IGM,IGW 是壹種新的病毒,10月才開始在網絡上流行,我感覺IGM不次於“熊貓燒香”,這個病毒是壹個下載病毒,其本身也許不會引起什麽對系統致命的損害,但是他所自動加載下載的病毒種類就不知道了,總之在壹個朋友經常去的網吧裏已經有魔獸世界,熱血傳奇賬號被盜的先例了,所以提醒各位網吧業主和網管壹定要註意了!
我曾經去那個網吧看過中毒的機器,仔細觀察了下。。
1當網線切斷的時候他不會在進程裏面進行擴散傳播。。
2當連接的時候他會已ARP欺騙的形式繞過防火墻。。嚴重影響網絡速度。現在的軟件(瑞星,卡吧,江民,包括360安全衛士)都沒有辦法檢測出來。。。
3中毒機器的某些表面癥狀:
a 中毒機器的windows鍵不能用,也就意味著命令行進不去,windows系統控制臺也進去不!
b 鼠標失靈,圖形界面就玩完了,只能靠DOS操作了,假如a和b項都有的話,那就只有重新做系統了!
c 桌面圖片更改,被換成windows經典桌面壹般大家都不會用windows經典桌面的吧?如果發現
開機妳的機器桌面圖片被更換就要小心了,很有可能就是中了IGM病毒了,桌面圖片換成
windows經典桌面算是IGM病毒的壹個明顯癥狀吧,據在哪個網吧工作的網管介紹,所有中IGM的
機器都有這個癥狀!
d 任務管理器禁用,同時按下Ctrl+alt+del鍵只是在屏幕上閃壹下,任務管理器並不出來,也就在windows
任務管理裏看不到IGM啟動項了!
e 其他的就壹些深層次的癥狀了,比如啟動項,進程裏發現IGM.exe!
根據目前我的了解,現在IGM病毒還沒有專殺軟件或者程序來解決,至於網上那些所謂的IGM專殺軟件,我機器沒有中過,也沒有嘗試過.
在這裏個人推薦:就目前的狀況來看,中了IGM病毒直接重新做系統是最好的解決辦法,電腦裏該刪除的東西就刪除,假如可以硬盤格式化的話那是最好的解決辦法!因為現在還不確定他能下載什麽其他病毒,還是他下載的病毒跟妳上的某些網站有關系,所以為了免除所有後患,重新做系統是最佳選擇,當然了,硬盤格式化是最好的清楚方法了!
在進程如果出現:IGM.EXE,就恭喜妳已經中了,呵呵~~現在好象沒有專殺這個病毒的軟件
根據網絡上的消息,壹下網站和IP很有可能帶有此種病毒,請大家看清楚,以免中招!
t.11se.com
www.94ak.com
www.99mmm.com
ask.35832.com
www.35832.com
212.22.225.82
203.174.87.210
64.233.167.99
58.211.79.107
219.153.42.98
221.130.191.207
好像有人說www.qishi.com也有問題!
(2)
igm.exe
病毒分類:木馬
病毒行為:
從2007年10月起開始流行
此病毒鏈接到down.dj7788.cn(59.34.148.217 ,廣東省茂名市 電信ADSL )
下載0.exe~19.exe 經過異常慘烈的自相殘殺以後 最終N多文件(參看文件刪除)
創建註冊表啟動項目
創建系統服務項目:
[Telephotsgoogle / Winownes][Stopped/Auto Start]
<C:\windows\system32\sedrsvedt.exe><N/A>
創建N多進程
自動下載最新盜號木馬
修改註冊表關閉防火墻
嚴重導致無法正常進入系統
查殺辦法
壹、先用XDelBox1.5R將以下文件強制刪除~
C:\windows\IGM.exe
C:\windows\system32\kafyezy.dll
C:\windows\system32\rsjzbpm.dll
C:\windows\system32\kvdxcma.dll
C:\windows\system32\ratbfpi.dll
C:\windows\system32\avwlbmn.dll
C:\windows\system32\kaqhezy.dll
C:\windows\system32\kapjbzy.dll
C:\windows\system32\sidjazy.dll
C:\windows\system32\avwgcmn.dll
C:\windows\system32\raqjbpi.dll
C:\windows\system32\avzxdmn.dll
C:\windows\system32\rarjbpi.dll
C:\windows\system32\kawdbzy.dll
C:\windows\system32\rsztcpm.dll
C:\windows\system32\rsmydpm.dll
C:\windows\system32\kvdxsbma.dll
C:\windows\system32\LYLoader.exe
C:\windows\system32\sedrsvedt.exe
二、用sreng2刪除以下的註冊表項
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<WinSysM><C:\windows\IGM.exe> []
<WinSys><C:\windows\IGW.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kapjbzy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<><C:\windows\system32\rsmydpm.dll> []
<><C:\windows\system32\rsztcpm.dll> []
<><C:\windows\system32\kawdbzy.dll> []
<><C:\windows\system32\rarjbpi.dll> []
<><C:\windows\system32\avzxdmn.dll> []
<><C:\windows\system32\raqjbpi.dll> []
<><C:\windows\system32\avwgcmn.dll> []
<><C:\windows\system32\sidjazy.dll> []
<><C:\windows\system32\kapjbzy.dll> []
<><C:\windows\system32\kaqhezy.dll> []
<><C:\windows\system32\avwlbmn.dll> []
<><C:\windows\system32\ratbfpi.dll> []
<><C:\windows\system32\kvdxcma.dll> []
<><C:\windows\system32\rsjzbpm.dll> []
<><C:\windows\system32\kafyezy.dll> []
