userinit.exe感染（IGM病毒）

　　目前网上流传一种叫做机器狗的病毒，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

　　顺便说一句，这个病毒从技术上来说，可以大胆的猜测应该是还原业内人士开发研制的，这种技术的应用极为少见，且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式，完全可以有更强更好的方式达到彻底毁灭还原行业的方法；所以这个病毒应该是针对现在99％还原产品做的病毒，以达到不可告人的目标；在此我们强烈谴责那些毫无技术道德的卑鄙团队和个人，给还原和网吧行业带来极大的灾难和痛苦，真心希望以后不要再发生这样类似的事情了。

　　很遗憾的告诉大家，目前已知的还原软件和还原卡包括我们的还原也无法抵抗这种还原的穿透。我们已经测试过冰点全系列，还原精灵。各类还原卡，以及其他网吧行业软件自带的还原，都无法防止这种病毒的感染。根据我们对这个病毒源码的分析来看，网吧可能即将面临病毒、盗号的高峰；恐怕目前大家最好做好最坏的思想准备吧

　　此病毒特点如下：

　　文件名为explorer.exe，图标为一只机器狗，

　　只要中毒那么就会修改userinit.exe文件。而且这个文件的大小和时间都不会变，唯一改变的就是文件内容，所以如果想知道是不是穿透了必须对比感染前后的userinit.exe的文件内容，才能对比出来。并且此文件会实现彻底的隐蔽开机启动。也就是说

　　这病毒成功能成功穿透冰点，还原精灵，小哨兵等主流还原软件还原卡，危害极大

　　经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本均被成功穿透！

　　清除方法：

　　1 有还原保护的机器

　　先断网（拔了网线），启动机器，等5分钟左右，如果没有发现进程中加载可疑进程，那么恭喜你了，其他文件可能被感染的几率非常小了，这时只查看C:\WINDOWS\system32\userinit.exe文件的属性，如为图2一样，说明文件被感染，这时去掉保护，重起机器（断网），结束userinit.exe进程，然后删除C:\WINDOWS\system32\userinit.exe文件，换一个正常的userinit.exe文件替换！