热搜词
关于“IGM.EXE”病毒紧急公告及解决方案
灰儿 管理员 发消息 加好友 打招呼
发表于 2007-11-19 13:46:41 | 显示全部楼层 |阅读模式
最近的病毒很多,五花八门,无奇不有~在教程吧剑心’Blog看到其在研究IGM病毒,还是个穿还原的,解决不易,转来处理方法,给大家借鉴借鉴:<BR><BR>此病毒可以穿透市面上所有的还原软件。本人曾在虚拟机上安装最新冰点6.3 (单击版本)用病毒样本测试。。都被病毒成功穿透。。<BR>可见起危害性如此大。。<BR>发上本人的 处理办法。欢迎网友留言以及讨论。。。<BR><BR>在这病毒横行的年代,网络没有绝对的安全;因为总是先有“魔”后有“道”,安全一定是“适度的”。但是,我们并不能因此放任自流,维持“适度”安全离不开建立一套完整的管理和技术保障体系。<BR><BR>近日发现IGM.EXE病毒大范围传播,很多网吧深受其害;大家务必引起重视。<BR><BR>目前发现该病毒(暂时)不能够穿透还原,<BR>但是如果局域网内一有台中该病毒的话(如网游服务器);<BR>整个局域网就会受到影响;甚至瘫痪。<BR><BR>该病毒利用MAC地址欺骗进行局域网传播。木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢,掉线;甚至无法上网,同时造成整个局域网的不稳定。拦截局域网用户打开的网页。加载hxxp://ask.35832.com/main.js(为了防止点击http改成hxxp)从上面的网站下载木马盗号器,然后打开的网页会自动关闭。<BR><BR>病毒症状<BR><BR>1.MSconfig的启动项里发现IGM.EXE<BR><BR>2.会生存以下文件<BR><BR>c:&#92;WINDOWS&#92;IGW.exe(新变种)<BR><BR>c:&#92;WINDOWS&#92;AVPSrv.exe<BR><BR>c:&#92;WINDOWS&#92;DiskMan32.exe<BR><BR>c:&#92;WINDOWS&#92;IGM.exe<BR><BR>c:&#92;WINDOWS&#92;Kvsc3.exe<BR><BR>c:&#92;WINDOWS&#92;lqvytv.exe<BR><BR>c:&#92;WINDOWS&#92;MsIMMs32.exe<BR><BR>c:&#92;WINDOWS&#92;system32&#92;3CEBCAF.EXE<BR><BR>c:&#92;WINDOWS&#92;system32&#92;drivers&#92;svchost.exe <BR><BR>c:&#92;WINDOWS&#92;system32&#92;a.exe<BR><BR>c:&#92;WINDOWS&#92;upxdnd.exe<BR><BR>c:&#92;WINDOWS&#92;WinForm.exe <BR><BR>c:&#92;WINDOWS&#92;system32&#92;rsjzbpm.dll <BR><BR>c:&#92;WINDOWS&#92;system32&#92;racvsvc.exe <BR><BR>c:&#92;WINDOWS&#92;dbghlp32.exe <BR><BR>c:&#92;WINDOWS&#92;nvdispdrv.exe<BR><BR>c:&#92;WINDOWS&#92;system32&#92;cmdbcs.dll<BR><BR>c:&#92;WINDOWS&#92;system32&#92;dbghlp32.dll<BR><BR>c:&#92;WINDOWS&#92;system32&#92;upxdnd.dll<BR><BR>c:&#92;WINDOWS&#92;system32&#92;yfmtdiouaf.dll<BR><BR>C:&#92;WINDOWS&#92;49400MM.DLL<BR>C:&#92;WINDOWS&#92;338448WO.DLL<BR>C:&#92;windows&#92;235780mm.dll<BR>c:&#92;windows&#92;235780WO.dll<BR><BR>4. 启动项目 -- 注册表之如下项删除:<BR>[WinSys] &lt;C:&#92;&#92;WINDOWS&#92;&#92;IGW.exe&gt;<BR>[WinSysM] &lt;C:&#92;&#92;WINDOWS&#92;&#92;IGM.exe&gt;<BR><BR>盘符下生存:Pegefile.pif; autorun.inf;<BR><BR>解决方案:<BR><BR>1.先结束掉IGM.EXE 进程<BR><BR>2.禁用IGM.EXE<BR><BR>在运行里输入: reg add "HKLM&#92;SOFTWARE&#92;Microsoft&#92;Windows NT&#92;CurrentVersion&#92;Image File Execution Options&#92;IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f<BR><BR>3.将以下文件使用XDELBOX删除一次确保完全清除!<BR><BR>c:&#92;&#92;windows&#92;&#92;igw.exe<BR>c:&#92;&#92;windows&#92;&#92;igm.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;ser2vet.exe<BR>C:&#92;&#92;WINDOWS&#92;&#92;system32&#92;&#92;serdst.exe<BR>C:&#92;&#92;WINDOWS&#92;&#92;system32&#92;&#92;sedrsvedt.exe<BR>C:&#92;&#92;WINDOWS&#92;&#92;49400MM.DLL<BR>C:&#92;&#92;WINDOWS&#92;&#92;338448WO.DLL<BR>C:&#92;&#92;windows&#92;&#92;235780mm.dll<BR>c:&#92;&#92;windows&#92;&#92;235780WO.dll<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;0.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;1.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;2.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;3.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;4.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;5.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;6.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;7.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;8.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;9.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;10.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;11.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;12.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;13.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;14.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;15.