe :压缩包文件包含:Backdoor.Win32.ARP.d

影子系统怎么彻底删除??急!!

可以在控制面板中的“程序和功能”选项中将影子系统彻底删除,方法如下:

1、打开电脑中的控制面板, 找到“程序和功能”选项:

2、在打开的列表中找到影子系统,如下:

3、然后鼠标左键选中影子系统,再鼠标右键,点击弹出的“卸载”即可将影子系统彻底删除:

影子系统彻底删除的具体步骤如下:

我们需要准备的材料分别是:电脑、

1、首先我们打开电脑,点击打开控制面板中的“程序和功能”。

2、然后我们在弹出来的窗口中找到想要删除的影子系统。

3、然后我们在弹出来的窗口中右键单击影子系统选择“卸载”即可。

经过如下:

第一步:先运行影子自带的卸载,卸载很快,不需要重启;

第二步:进入安全模式,依次执行“开始”--“运行”命令,在弹出的对话框中,输入Regedit命令,打开注册表编辑窗口;

第三步:在注册表编辑器中,执行“编辑”--“查找”,查找目标键入“影子”,并将“项”“值”“数据”全部选上,进行查找,将查找到的项或键值全部删除;

第四步:重复上一步操作,但是查找目标键入“PowerShadow”,同样将查找出的项或键值全部删除;

第五步:在注册表编辑器中,删除删除:HKEY_LOCAL_MACHINE/SYSTEM/CURRENT.controlset/services/snpshot这个键值。

以上几步操作后,基本可以完全卸载删除影子系统,在自己机子上试操作了一次,效果不错,但是在《慎用影子系统(转贴)+卸载影子系统经验》一文中,作者最后说“有人问那咋卸载呢.有这么几种方式.

其中能彻底卸载影子的是低格和换硬盘….

低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.

除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……

其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.

对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.”

经过如下:

第一步:先运行影子自带的卸载,卸载很快,不需要重启;

第二步:进入安全模式,依次执行“开始”--“运行”命令,在弹出的对话框中,输入Regedit命令,打开注册表编辑窗口;

第三步:在注册表编辑器中,执行“编辑”--“查找”,查找目标键入“影子”,并将“项”“值”“数据”全部选上,进行查找,将查找到的项或键值全部删除;

第四步:重复上一步操作,但是查找目标键入“PowerShadow”,同样将查找出的项或键值全部删除;

第五步:在注册表编辑器中,删除删除:HKEY_LOCAL_MACHINE/SYSTEM/CURRENT.controlset/services/snpshot这个键值。

以上几步操作后,基本可以完全卸载删除影子系统,在自己机子上试操作了一次,效果不错,但是在《慎用影子系统(转贴)+卸载影子系统经验》一文中,作者最后说“有人问那咋卸载呢.有这么几种方式.

其中能彻底卸载影子的是低格和换硬盘….

低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.

除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……

其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.

对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.”

经过如下:

第一步:先运行影子自带的卸载,卸载很快,不需要重启;

第二步:进入安全模式,依次执行“开始”--“运行”命令,在弹出的对话框中,输入Regedit命令,打开注册表编辑窗口;

第三步:在注册表编辑器中,执行“编辑”--“查找”,查找目标键入“影子”,并将“项”“值”“数据”全部选上,进行查找,将查找到的项或键值全部删除;

第四步:重复上一步操作,但是查找目标键入“PowerShadow”,同样将查找出的项或键值全部删除;

第五步:在注册表编辑器中,删除删除:HKEY_LOCAL_MACHINE/SYSTEM/CURRENT.controlset/services/snpshot这个键值。

以上几步操作后,基本可以完全卸载删除影子系统,在自己机子上试操作了一次,效果不错,但是在《慎用影子系统(转贴)+卸载影子系统经验》一文中,作者最后说“有人问那咋卸载呢.有这么几种方式.

其中能彻底卸载影子的是低格和换硬盘….

低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.

除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……

其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.

对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.”