ntfs.dll病毒ntfs.dll木馬中毒癥狀：

　　開(kāi)機(jī)依然不顯示桌面，依然要點(diǎn)CTRL+ALT+DELETE的任務(wù)管理器 新建任務(wù) c://Documents and Settings 才能顯示桌面，但會(huì)彈出一個(gè)對(duì)話框

　　Windows 找不到文件 ’/indlist,:504:788,C:Documents’。請(qǐng)確定文件名是否正確后，再試一次。要搜索文件，請(qǐng)單擊[開(kāi)始]按鈕，然后單擊“搜索”。

　　另外每次重起再開(kāi)機(jī)，金山毒霸殺毒都會(huì)出現(xiàn)一個(gè)惡意軟件： 異常的系統(tǒng)文件userinit.exe 發(fā)現(xiàn)安裝。怎么也移除不了，而且也無(wú)法修復(fù)這個(gè)文件。

　　再打開(kāi)SRENGPS。EXE 彈出對(duì)話框:

　　警告!注冊(cè)表值 UserInit 被修改為非正常值.

　　(對(duì)于 Windows 2000,默認(rèn)值類似于:"C:WINNTsystem32Userinit.exe,".對(duì)于Windows XP 或更高版本,默認(rèn)值類似于:"C:WINDOWSsystem32Userinit.exe,").請(qǐng)檢查你的系統(tǒng)中可能存在的計(jì)算機(jī)病毒.

　　請(qǐng)問(wèn)是否用 System Repair Engineer 自動(dòng)修復(fù)?

　　每次我都點(diǎn)是,但每次重起以后再開(kāi)還是會(huì)有.

　　另外我把網(wǎng)鏢安全開(kāi)到最高每次開(kāi)機(jī)都有會(huì)彈出:

　　成功攔截1個(gè)從220.165.29.64接收ICMP數(shù)據(jù)包,對(duì)應(yīng)本機(jī)地址為222.215.37.28

　　ntfs.dll病毒ntfs.dll木馬病毒分析：

　　ntfs.dll病毒是機(jī)器狗病毒的一種

　　病毒名稱：Trojan/Agent.pgz

　　中 文 名：機(jī)器狗

　　病毒類型：木馬

　　危害等級(jí)：★★★

　　影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

　　病毒運(yùn)行特征：

　　“機(jī)器狗”病毒運(yùn)行后，會(huì)在%WinDir%System32drivers 目錄下釋放出一個(gè)名為pcihdd.sys 的驅(qū)動(dòng)程序，該文件會(huì)接管冰點(diǎn)或者硬盤(pán)保護(hù)卡對(duì)硬盤(pán)的讀寫(xiě)操作，這樣該病毒就破解了還原系統(tǒng)的保護(hù)，使冰點(diǎn)、硬盤(pán)保護(hù)卡實(shí)效。接著，該病毒會(huì)利用MS06-014和MS07-017系統(tǒng)漏洞和等多個(gè)應(yīng)用軟件漏洞，從http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等惡意網(wǎng)址下載多款網(wǎng)游木馬，盜取包括傳奇、魔獸世界、征途、奇跡等多款網(wǎng)游帳號(hào)和密碼，嚴(yán)重威脅游戲玩家數(shù)字財(cái)產(chǎn)的安全。正因?yàn)楸�點(diǎn)還原軟件和硬盤(pán)保護(hù)卡大多在網(wǎng)吧使用，因此網(wǎng)吧成為該病毒發(fā)作的重災(zāi)區(qū)。

　　該病毒還會(huì)隨著ARP病毒傳播，因此對(duì)局域網(wǎng)殺傷性極大。針對(duì)此病毒，江民科技反病毒中心已經(jīng)及時(shí)升級(jí)了病毒庫(kù)，只要將KV殺毒軟件升級(jí)至最新版本，即可有效防范查殺此病毒。

　　ntfs.dll病毒ntfs.dll木馬機(jī)器狗解決方案

　　1、由于機(jī)器狗病毒是借助于ARP欺騙的方式在局域網(wǎng)中傳播，因此做好ARP欺騙的防范工作十分必要。建議有條件的網(wǎng)吧和企業(yè)，采用雙向綁定策略，在交換機(jī)或路由器上綁定好全網(wǎng)的IP-MAC地址，在客戶端綁定好網(wǎng)關(guān)的IP-MAC。這樣即便是局域網(wǎng)中某臺(tái)電腦感染了ARP病毒，該電腦也不會(huì)干擾全網(wǎng)的運(yùn)行。雙向綁定策略是抵御ARP病毒的好辦法。