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;16.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;17.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;18.exe<BR>c:&#92;&#92;windows&#92;&#92;system32&#92;&#92;19.exe<BR><BR><BR>4.“免疫”把下面的内容另存为BAT文件运行<BR><BR>md c:&#92;WINDOWS&#92;AVPSrv.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;DiskMan32.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;IGM.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;Kvsc3.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;lqvytv.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;MsIMMs32.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;system32&#92;3CEBCAF.EXE &gt;nul 2&gt;nul<BR><BR>md %windir%&#92;system32&#92;drivers&#92;svchost.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;system32&#92;a.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;upxdnd.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;WinForm.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;system32&#92;rsjzbpm.dll &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;system32&#92;racvsvc.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;cmdbcs.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;dbghlp32.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;nvdispdrv.exe &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;system32&#92;cmdbcs.dll &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;system32&#92;dbghlp32.dll &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;system32&#92;upxdnd.dll &gt;nul 2&gt;nul<BR><BR>md c:&#92;WINDOWS&#92;system32&#92;yfmtdiouaf.dll &gt;nul 2&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;AVPSrv.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe %windir%&#92;system32&#92;drivers&#92;svchost.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;DiskMan32.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;IGM.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;Kvsc3.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;lqvytv.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;MsIMMs32.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;system32&#92;3CEBCAF.EXE /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;system32&#92;a.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;upxdnd.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;WinForm.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;system32&#92;rsjzbpm.dll /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;system32&#92;racvsvc.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;cmdbcs.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;dbghlp32.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;nvdispdrv.exe /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;system32&#92;cmdbcs.dll /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;system32&#92;dbghlp32.dll /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;system32&#92;upxdnd.dll /d everyone &gt;nul 1&gt;nul<BR><BR>echo y|cacls.exe c:&#92;WINDOWS&#92;system32&#92;yfmtdiouaf.dll /d everyone &gt;nul 1&gt;nul<BR><BR>echo reg add "HKLM&#92;SOFTWARE&#92;Microsoft&#92;Windows NT&#92;CurrentVersion&#92;Image File Execution Options&#92;IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f <BR><BR>echo gpupdate<BR><BR>exit<BR><BR><BR>5.在路由上把下面的域名和IP封锁<BR><BR>1.jopenqq.com<BR><BR>t.11se.com
回复

使用道具 举报

全部评论0
返回列表 发新帖
回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

发布新帖

本文内容不够精彩,我要自己发布

TA的新帖

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-11-23 01:11 , Processed in 0.144258 second(s), 22 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team