病人：我是一名网管，最近在网吧上班时碰到一件烦心事。网吧里的电脑经常一次性感染七八种病毒（检查发现，主要有“cmdbc木马”、“AVPSrv”、“Torjan.Diskman”等），清除后不用多久又会自动生成，就像牛皮癣一样。我们网吧的电脑可都是装有还原卡的啊，怎么还会感染病毒呢？
　　医生：根据你的描述，这应该是近段时间比较流行的“机器狗”病毒，这种病毒类似于“下载者”，会将大量的木马和病毒下载到你的电脑中，其下载的木马主要就是你刚才提到的那几种病毒。
　　最重要的是，“机器狗”病毒是目前对还原软件、还原卡破坏能力最强的病毒。“机器狗”目前可以破坏冰点还原、影子系统等还原软件，还能破坏三茗、小哨兵等硬件还原卡。被破坏的还原卡会失去作用，让系统彻底暴露在病毒下。
“机器狗”怎么突破还原卡
　　病人：谢谢医生的解答，我现在对这个“机器狗”病毒有点了解了，可我还想知道它是怎么破解还原卡的？
　　医生：“机器狗”的运作流程并不复杂，比起熊猫烧香、AV终结者来说要简单不少。运行后首先会替换系统的Userinit.exe文件，Userinit.exe是Windows操作系统的一个关键进程，用于管理不同的启动顺序，例如用于建立网络链接和Windows壳的启动。病毒利用Userinit.exe的目的是实现隐蔽启动。
　　接着在Windows\system32\drivers文件夹中生成一个名为Pcihdd.sys的驱动文件，病毒正是借助这个驱动文件来实现还原软件和还原卡破解的。我们知道还原软件和还原卡之所以能够保护硬盘数据，是因为它具有很高的权限，能够夺取硬盘的控制权，在系统启动之前，将硬盘中的数据还原。
　　而Pcihdd.sys这个文件会和还原软件或还原卡抢夺硬盘的控制权，大部分还原软件和还原卡的控制权都会被Pcihdd.sys夺取，它们就失去了还原数据的能力，这样病毒就可以避开还原卡在硬盘中安营扎寨了。

彻底清除“机器狗”病毒
　　病人：“机器狗”果然是一个难缠的病毒，尤其是像我这样的网吧管理员，刚解决了烦人的“熊猫烧香”，现在来了个更狠的，真是不胜其烦。请问我该如何清除“机器狗”病毒？
　　医生：清除“机器狗”的方法比较简单，操作步骤如下：
　　第一步：用正常的Userinit.exe文件替换被修改的Userinit.exe文件。首先新建一个记事本，输入如下内容：
　　@echo off
　　taskkill /f /im userinit.exe
　　del userinit.exe /f/q/a
　　将这个记事本文件保存为kill.bat，双击运行。然后从其他干净的电脑中拷贝一份Userinit.exe文件，将它放到system32目录中。
　　第二步：删除pcihdd.sys文件，该文件位于Windows\system32\drivers文件夹中。用记事本打开位于Windows\system32\drivers\etc的HOSTS文件，在最后添加这样一行：127.0.0.1 www.tomwg.com，修改完后保存文件。
　　第三步：用《360安全卫士》配合杀毒软件清除系统中残留的盗号木马病毒。
　　第四步：为了更好地预防“机器狗”病毒，我们可以用批处理将Pcihdd.sys 的文件夹设置为禁止修改。批处理关键代码如下：
　　md %systemroot%\system32\drivers\pcihdd.sys
　　cacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n
　　cacls %systemroot%\system32\userinit.exe /e /p everyone:r

总结
　　还原卡和还原软件并不是万能的，如果仅希望依靠它们来避免中毒不太现实。这段时间病毒技术发展得较快，网管和普通用户一定要多加关注，以掌握最新病毒的清除方法。