C114通信网 通信人家园 通信百科
注册 登录 帮助 手机版 RSS订阅
到百科首页
     
帮助:   欢迎你通信人 编辑教程 用户手册 通信百科FAQ
试用:   操作图解 小试牛刀
通信百科
编辑词条 打印 收藏

igm.exe


   

   igm - igm.exe - 进程信息
进程文件: igm 或者 igm.exe
进程名称: 未知N/A
  
描述:
igm.exe 和IGM病毒相关程序。木马允许攻击者访问你的计算机,窃取密码和个人数据。
出品者: 未知N/A
属于: 未知N/A
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A   
间谍软件: 否
广告软件: 否
病毒: 是
木马: 是


igm.exe病毒的中毒表现是:
从2007年10月起开始流行
此病毒链接到down.dj7788.cn(59.34.148.217 ,广东省茂名市 电信ADSL )
下载0.exe~19.exe 经过异常惨烈的自相残杀以后 最终N多文件(参看文件删除)
这个是一个下载类的病毒,中了它并不可怕,但是igm.exe会下载更多的病毒,导致电脑出现不同的症状。这个病毒的主要表现是在
1.系统进程中有igm.exe进程。
2.MSconfig的启动项里有IGM.EXE 。
3.磁盘主目录中有auto.exe和autorun.inf。
如果有以上的症状,表面中了igm.exe病毒。
igm.exe病毒专杀:
在网上发现一强人写的脚本,给大家下载: igm.exe病毒专杀下载 (http://23live.cn/article.asp?id=77,网站使用了防盗链,只能登录下载)。
这个病毒其实很简单,大家手动操作即可以解决,下面是清除办法(3种清除igm.exe病毒的方法):
清除igm.exe病毒方法一(推荐):
1、进入安全模式   
2、搜索以下文件名igm、upxdnd、msimms32、msccrt、mppds、kvsc3、diskman32、cmdbcs.exe以及它们相应的dll文件,全部删除。   
3、搜索注册表,上述相应的键值全部删除  
4、搜索隐藏文件所有盘下的auto.exe和autorun.inf,删除!  
5、运行msconfig,禁用一个如4f506c9e的服务。   
6、退出重启xp ,igm.exe已经被清除,此时建议全盘杀毒。
清除igm.exe病毒方法二:
先打开cmd (按开始-运行-输入“CMD”-打开-出现黑框)
然后输入下边说要输入的命令,回车。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f
比如要禁用IGM.EXE,那么就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE"    /v debugger    /t reg_sz    /d debugfile.exe    /f
这样IGM.EXE病毒不会发作了。
取消方法:
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\程序名" /f
以上用的是IFEO技术禁用文件的方法实现禁用病毒的。
ps:建议运行上面命令后重启电脑,全盘杀毒。并修复注册表。
清除igm.exe病毒方法三:
1.在安全模式下,强制删除以下文件
c:/windows/system32/kvdxsbma.dll
c:/windows/system32/rsjzbpm.dll
c:/windows/system32/kvdxcma.dll
c:/windows/system32/ratbfpi.dll
c:/windows/system32/avwlbmn.dll
c:/windows/system32/kaqhezy.dll
c:/windows/system32/kapjbzy.dll
c:/windows/system32/sidjazy.dll
c:/windows/system32/avwgcmn.dll
c:/windows/system32/raqjbpi.dll
c:/windows/system32/avzxdmn.dll
c:/windows/system32/rarjbpi.dll
c:/windows/system32/kawdbzy.dll
c:/windows/system32/rsztcpm.dll
c:/windows/system32/rsmydpm.dll
c:/windows/system32/sidjazy.dll
c:/windows/igw.exe
c:/windows/igm.exe
c:/windows/system32/sedrsvedt.exe
c:\winnt\igm.exe
c:\winnt\system32\rsjzbpm.dll
c:\winnt\system32\racvsvc.exe
c:\winnt\system32\drivers\svchost.exe
c:\winnt\system32\swchost.exe
c:\winnt\cmdbcs.exe
c:\winnt\dbghlp32.exe
c:\winnt\nvdispdrv.exe
c:\winnt\upxdnd.exe
c:\winnt\system32\cmdbcs.dll
c:\winnt\system32\dbghlp32.dll
c:\winnt\system32\upxdnd.dll
c:\winnt\system32\yfmtdiouaf.dll
c:\program files\microsoft activesync\rapiproxystub.dll(这个注意,正常的rapiproxystub.dll是版本信息是微软的,用于Rapi代理组件。要注意检查,如果不是微软,就可能是病毒,此例中可能不是,因为该电脑有装手机同步软件,但这里专门列出识别的内容供大家参考)
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[] <C:/WINDOWS/system32/kvdxsbma.dll>
[] <C:/WINDOWS/system32/rsjzbpm.dll>
[] <C:/WINDOWS/system32/kvdxcma.dll>
[] <C:/WINDOWS/system32/ratbfpi.dll>
[] <C:/WINDOWS/system32/avwlbmn.dll>