　　如果不具備雙向綁定的條件，可以采用劃分VLAN 的方法，來(lái)隔離網(wǎng)絡(luò)的不同區(qū)域，這樣可以把ARP病毒的危害降低到最小。

　　2、更新好系統(tǒng)漏洞補(bǔ)丁，尤其是網(wǎng)頁(yè)木馬常用漏洞：MS06-014和MS07-017。目前根據(jù)江民科技反病毒中心惡意網(wǎng)址跟蹤結(jié)果來(lái)看，發(fā)現(xiàn)絕大部分的網(wǎng)頁(yè)木馬都是利用以上兩個(gè)系統(tǒng)漏洞入侵到計(jì)算機(jī)中的，因此打好補(bǔ)丁十分關(guān)鍵。

　　MS06-014 中文版系統(tǒng)補(bǔ)丁下載地址：

　　http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx

　　MS06-014 英文版系統(tǒng)補(bǔ)丁下載地址：

　　http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

　　MS07-017 中文版系統(tǒng)補(bǔ)丁下載地址：

　　http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

　　MS07-017 英文版系統(tǒng)補(bǔ)丁下載地址：

　　http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

　　3、注意應(yīng)用軟件版本的及時(shí)更新�！皺C(jī)器狗”病毒除了利用以上兩個(gè)系統(tǒng)漏洞通過(guò)網(wǎng)頁(yè)木馬的方式入侵到電腦中，還利用時(shí)下最為流行的應(yīng)用軟件漏洞進(jìn)行掛馬傳播，例如一些聊天工具漏洞、播放器軟件漏洞、網(wǎng)絡(luò)電視軟件漏洞、游戲軟件漏洞、甚至是一些常用的下載工具的漏洞都會(huì)成為病毒的傳播途徑。由于應(yīng)用軟件的用戶群體更為廣泛，這也就成了病毒作者傳播病毒的又一“利器”。因此要注意軟件的版本，一定要使用從官方網(wǎng)站下載的最新版本的軟件，這點(diǎn)十分重要，不要使用老版本，因?yàn)槔习姹具�有很多漏洞。

　　4、禁用Windows系統(tǒng)的自動(dòng)播放功能。這一點(diǎn)對(duì)個(gè)人用戶來(lái)說(shuō)同樣重要，由于“機(jī)器狗”病毒還會(huì)利用U盤(pán)傳播，因此如果U盤(pán)中含有此病毒時(shí)，如果直接雙擊打開(kāi)U盤(pán)，就會(huì)激活病毒，從而感染進(jìn)電腦中。建議用戶通過(guò)組策略的方式禁用U盤(pán)的自動(dòng)播放功能。

　　關(guān)閉自動(dòng)播放功能方法如下：在“開(kāi)始”菜單的“運(yùn)行”框中運(yùn)行“gpedit. msc”命令，在“組策略”找到“計(jì)算機(jī)配置”和“用戶配置”下的“管理模板”功能，打開(kāi)其中的“系統(tǒng)”菜單中的“關(guān)閉自動(dòng)播放”的設(shè)置，在其屬性里面選擇“已啟用”，接著選擇“所有驅(qū)動(dòng)器”，最后確定保存即可。江民殺毒軟件“移動(dòng)存儲(chǔ)接入殺毒”能杜絕病毒利用移動(dòng)設(shè)備(如：U盤(pán)、移動(dòng)硬盤(pán)等)入侵用戶計(jì)算機(jī)，保護(hù)計(jì)算機(jī)系統(tǒng)安全。

　　5、及時(shí)升級(jí)KV殺毒軟件病毒庫(kù)，上網(wǎng)時(shí)確保打開(kāi)“網(wǎng)頁(yè)監(jiān)控”、“郵件監(jiān)控”功能。

　　建議企業(yè)級(jí)用戶和網(wǎng)吧部署KV網(wǎng)絡(luò)版殺毒軟件，KV網(wǎng)絡(luò)版具有全網(wǎng)統(tǒng)一升級(jí)，統(tǒng)一殺毒功能，可以快速?gòu)氐浊宄�網(wǎng)絡(luò)中的ARP病毒和“機(jī)器狗”病毒及其變種。