机器狗病毒(又称下载者木马病毒)的手工毒杀

    最近一同事中了机器狗病毒，最开始并不知道是什么病毒，发现启动项里有很多XXX.exe列表，先用REGEDIT，将其清楚，并将windows下的新建病毒清除，因为病毒中的比较早，当时用瑞星还无法查杀(今天升级完瑞星以后，可以查杀了。)，手动删除以后重启，发现“网络邻居”属性里，无法找到“本地连接”图标，导致无法上网。可能是病毒将系统服务破坏了。网络邻居是使用“Network Connections”服务（管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。如果服务被禁用，您将无法查看局域网和远程连接而且任何依赖它的服务将无法启动。），该服务被禁用，最后发现很多服务器都被禁用了，手工一个一个启动发现很麻烦，就想到用别人的正常的机器的服务做标准，恢复服务。网上找到了这样一个批处理脚本，如下：

@echo off
rem  get current date and time
for /f "tokens=1,2,3 delims=-/. " %%j in ('Date /T') do set FILENAME=srv_%%j_%%k_%%l_%%m
for /f "tokens=1,2 delims=: " %%j in ('TIME /T') do set FILENAME=%FILENAME%_%%j_%%k.bat

rem get all service name
sc query type= service state= all| findstr /r /C:"SERVICE_NAME:" >tmpsrv.txt
echo Save Service Start State In %FILENAME%
rem save service start state into batch file
rem

echo @echo Restore The Service Start State Saved At %TIME% %DATE% >"%FILENAME%"
echo @pause >>"%FILENAME%"

for /f "tokens=2 delims=:" %%j in (tmpsrv.txt) do @( sc qc %%j |findstr  START_TYPE >tmpstype.txt &&  for /f "tokens=4 delims=:_ " %%s in ( tmpstype.txt) do @echo sc config  %%j start= %%s >>"%FILENAME%")
echo @pause >>"%FILENAME%"

del tmpsrv.txt
del tmpstype.txt

将其命名为“记录系统.bat”，在正常的机器上运行，得到服务参数列表，生成另一个批处理。在被破坏的机器上执行此脚本（文件名类似srv_2008_05_12_%m_13_39.bat）。重启，系统服务恢复正常。本地连接出现。

    过了一个周末，瑞星已经能够把此病毒列入病毒库，更新、杀毒(杀出很多病毒)、重启。

    发现无法进入系统，安全模式也进入不了。提示说services.exe有错误，cdfview.dll有问题，需要恢复才能进入。

  系统进不了了，最后在网上查了一下，原来是中了机器狗病毒（又称下载者木马），中了此病毒后，该病毒有可能会下载超过20多种木马，并在本机执行，所以这个病毒也称下载者木马。由于进不了系统，所以只能用Windows PE进入系统进行恢复。

  步骤：启动光盘上的Windows PE,在C:/WINDOWS/system32/dllcache下查到services.exe,cdfview.dll,beep.sys文件复制到c:/windows目录下，覆盖已感染services.exe，由于cdfview.dll，beep.sys已被瑞星查杀，所以不会有覆盖提示。并将用户临时目录下的dat×.tmp文件全部删除。

    使用regedit删除病毒启动项，用msconfig也可。重启，能正常进入系统，最后再查毒。重启，未在启动项发现病毒。系统恢复正常。

    希望以上内容对目前中了机器狗及其变种病毒的朋友有所帮助。