创建注册表启动项目
创建系统服务项目:
[Telephotsgoogle / Winownes][Stopped/Auto Start]
<C:\windows\system32\sedrsvedt.exe><N/A>
创建N多进程
自动下载最新盗号木马
修改注册表关闭防火墙
严重导致无法正常进入系统

查杀办法
一、先用XDelBox1.5R将以下文件强制删除~
C:\windows\IGM.exe
C:\windows\system32\kafyezy.dll
C:\windows\system32\rsjzbpm.dll
C:\windows\system32\kvdxcma.dll
C:\windows\system32\ratbfpi.dll
C:\windows\system32\avwlbmn.dll
C:\windows\system32\kaqhezy.dll
C:\windows\system32\kapjbzy.dll
C:\windows\system32\sidjazy.dll
C:\windows\system32\avwgcmn.dll
C:\windows\system32\raqjbpi.dll
C:\windows\system32\avzxdmn.dll
C:\windows\system32\rarjbpi.dll
C:\windows\system32\kawdbzy.dll
C:\windows\system32\rsztcpm.dll
C:\windows\system32\rsmydpm.dll
C:\windows\system32\kvdxsbma.dll
C:\windows\system32\LYLoader.exe
C:\windows\system32\sedrsvedt.exe

二、用sreng2删除以下的注册表项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<WinSysM><C:\windows\IGM.exe> []
<WinSys><C:\windows\IGW.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kapjbzy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<><C:\windows\system32\rsmydpm.dll> []
<><C:\windows\system32\rsztcpm.dll> []
<><C:\windows\system32\kawdbzy.dll> []
<><C:\windows\system32\rarjbpi.dll> []
<><C:\windows\system32\avzxdmn.dll> []
<><C:\windows\system32\raqjbpi.dll> []
<><C:\windows\system32\avwgcmn.dll> []
<><C:\windows\system32\sidjazy.dll> []
<><C:\windows\system32\kapjbzy.dll> []
<><C:\windows\system32\kaqhezy.dll> []
<><C:\windows\system32\avwlbmn.dll> []
<><C:\windows\system32\ratbfpi.dll> []
<><C:\windows\system32\kvdxcma.dll> []
<><C:\windows\system32\rsjzbpm.dll> []
<><C:\windows\system32\kafyezy.dll> []

三、将注册表中[AppInit_DLLs]项值清空

四、将Win32服务应用程序之如下项禁用
[Telephotsgoogle / Winownes] <C:\WINDOWS\system32\sedrsvedt.exe>

五、扫尾,将近一天全部新创建的垃圾.dll .exe .fon文件删除,哗哗哗

六、屏蔽一个恶意网站
在C:\WINDOWS\system32\drivers\etc 目录下的 hosts文件
添加 127.0.0.1 59.34.148.217

七、恢复Windows防火墙
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 删除 AU整个项目以恢复防火墙设置
到安装有相同操作系统的的机子上拷贝C:\WINDOWS\system32verclsid.exe到本机



   

我来完善词条     期待词条更完善  
自定义分类:
病毒计算机安全
 
贡献者:
itisac
返回顶部

Copyright © 1999-2024 C114 All Rights Reserved | 联系我们 | 沪ICP备12002291号-4