ntfs.dll病毒ntfs.dll木馬中毒癥狀：

　　開機依然不顯示桌面，依然要點CTRL+ALT+DELETE的任務管理器 新建任務 c://Documents and Settings 才能顯示桌面，但會彈出一個對話框

　　Windows 找不到文件 ’/indlist,:504:788,C:Documents’。請確定文件名是否正確后，再試一次。要搜索文件，請單擊[開始]按鈕，然后單擊“搜索”。

　　另外每次重起再開機，金山毒霸殺毒都會出現(xiàn)一個惡意軟件： 異常的系統(tǒng)文件userinit.exe 發(fā)現(xiàn)安裝。怎么也移除不了，而且也無法修復這個文件。

　　再打開SRENGPS。EXE 彈出對話框:

　　警告!注冊表值 UserInit 被修改為非正常值.

　　(對于 Windows 2000,默認值類似于:"C:WINNTsystem32Userinit.exe,".對于Windows XP 或更高版本,默認值類似于:"C:WINDOWSsystem32Userinit.exe,").請檢查你的系統(tǒng)中可能存在的計算機病毒.

　　請問是否用 System Repair Engineer 自動修復?

　　每次我都點是,但每次重起以后再開還是會有.

　　另外我把網(wǎng)鏢安全開到最高每次開機都有會彈出:

　　成功攔截1個從220.165.29.64接收ICMP數(shù)據(jù)包,對應本機地址為222.215.37.28

　　ntfs.dll病毒ntfs.dll木馬病毒分析：

　　ntfs.dll病毒是機器狗病毒的一種

　　病毒名稱：Trojan/Agent.pgz

　　中 文 名：機器狗

　　病毒類型：木馬

　　危害等級：★★★

　　影響平臺：Win 9X/ME/NT/2000/XP/2003

　　病毒運行特征：

　　“機器狗”病毒運行后，會在%WinDir%System32drivers 目錄下釋放出一個名為pcihdd.sys 的驅(qū)動程序，該文件會接管冰點或者硬盤保護卡對硬盤的讀寫操作，這樣該病毒就破解了還原系統(tǒng)的保護，使冰點、硬盤保護卡實效。接著，該病毒會利用MS06-014和MS07-017系統(tǒng)漏洞和等多個應用軟件漏洞，從http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等惡意網(wǎng)址下載多款網(wǎng)游木馬，盜取包括傳奇、魔獸世界、征途、奇跡等多款網(wǎng)游帳號和密碼，嚴重威脅游戲玩家數(shù)字財產(chǎn)的安全。正因為冰點還原軟件和硬盤保護卡大多在網(wǎng)吧使用，因此網(wǎng)吧成為該病毒發(fā)作的重災區(qū)。

　　該病毒還會隨著ARP病毒傳播，因此對局域網(wǎng)殺傷性極大。針對此病毒，江民科技反病毒中心已經(jīng)及時升級了病毒庫，只要將KV殺毒軟件升級至最新版本，即可有效防范查殺此病毒。

　　ntfs.dll病毒ntfs.dll木馬機器狗解決方案

　　1、由于機器狗病毒是借助于ARP欺騙的方式在局域網(wǎng)中傳播，因此做好ARP欺騙的防范工作十分必要。建議有條件的網(wǎng)吧和企業(yè)，采用雙向綁定策略，在交換機或路由器上綁定好全網(wǎng)的IP-MAC地址，在客戶端綁定好網(wǎng)關的IP-MAC。這樣即便是局域網(wǎng)中某臺電腦感染了ARP病毒，該電腦也不會干擾全網(wǎng)的運行。雙向綁定策略是抵御ARP病毒的好辦法。

　　如果不具備雙向綁定的條件，可以采用劃分VLAN 的方法，來隔離網(wǎng)絡的不同區(qū)域，這樣可以把ARP病毒的危害降低到最小。

　　2、更新好系統(tǒng)漏洞補丁，尤其是網(wǎng)頁木馬常用漏洞：MS06-014和MS07-017。目前根據(jù)江民科技反病毒中心惡意網(wǎng)址跟蹤結(jié)果來看，發(fā)現(xiàn)絕大部分的網(wǎng)頁木馬都是利用以上兩個系統(tǒng)漏洞入侵到計算機中的，因此打好補丁十分關鍵。

　　MS06-014 中文版系統(tǒng)補丁下載地址：

　　http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx

　　MS06-014 英文版系統(tǒng)補丁下載地址：

　　http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

　　MS07-017 中文版系統(tǒng)補丁下載地址：

　　http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

　　MS07-017 英文版系統(tǒng)補丁下載地址：

　　http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

　　3、注意應用軟件版本的及時更新�！皺C器狗”病毒除了利用以上兩個系統(tǒng)漏洞通過網(wǎng)頁木馬的方式入侵到電腦中，還利用時下最為流行的應用軟件漏洞進行掛馬傳播，例如一些聊天工具漏洞、播放器軟件漏洞、網(wǎng)絡電視軟件漏洞、游戲軟件漏洞、甚至是一些常用的下載工具的漏洞都會成為病毒的傳播途徑。由于應用軟件的用戶群體更為廣泛，這也就成了病毒作者傳播病毒的又一“利器”。因此要注意軟件的版本，一定要使用從官方網(wǎng)站下載的最新版本的軟件，這點十分重要，不要使用老版本，因為老版本還有很多漏洞。

　　4、禁用Windows系統(tǒng)的自動播放功能。這一點對個人用戶來說同樣重要，由于“機器狗”病毒還會利用U盤傳播，因此如果U盤中含有此病毒時，如果直接雙擊打開U盤，就會激活病毒，從而感染進電腦中。建議用戶通過組策略的方式禁用U盤的自動播放功能。

　　關閉自動播放功能方法如下：在“開始”菜單的“運行”框中運行“gpedit. msc”命令，在“組策略”找到“計算機配置”和“用戶配置”下的“管理模板”功能，打開其中的“系統(tǒng)”菜單中的“關閉自動播放”的設置，在其屬性里面選擇“已啟用”，接著選擇“所有驅(qū)動器”，最后確定保存即可。江民殺毒軟件“移動存儲接入殺毒”能杜絕病毒利用移動設備(如：U盤、移動硬盤等)入侵用戶計算機，保護計算機系統(tǒng)安全。

　　5、及時升級KV殺毒軟件病毒庫，上網(wǎng)時確保打開“網(wǎng)頁監(jiān)控”、“郵件監(jiān)控”功能。

　　建議企業(yè)級用戶和網(wǎng)吧部署KV網(wǎng)絡版殺毒軟件，KV網(wǎng)絡版具有全網(wǎng)統(tǒng)一升級，統(tǒng)一殺毒功能，可以快速徹底清除網(wǎng)絡中的ARP病毒和“機器狗”病毒及其變種。