故障现象】

　　机器狗病毒为一个木马下载器，病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡，可通过以下几方面查看是否已中毒.:

　　1、激发病毒后会在SYSTEM32下修改userinit.exe ，可通过查看版本信息看出，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗，如果有版本标签则正常。

　　2、查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都会真实保存.

　　【运行原理】

　　机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

　　【HiPER上的快速查找】

　　从HiPER的上网监控中可以看到有内网主机和以下的IP地址发生

联接：

　　58.221.254.103

　　218.30.64.194

　　60.190.118.211

　　60.191.124.236

　　【PC上的解决办法】

　　对于已中毒的用户，建议将病毒主机断网杀毒、恢复系统镜像或重做系统

近期，一种可以穿透还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。

　　【故障现象】

　　机器狗病毒为一个木马下载器，病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡，可通过以下几方面查看是否已中毒.:

　　1、激发病毒后会在SYSTEM32下修改userinit.exe ，可通过查看版本信息看出，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗，如果有版本标签则正常。

　　2、查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都会真实保存.

　　【运行原理】

　　机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

　　【HiPER上的快速查找】

　　从HiPER的上网监控中可以看到有内网主机和以下的IP地址发生联接：

　　58.221.254.103

　　218.30.64.194

　　60.190.118.211

　　60.191.124.236

　　【PC上的解决办法】

　　对于已中毒的用户，建议将病毒主机断网杀毒、恢复系统镜像或重做系统

5)重复步骤 2)，将其他病毒链接URL和IP 等关闭。　　

　　6)WebUI 高级配置-业务管理-全局配置中，取消“允许其他用户”的选中，选中“启用业务管理” ，保存。　　

　　3、 注意：

　　1) 配置之前不能有命令生成的业务管理策略存在，否则可能导致 Web 界面生成的业务管理策略工作异常或者不生效。

　　2) 如果，已经有工作组存在，并且在业务管理中配置了策略，必须在 WebUI 高级配置-组管理中，将该网段所有用户分配在相关的组中，然后在 WebUI-高级配置-业务管理中将每个组的外网相关病毒链接url或IP地址设为禁止访问。