[求助]机器狗，以及NTFS格式备份

ranger

这段时间机器狗闹的太厉害了。貌似影子系统也不安全了，想裸奔上网还是有很大风险了，以前都是开个卡巴，影子系统，外加360。3天更新下病毒库。现在怎么着都没安全感。怕给这狗咬了。
我想把C盘整成NTFS的，新建立个文件pcihdd.sys 。把所有的用户的写权限删除掉，我想这样应该能先顶一段时间吧？至少在变种出来之前还是安全的。等到这狗想换掉别的名字的时候估计网上也有人贴出来了，我再加个新的进来
可是整成NTFS系统的  ，win98启动盘下就看不到这盘了啊？我不喜欢什么一键的，我习惯了自己手工一个个的敲，，用GHOST8.2的用习惯了，有别的类似的能在win98下看的到NTFS格式的和在这个环境下备份的工具吗？
貌似6.3版本的冰点目前还没给穿透

吟风听月

矮人工具箱里面有加载ntfs的，dos下能看见的

ranger

这东西没用去，我去搜下看~~
1，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ （系统服务）
建立个名为PciHdd的空键，然后上权限，设置为禁止控制和读取，system和管理员权限的都要设置。
2，开机批处理
CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...\

这2点没测试，不知道行不行。。。最讨厌重新做系统了啊。。晕了

吟风听月

你要什么？
可是整成NTFS系统的  ，win98启动盘下就看不到这盘了啊？
不是这个？

ranger

是的啊，，可以用以前的方法做镜像吗？
刚才不在这，去找解决方法去了
我以前用的是win98启动盘+ghost8.2
现在怎么做才好？

吟风听月

都什么世纪了，还用98启动盘啊？现在计算机都没有软驱了。
矮人工具箱自带启动盘。

ranger

[这个贴子最后由ranger在 2007/12/03 11:53 第 1 次编辑]

知道，我的是用装系统的盘，或者是自己的U盘启动啊。。
习惯称它为那个了
你说的DOS工具箱又要多出个启动项，看着不爽啊。。
嘿嘿，最好能做成可以从U盘启动了也能看到NTFS，

吟风听月

矮人好像也有这个功能的，启动项可以设置为1秒就看不见了

为爱痴狂

卡巴是防不住这玩意，影子系统现在都不安全了，怕怕。现在能让卡巴失效的毒多啊。

吟风听月

微点+ghost+影子。

ranger

下面引用由吟风听月在 2007/12/04 10:17 发表的内容：
微点+ghost+影子。

微点没用过。还不知道是什么东西。我去查下。
卡巴我感觉比什么杀毒的都好用，宁可杀错一千，不防过一个。。弄个360时间保护器，基本没什么东西能要卡巴失效的

ranger

我就奇怪了,你们没人中机器狗???你们没网吧中机器狗??
关注的人好少哦..真羡慕你们

吟风听月

全影子+ghost就没有问题了。

ranger

这东西穿还原的。。
影子对它没用。。
中了它，要么杀，要么重新做系统。。
机器狗本身只是个下载器的，不是病毒。它穿了还原才开始下病毒。。

吟风听月

+ghost，这个+看见没有？

-=-=-=- 以下内容由 吟风听月 在 2007年12月08日 08:15 时添加 -=-=-=-
我这里几个计算机中过，好像叫IGM.exe还是IMG.exe

叶秋霜

参考资料：
igm.exe病毒的清除办法及专杀工具
目前没好的专杀软件
作igm.exe病毒的中毒表现是：
这个是一个下载类的病毒，中了它并不可怕，但是igm.exe会下载更多的病毒，导致电脑出现不同的症状。这个病毒的主要表现是在
1.系统进程中有igm.exe进程。
2.MSconfig的启动项里有IGM.EXE 。
3.磁盘主目录中有auto.exe和autorun.inf。
如果有以上的症状，表面中了igm.exe病毒。
igm.exe病毒专杀：
现在网上有很多igm专杀软件，大多不管用，建议大家在做好系统以后，打全系统补丁，装好杀毒软件，（卡巴，金山，瑞星），同时推荐大家使用maxthon，或Firefox 火狐浏览器，这样上网要安全的多。
金山下载地址：http://hxda.net/Software/Catalog11/29.html
Firefox 火狐浏览器下载地址：http://hxda.net/Software/Catalog6/62.html
下面是清除办法（3种清除igm.exe病毒的方法）：

