IGM.EXE pcihdd.sys igw.exe cmd.exe cmdbcs机器狗病毒专杀
IGM.EXE 原理和机器狗一样。你自己找找相关资料吧 IGM.exe 是中穿透还原后木马下载器下载的木马程序。
机器狗病毒相关解释
机器狗病毒
该病毒为一个木马下载器,病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡,可通过以下几方面查看是否已中毒.
激发病毒后会在SYSTEM32下修改userinit.exe ,可通过查看版本信息看出,查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都会真实保存.
问:我们是怎么来防御的?
通过禁止文件访问的形式来禁止病毒的运行,可自由设置配置文件并方便的加入到客户机启动运行列表项,具体操作如下:
一、驱动内核层防御:( 从原理上防御 )
.. 针对机器狗病毒对网吧业带来的巨大影响,强者公司经过日夜奋战,终于反编译了该木马大部分代码,提供机器狗病毒的终级解决方案,本着对用户负责的态度,现维护系统免费加入“驱动内核级”机器狗病毒防御,彻底杜绝机器狗病毒包括其变种的破坏.
关键它是完全免费的.
二、禁止文件访问法:( 初级防御)
1.下载 "机器狗病毒防御补丁点击下载" , 把UnCracker.exe和UnCracker.ini两个文件放在服务端的一个共享目录下,(如:\\qzse\netgame1),并保证在客户机可以正常访问这个路径;
2.打开服务端主控制器在随意哪台客户机上点右键-à运行工作站命令,加上如上形象图中所设置的工作站每次启动运行列表:
3.编辑UnCracker.ini文件,如下所述:
[system]
1=c:\windows\hh.exe
2=…
[nosystem]
1=C:\WINDOWS\system32\drivers\pcihdd.sys(可防机器狗病毒)
2=d:\command.com
3=d:\Iexplores.exe
以上内容可以根据用户需求自由添加,如防止arp运行时可在配置中加入"c:\windows\system32\drivers\npf.sys","c:\windows\system32\packet.dll",
"c:\windows\system32\pthreadVC.dll","c:\windows\system32\wpcap.dll".
usreinit.exe确实是被感染了.我这边的解决方法就是找一台没有被感染的机子复制一个好的过来替代被感染的那个,再把这个文件的权限设为只能读取+不可删除!这样就能解决了,不过前题是要断网才行,断网能看到这个userinit.exe 仍驻留在进程中.一般这个进程只是在开机启动时有用,进去系统就关闭了,如果长期驻留就说明你中招了
igm.exe病毒的中毒表现是:
这个是一个下载类的病毒,中了它并不可怕,但是igm.exe会下载更多的病毒,导致电脑出现不同的症状。这个病毒的主要表现是在
1.系统进程中有igm.exe进程。
2.MSconfig的启动项里有IGM.EXE 。
3.磁盘主目录中有auto.exe和autorun.inf。
如果有以上的症状,表面中了igm.exe病毒。
igm.exe病毒专杀:
这个病毒其实很简单,大家手动操作即可以解决,下面是清除办法(3种清除igm.exe病毒的方法):
清除igm.exe病毒方法一(推荐):
1、进入安全模式
2、搜索以下文件名igm、upxdnd、msimms32、msccrt、mppds、kvsc3、diskman32、cmdbcs.exe以及它们相应的dll文件,全部删除。
3、搜索注册表,上述相应的键值全部删除
4、搜索隐藏文件所有盘下的auto.exe和autorun.inf,删除!
5、运行msconfig,禁用一个如4f506c9e的服务。
6、退出重启xp ,igm.exe已经被清除,此时建议全盘杀毒。
清除igm.exe病毒方法二:
先打开cmd (按开始-运行-输入“CMD”-打开-出现黑框)
然后输入下边说要输入的命令,回车。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f
比如要禁用IGM.EXE,那么就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
这样IGM.EXE病毒不会发作了。
取消方法:
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\程序名" /f
以上用的是IFEO技术禁用文件的方法实现禁用病毒的。
ps:建议运行上面命令后重启电脑,全盘杀毒。并修复注册表。
清除igm.exe病毒方法三:
1.在安全模式下,强制删除以下文件
c:/windows/system32/kvdxsbma.dll
c:/windows/system32/rsjzbpm.dll
c:/windows/system32/kvdxcma.dll
c:/windows/system32/ratbfpi.dll
c:/windows/system32/avwlbmn.dll
c:/windows/system32/kaqhezy.dll
c:/windows/system32/kapjbzy.dll
c:/windows/system32/sidjazy.dll
c:/windows/system32/avwgcmn.dll
c:/windows/system32/raqjbpi.dll
c:/windows/system32/avzxdmn.dll
c:/windows/system32/rarjbpi.dll
c:/windows/system32/kawdbzy.dll
c:/windows/system32/rsztcpm.dll
c:/windows/system32/rsmydpm.dll
c:/windows/system32/sidjazy.dll
c:/windows/igw.exe
c:/windows/igm.exe
c:/windows/system32/sedrsvedt.exe
c:\winnt\igm.exe
c:\winnt\system32\rsjzbpm.dll
c:\winnt\system32\racvsvc.exe
c:\winnt\system32\drivers\svchost.exe
c:\winnt\cmdbcs.exe
c:\winnt\dbghlp32.exe
c:\winnt\nvdispdrv.exe
c:\winnt\upxdnd.exe
c:\winnt\system32\cmdbcs.dll
c:\winnt\system32\dbghlp32.dll
c:\winnt\system32\upxdnd.dll
c:\winnt\system32\yfmtdiouaf.dll
c:\program files\microsoft activesync\rapiproxystub.dll(这个注意,正常的rapiproxystub.dll是版本信息是微软的,用于Rapi代理组件。要注意检查,如果不是微软,就可能是病毒,此例中可能不是,因为该电脑有装手机同步软件,但这里专门列出识别的内容供大家参考)
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[{2D561258-45F3-A451-F908-A258458226D2}] <C:/WINDOWS/system32/kvdxsbma.dll>
[{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}] <C:/WINDOWS/system32/rsjzbpm.dll>
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:/WINDOWS/system32/kvdxcma.dll>
[{66650011-3344-6688-4899-345FABCD1566}] <C:/WINDOWS/system32/ratbfpi.dll>
[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:/WINDOWS/system32/avwlbmn.dll>
最新相关文章发表评论