三、將註冊表中[AppInit_DLLs]項值清空
四、將Win32服務應用程序之如下項禁用
[Telephotsgoogle / Winownes] <C:\WINDOWS\system32\sedrsvedt.exe>
五、掃尾,將近壹天全部新創建的垃圾.dll .exe .fon文件刪除,嘩嘩嘩
六、屏蔽壹個惡意網站
在C:\WINDOWS\system32\drivers\etc 目錄下的 hosts文件
添加 127.0.0.1 59.34.148.217
七、恢復Windows防火墻
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 刪除 AU整個項目以恢復防火墻設置
到安裝有相同操作系統的的機子上拷貝C:\WINDOWS\system32verclsid.exe到本機
原文地址:/it/200709/3377.html
(4)
igm.exe病毒的清除辦法及專殺工具 作者:沙漠裏的魚
igm.exe病毒的中毒表現是:
這個是壹個下載類的病毒,中了它並不可怕,但是igm.exe會下載更多的病毒,導致電腦出現不同的癥狀。這個病毒的主要表現是在
1.系統進程中有igm.exe進程。
2.MSconfig的啟動項裏有IGM.EXE 。
3.磁盤主目錄中有auto.exe和autorun.inf。
如果有以上的癥狀,表面中了igm.exe病毒。
igm.exe病毒專殺:
這個病毒其實很簡單,大家手動操作即可以解決,下面是清除辦法(3種清除igm.exe病毒的方法):
清除igm.exe病毒方法壹(推薦):
1、進入安全模式
2、搜索以下文件名igm、upxdnd、msimms32、msccrt、mppds、kvsc3、diskman32、cmdbcs.exe以及它們相應的dll文件,全部刪除。
3、搜索註冊表,上述相應的鍵值全部刪除
4、搜索隱藏文件所有盤下的auto.exe和autorun.inf,刪除!
5、運行msconfig,禁用壹個如4f506c9e的服務。
6、退出重啟xp ,igm.exe已經被清除,此時建議全盤殺毒。
清除igm.exe病毒方法二:
先打開cmd (按開始-運行-輸入“CMD”-打開-出現黑框)
然後輸入下邊說要輸入的命令,回車。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止運行的文件" /v debugger /t reg_sz /d debugfile.exe /f
比如要禁用IGM.EXE,那麽就要輸入這個命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
這樣IGM.EXE病毒不會發作了。
取消方法:
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\程序名" /f
以上用的是IFEO技術禁用文件的方法實現禁用病毒的。
ps:建議運行上面命令後重啟電腦,全盤殺毒。並修復註冊表。
清除igm.exe病毒方法三:
1.在安全模式下,強制刪除以下文件
c:/windows/system32/kvdxsbma.dll
c:/windows/system32/rsjzbpm.dll
c:/windows/system32/kvdxcma.dll
c:/windows/system32/ratbfpi.dll
c:/windows/system32/avwlbmn.dll
c:/windows/system32/kaqhezy.dll
c:/windows/system32/kapjbzy.dll
c:/windows/system32/sidjazy.dll
c:/windows/system32/avwgcmn.dll
c:/windows/system32/raqjbpi.dll
c:/windows/system32/avzxdmn.dll
c:/windows/system32/rarjbpi.dll
c:/windows/system32/kawdbzy.dll
c:/windows/system32/rsztcpm.dll
c:/windows/system32/rsmydpm.dll
c:/windows/system32/sidjazy.dll
c:/windows/igw.exe
c:/windows/igm.exe
c:/windows/system32/sedrsvedt.exe
c:\winnt\igm.exe
c:\winnt\system32\rsjzbpm.dll
c:\winnt\system32\racvsvc.exe
c:\winnt\system32\drivers\svchost.exe
c:\winnt\cmdbcs.exe
c:\winnt\dbghlp32.exe
c:\winnt\nvdispdrv.exe
c:\winnt\upxdnd.exe
c:\winnt\system32\cmdbcs.dll
c:\winnt\system32\dbghlp32.dll
c:\winnt\system32\upxdnd.dll
c:\winnt\system32\yfmtdiouaf.dll
c:\program files\microsoft activesync\rapiproxystub.dll(這個註意,正常的rapiproxystub.dll是版本信息是微軟的,用於Rapi代理組件。要註意檢查,如果不是微軟,就可能是病毒,此例中可能不是,因為該電腦有裝手機同步軟件,但這裏專門列出識別的內容供大家參考)
2.刪除重啟後使用SREng修復下面各項:
啟動項目 -- 註冊表之如下項刪除:
[{2D561258-45F3-A451-F908-A258458226D2}] <C:/WINDOWS/system32/kvdxsbma.dll>
[{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}] <C:/WINDOWS/system32/rsjzbpm.dll>
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:/WINDOWS/system32/kvdxcma.dll>
[{66650011-3344-6688-4899-345FABCD1566}] <C:/WINDOWS/system32/ratbfpi.dll>
[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:/WINDOWS/system32/avwlbmn.dll>