尽管MM的主机，安有最新版的杀毒软件，可是在“谈虎色变”的病毒身上，丝毫没有起到什么作用，它们依然像“牛皮癣”一样久治不愈。于是在没有任何好办法的情况下，重装了系统，不过这次MM学尖了，又安装了一个还原软件，不怕你杀毒软件成“摆设”。但是意想不到的事情发生了，居然有几个病毒在还原后依旧存在。　　小提示：还原卡是一种系统安全产品，它可以使电脑在遭到破坏时，将系统还原到初始的健康状态。这种破坏包括无意的删除系统文件，有意的破解以及各种病毒和木马的攻击。所以，还原卡常常在网吧和学校这些系统容易被破坏的地方使用。　　一、了解“机器狗”病毒的破坏机制　　根据以上所描述的症状，很有可能是最近比较流行的“机器狗”病毒所为，此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权后，并修改用户初始化文件userinit.exe来实现隐藏自身的目的。另外它还是一个典型的 *** 架构木马型病毒，当该病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的账号信息。目前该病毒不仅可以破坏，例如冰点还原、影子系统等软件形式的还原系统，其殊不知就连三茗、小哨兵等硬件还原卡，也可以轻松突破让其失去作用。　　二、“机器狗”病毒是如何突破还原系统的安全防线　　从以上大家已经了解“机器狗”病毒的威力，想必对于其病毒如何突破还原卡防线，不少读者一定会有很大的兴趣。其实“机器狗”病毒运行流程很简单，要比之前大家遭遇过的熊猫烧香、AV终结者等病毒简单的多。该病毒在潜伏到系统后，就像笔者刚才说过的那样，会替换系统里的userinit.exe文件，该文件位置位于c:\windows\system32\userinit.exe，它管理着系统不同的启动顺序，黑客可利用其功能实现隐藏启动病毒的目的。　　然后在c:\windows\system32\drivers目录下，建立一个名为Pcihdd.sys的驱动文件，来和还原卡争夺硬盘控制权。如果不出意外，一般情况下其权利都会落到该文件手里，从而使其还原卡失去恢复能力，达到破解成功的目的，这样病毒就可以在该机器内安营扎寨。　　三、如何清除“机器狗”病毒　　虽然与熊猫烧香相比，它的破坏力相对小些，但是机器如同人的眼睛一样，容不下一粒沙，况且它还是一个极为难缠的病毒。要想清除可并非是一件容易的事情，利用杀毒软件肯定不行，所以笔者总结出一套有效清除该病毒的 *** ，具体操作请看下方所示。　　首先在系统目录下，新建立一个记事本文件，然后将其打开输入内容：　　@echo off　　taskkill /f /im userinit.exe　　del userinit.exe /f/q/q　　操作完毕后，将其保存为.bat批处理形式的文件，名称任意便可。然后双击运行其建立好的批处理，在从其他安全的电脑上，复制一个userinit.exe文件，并且将其粘贴到系统目录下。另外刚才我们也谈到Pcihdd.sys文件，会和还原卡抢夺硬盘控制权，所以这里要将其文件立即删除。而后进入到c:\windows\system32\drivers\etc目录，将里面HOSTS文件以记事本方式打开，从里面添加一句127.0.0.1 www.tomwg.com（如图1） 　　然后将其保存即可。对于剩余的简单病毒，可用著名的360安全卫士配合杀毒软件，就可将其全部搞定。不过为了防止再次身中“机器狗”病毒，我们更好建立一个批处理文件，其作用是将Pcihdd.sys文件设置为禁止修改。　　具体相关代码如下：md %systemroot%\system32\drivers\pcihdd.sys　　cacls %systemroot%\system32\drivers\pcihdd.sys /e/p ev-eryone:n　　cacls %systemroot%\system32\userinit.exe /e /p every-one:r　　总结：虽然利用本文可以彻底解决“机器狗”病毒，但是随着 *** 的逐步发展，很快就有可能诞生一个比“机器狗”更无赖的病毒。所以要想自己的系统，永远处于安全的状态，安装杀毒软件是必须，但是除此之外最重要的一点，还要及时更新系统里过时的补丁，以免黑客乘虚而入。