清除igm.exe病毒方法一（推荐）：
1、进入安全模式
2、搜索以下文件名igm、upxdnd、msimms32、msccrt、mppds、kvsc3、diskman32、cmdbcs.exe以及它们相应的dll文件，全部删除。
3、搜索注册表，上述相应的键值全部删除
4、搜索隐藏文件所有盘下的auto.exe和autorun.inf，删除！
5、运行msconfig，禁用一个如4f506c9e的服务。
6、退出重启xp ，igm.exe已经被清除，此时建议全盘杀毒。
清除igm.exe病毒方法二：
先打开cmd （按开始-运行-输入“CMD”-打开-出现黑框）
然后输入下边说要输入的命令，回车。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f
比如要禁用IGM.EXE,那么就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
这样IGM.EXE病毒不会发作了。
取消方法：
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\程序名" /f
以上用的是IFEO技术禁用文件的方法实现禁用病毒的。
ps：建议运行上面命令后重启电脑，全盘杀毒。并修复注册表。
清除igm.exe病毒方法三：
1.在安全模式下,强制删除以下文件
c:/windows/system32/kvdxsbma.dll
c:/windows/system32/rsjzbpm.dll
c:/windows/system32/kvdxcma.dll
c:/windows/system32/ratbfpi.dll
c:/windows/system32/avwlbmn.dll
c:/windows/system32/kaqhezy.dll
c:/windows/system32/kapjbzy.dll
c:/windows/system32/sidjazy.dll
c:/windows/system32/avwgcmn.dll
c:/windows/system32/raqjbpi.dll
c:/windows/system32/avzxdmn.dll
c:/windows/system32/rarjbpi.dll
c:/windows/system32/kawdbzy.dll
c:/windows/system32/rsztcpm.dll
c:/windows/system32/rsmydpm.dll
c:/windows/system32/sidjazy.dll
c:/windows/igw.exe
c:/windows/igm.exe
c:/windows/system32/sedrsvedt.exe
c:\winnt\igm.exe
c:\winnt\system32\rsjzbpm.dll
c:\winnt\system32\racvsvc.exe
c:\winnt\system32\drivers\svchost.exe
sc:\winnt\system32\swchost.exe
c:\winnt\cmdbcs.exe
c:\winnt\dbghlp32.exe
c:\winnt\nvdispdrv.exe
c:\winnt\upxdnd.exe
c:\winnt\system32\cmdbcs.dll
c:\winnt\system32\dbghlp32.dll
c:\winnt\system32\upxdnd.dll
c:\winnt\system32\yfmtdiouaf.dll
c:\program files\microsoft activesync\rapiproxystub.dll(这个注意，正常的rapiproxystub.dll是版本信息是微软的，用于Rapi代理组件。要注意检查，如果不是微软，就可能是病毒，此例中可能不是，因为该电脑有装手机同步软件，但这里专门列出识别的内容供大家参考)
2.删除重启后使用SREng修复下面各项：
启动项目 －－ 注册表之如下项删除：
[{2D561258-45F3-A451-F908-A258458226D2}] <C:/WINDOWS/system32/kvdxsbma.dll>
[{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}] <C:/WINDOWS/system32/rsjzbpm.dll>
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:/WINDOWS/system32/kvdxcma.dll>
[{66650011-3344-6688-4899-345FABCD1566}] <C:/WINDOWS/system32/ratbfpi.dll>
[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:/WINDOWS/system32/avwlbmn.dll>
（本公子这厢有礼了。）

惊鸿照影

什么叫机器狗？

叶秋霜

机器狗病毒查杀 igm机器狗免疫最有效的方法
众所周知，机器狗或IGM变种能成功穿透还原，并狡猾地利用了userinit.exe这个系统必须的登录文件，将其更改成木马下载器，从而……我们防病毒方法一般都是被动地免疫了事，但对这个特殊文件却是不能免疫、不能删，改注册表改名也无济于事，也就怪不得这条狗要凶这么久了。总而言之， userinit.exe才是防止穿透的唯一突破口。于是，我就瞄准这个userinit.exe突破口，要好好保护它不被穿透更改为致命关键！于是，我试过N种方法来保护这个文件，但都因为这文件开机的特殊性失败了！昨晚，我忽然想到了另一点，机器狗穿透的是EXE文件，如果我用别的非EXE文件来代替开机的userinit.exe，结果会怎样呢？我首先想到用个批处理，里面代码只要写上个真正的userinit.exe执行命令就可以，这样就不影响开机，而机器狗能在注册表读取到的userinit键值只是这个简单的批处理，那么它要穿透的也只有这个批处理！测试结果真的大快人心，这条狗根本就没更改批处理，或者说，它拿批处理反而没办法！其实也是，批处理写的代码不到30个字节，这条狗怎么穿透更改都是有限的。顺便介绍下，这狗很聪明，穿透更改后，文件的日期和大小都不变的，还真厉害！但用FC却能对比出文件代码是变动了，所以我前几天发的加料免疫中，有个开机对比检测批处理还是有很大效果的。好了，废话不多说了，看实际操作步骤：
  1、首先在系统system32下复制个无毒的userinit.exe，文件名为f##kIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。
    2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：
    start  f##kIGM.exe (呵呵，够简单吧？)
    3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：
   
    Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
   就这3步，让这条狗再也凶不起来！我是在windows 2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它！开关机啊游戏啊均无异常！但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框！
如果你嫌麻烦，也不要紧。上面三条批处理我给你搞好了，你直接复制下面的这个存为批处理执行就OK了。三步合二为一   
   @echo off
        :::直接复制系统system32下的无毒userinit.exe为f##kIGM.exe
        cd /d %SystemRoot%\system32
        copy /y userinit.exe f##kIGM.exe >nul
        :::创建userinit.bat
      echo @echo off >>userinit.bat
      echo start f##kIGM.exe >>userinit.bat
        :::注册表操作
    reg add "HKLM\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon" /v Userinit  / t  REG_SZ  /d  "C:\WINDOWS\system32\userinit.bat," /f >nul
   
        :::删掉自身（提倡环保）
    del /f /q %0
直接执行就OK了
（本公子这厢有礼了。）

叶秋霜

还嫌麻烦？
那直接下载这个文件，
先解压缩，然后就可以双击这个名为“免疫批处理文件（点击完自动消失）.bat”的文件了。  
（本公子这厢有礼了。）

ranger

不麻烦,嘿嘿.就喜欢这么详细的
爱死你了
马上就下哈``
QQQ

-=-=-=- 以下内容由 ranger 在 2007年12月10日 21:27 时添加 -=-=-=-
补充下,矮人工具箱哪地方有下啊?要没毒的..最好是精简后只有个看NTFS的盘盘的..我只想要他能看NTFS的盘盘能给我还原镜像的功能..