机器狗的动作流程并不复杂,比起熊猫烧香,AV终结者来说要简单不少,运行后首先会替换系统的Userinit.exe文件，uesrinit.exe是windows操作系统的一个关键进程，用于管理不同的启动顺序，例如用于建立网络链接和windows壳的启动。病毒利用uesinit.exe的目的是实现隐藏启动。
  接着在windows/system32/drivers文件夹中生成一个名为pcihdd.sys的驱动文件，病毒正是借助这个驱动文件来实现还原软件和还原卡的破解的。我们知道还原软件和还原卡之所以能够保护硬盘数据，是因为它具有很高的权限，能够夺取硬盘的控制权，在系统启动之前，将硬盘中的数据还原，而pcihdd,sys这个文件会和还原软件或还原卡抢夺硬盘的控制权，大部分还原软件和还原卡的控制权都会被pcihdd.sys夺取，它们就失去了还原数据的能力，这样病毒就可以避开还原卡的在硬盘中安营扎寨了。

彻底清除机器狗病毒
1，用正常的userinit.exe文件替换被修改的userinit.exe文件。首先新建个文本，输入内容：
@echo off
taskkill /f /im userinit.exe
del userinit.exe /f/q/a
将这个记事本保存为kill.bat双击运行。然后从其它干净的电脑拷贝一份userinit.exe文件，将它放到system32目录中。
2，册除pcihdd.sys文件，该文件们于windows/system32/drivers文件夹中。用记事本打开们于windows/system32/drviers/etc的hosts文件，在最后添加这样一行127.0.0.1 ，修改完后保存文件
3，用360安全卫士配合杀软清除系统中残留的盗号木马病毒。
4，为了更好的预防机器狗病毒，我们可以用批处理将pcihdd.sys的文件夹设置为禁止修改。批处理
md %systemroot%system32driverspcihdd.sys
cacls %systemroot%system32driverspcihdd.sys/e/p everyone:n
cacls %systemroot%system32userinit /e/p erveryone:r