经过对样本的分析和测试，网维大师的还原，以及DF6.0、DF6.1、DF6.2等以前版本均被成功穿透，这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案: 9 E; h' Y! t( W
- W" \8 c  v2 u1 Q+ L3 t
一是在路由上封IP，以及域名。 & _9 @, a8 N% Z! Z; ^
8 @& L1 T7 C$ F) h+ h
二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys 并设置成只读(可以通过开机批处理实现)
1 [5 {+ @0 T; w, [: h, p' w- G& Q7 F* f2 S; U
开机批处理命令.rar
" o: G  j8 ^3 T( J4 w6 X# b( Y# H$ ~2 i9 \6 Z: k1 J9 G9 l/ q" Y- E7 j
木马联网后的下载内容（该数据由盟友StarsunYzL提供）： ( t( [" X1 E' P) i/ X8 T
! F  a( `0 A6 y' i. P8 ~" T$ a
--http://yu.8s7.net/cert.cer(IP:60.191.124.236) & u$ w! ^  h- |

# c. Y$ f# \; k3 F' v--(IP:60.191.124.236) ; ^; W6 F5 B  G3 J: x4 t

' {3 `- }5 J: B& L! P7 }--(IP:60.191.124.236)
- ~: ?9 a. s) ?, Z( k5 j9 W. f( G
--(IP:60.191.124.236)
: t) N4 B$ X3 M9 `* Z
) M$ |7 R6 d3 y--(IP:60.191.124.236) % i& l0 F" U& X
9 w. x* u) }, @7 `! N) t# l2 Z0 u
--(IP:60.191.124.236)
; T, F1 `7 ^& g  Y0 W, `# {1 }7 n: E. q0 O4 C7 j  }) {
--(IP:60.191.124.236)
4 U$ _: m# B# ?% U( P$ }- [" x  E' I, w/ D
--(IP:60.191.124.236) & Q. M( c1 E+ A. |$ S9 H

5 n0 A4 m1 ]" T' [6 p0 m--(IP:60.191.124.236)
# l" I4 A3 @1 A
; U, ~6 Z) G. F. r, C& D5 U( h--(IP:60.191.124.236) 8 N( j8 u% P; j" U' N2 O( p

2 Z" E: C# v7 D6 I* t2 B  k3,如果已经中毒的请在还原ghost文件后，手动在c:\windows\system32\drivers文件夹下创建pcihdd.sys,并把文件改成只读属性,或者修改这个文件的权限,删除所有用户.
6 j  |" b5 Q' l& X; j
' D: w! k* T. @' |4.域名也可以通过修改C:\WINDOWS\system32\drivers\etc\hosts文件实现，再通过网维大师开机命令把文件复盖到客户机上。

谢谢粉线噶