你说的解决办法是什么？

楼主,此方法早已过时了.没用了.

其中疑问： 为什么改写userinit.exe 没有文件保护提示！

wfp应该也是用过滤驱动/notification之类的实现的吧……

M$应该不会写个timer不停的检测把- -

领教了 那两句设置目录权限的方法 .

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r

学习到了新的命令

学习一下。貌似不行哦....

1 旧 2007-11-18, 23:44 【转帖】机器狗 分析 源码 脱壳（抵制病毒！）附最终解决办法！
       
logkiller 当前离线 添加 logkiller 的声望 反映此帖
哎~！

这年头，什么人都有！干啥弄个破冰点的！不知道我们大部分网吧都用啊！破了你能得到什么好啊！ 再说从网吧有能得到什么呢？我门网管也不容易。

首先确定 是MASM32 或 TASM32编写的！

下面是反遍情况！

超级字串参考＋        
地址       反汇编                                    文本字串
00401056   PUSH explorer.00401029                    pcihdd
004010B1   PUSH explorer.00401000                    %systemroot%\system32\drivers\pcihdd.sys
0040113D   PUSH explorer.00401000                    %systemroot%\system32\drivers\pcihdd.sys
004011DB   PUSH explorer.00401029                    pcihdd
004011E0   PUSH explorer.00401029                    pcihdd
0040120F   PUSH explorer.00401029                    pcihdd
0040126C   PUSH explorer.00401029                    pcihdd
00401271   PUSH explorer.00401029                    pcihdd
0040129C   PUSH explorer.00401029                    pcihdd
004012FC   PUSH explorer.00401000                    %systemroot%\system32\drivers\pcihdd.sys
00401318   PUSH explorer.00403000                    对不起,驱动程序的加载没有成功,程序将无法运行.
00401367   PUSH explorer.0040302E                    \\.\physicalharddisk0
0040145E   PUSH explorer.00403044                    \\.\physicaldrive0
0040162A   PUSH explorer.00401000                    %systemroot%\system32\drivers\pcihdd.sys
00401670   MOV DWORD PTR SS:[EBP-1C],explorer.00403  分配内存不成功
00401684   MOV DWORD PTR SS:[EBP-1C],explorer.00403  寻址文件不成功
0040168D   MOV DWORD PTR SS:[EBP-1C],explorer.00403  不支持的磁盘分区
00401696   MOV DWORD PTR SS:[EBP-1C],explorer.00403  第一个分区不是启动分区
004016AA   MOV DWORD PTR SS:[EBP-1C],explorer.00403  该文件是压缩文件，不能操作
004016B3   MOV DWORD PTR SS:[EBP-1C],explorer.00403  获取文件原始信息失败
004016CA   MOV DWORD PTR SS:[EBP-1C],explorer.00403  打开文件失败
004016DE   MOV DWORD PTR SS:[EBP-1C],explorer.00403  加载驱动失败
004016ED   PUSH 0                                    (初始 cpu 选择)
00401708   PUSH explorer.0040132B                    %systemroot%\system32\userinit.exe
00401720   PUSH explorer.004030E7                    操作成功

简单防御！

在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹  设置属性为 任何人禁止

批处理

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r

exit

分析得知：

http://yu.8s7.net/cert.cer 这个地址 是更新病毒的地址（呵呵！弄的还挺先进！）（没事可以看的）

地址里面的内容为 （千万别点！！）

http://www.tomwg.com/mm/mm.jpg

http://www.tomwg.com/mm/wow.jpg

http://www.tomwg.com/mm/mh011.jpg

http://www.tomwg.com/mm/zt.jpg

http://www.tomwg.com/mm/wl.jpg

http://www.tomwg.com/mm/wd.jpg

http://www.tomwg.com/mm/tl.jpg

http://www.tomwg.com/mm/dh3.jpg

http://www.tomwg.com/mm/my.jpg
呵~~！ 还弄个随时更新！

建议 把www.tomwg.com 和 yu.8s7.net 封了！ IP 是 58.221.254.103

呵呵，穿透冰点不错！ 提出来做游戏更新用！！

分析原理

病毒程序  通过pichdd.sys 穿透冰点   改写 userinit.exe

呵呵，只是改写（此时没有病毒）

重起以后， userinit.exe 开始从yu.8s7.net的文件列表下载病毒！

病毒不过冰点还原！

其中疑问： 为什么改写userinit.exe 没有文件保护提示！

希望大家踊跃发言！ 坚决抵制病毒

他把SFC 给关闭了，网上有，有一种不写注册表的方法！百度一下，就出来了