查看文章 |
IGM病毒和机器狗病毒的查杀防治 免疫补丁 Tag: 机器狗病毒防治 机器狗的防治 如何防治机器狗病毒 机器狗 机器狗病毒 机器狗补丁 机器狗专杀 机器狗变种 机器狗免疫 机器狗专杀工具 机器狗免疫补丁 进入了金秋十月,没想到却是一种新型病毒在网吧泛滥的日子,似乎每隔一段时间,就有一种比较厉害的新病毒出现,并且传播广泛,查杀困难,比如之前的logo威金的泛滥,后来的熊猫烧香的肆虐,到今天的机器狗的横行。 对付机器狗或igm病毒的查杀,目前网络上并没有很好的方法,也没有相应良好的专杀工具,经过网络大量搜集,包括自己处理的一些方法,特写了这篇文章,给饱受机器狗病毒折磨的网吧网管一点启示吧。经过我的方法测试,对于机器狗和iGM病毒,基本5分钟可以快速处理完毕,并且不再复发。在此,我要说明的是,此方法对目前的机器狗病毒绝对有效,但不保证将来的变种,其次,还要感谢天下网盟论坛的qjldw网友,他提供的思路是比较关键的。 先说说IGM病毒的特征: 1.病毒本身没有多少,只有一两个,却能利用底层驱动饶过几乎所有的网吧还原软件,比如冰点,还原精灵等等,饶过还原的病毒体,加载并修改系统的userinit,登陆系统后开始自动下载各类游戏盗号木马,比如魔兽,问道木马等。这些木马是即时下载的,由于网吧有还原软件,重启后,木马会消失,但病毒会在下一次开机又自动下载,并且类似于ARP病毒样,干扰网吧的IP,造成IP冲突或无法上网等症状。下载时系统会提示安装类似*.tmp的文件,在进程中可以看见,当然,还有IGM.EXE,upxdnd.exe,msimms32.EXE,mppds.EXE,kvsc3.EXE,diskman32.EXE,cmdbcs.exe.EXE,诸如此类等。 2.机器狗病毒还没有彻底的专杀工具,只能期待了,目前网络上有专杀IGM.exe工具,但并不完善,作用不大,因为程序太小,只对付igm,并不能防止病毒对userinit的修改和底层驱动的还原软件的饶过。 3.本人发现,许多安全杀毒软件已经能识别此病毒,并能查杀,但杀完重启动后,会对万象2004客户端造成破坏,杀完各类木马重启后,万象2004客户端不能进入,出错方式因万象版本不同可能有所不同.由于万象是依赖userinit进行工作的,病毒修改了userinit,所以你杀了病毒,也将导致万象客户端无所依赖,最终系统无法进入。万象2004有些能在客户端卸载,能卸载的建议首先进入系统后卸载,再查杀病毒,如果进入万象设置----常用工具------卸载,却点的没反应的,就不用这种方法了。 好了,简单说了下机器狗和igm病毒的特征及造成的破坏,下面就介绍简单有效的应付方法了。按如下步骤执行: 1.先把还原软件功能关闭(各类还原软件方法不同),进入安全模式(这步是防止你正常进入系统,病毒已开始自动下载,你查杀的速度赶不上病毒的下载速度,当然,你没装万象的防逃费助手internat.exe的话,可以拔掉网线进行操作),总之,先进入安全模式。
3.将复制过来的userinit.exe改名,随便的名,比如我改成my.exe(记得扩展名),然后在注册表,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe, 改为:C:\WINDOWS\system32\my.exe, (注意my.exe后有个逗号),之后再复制一份正常的userinit.exe在system32目录下,给其加上只读,隐藏,存档等权限。(为什么要再复制,晕,你原来的被改名了变没有了嘛) 4.重启动(有还原软件的可以重启前关闭还原功能,,否则上面忙的这些又没了)。。。。。。病毒再不会自动下载东西了,因为其依赖的userinit.exe路径改了。你不放心的,可以再用360安全卫士或windows清理助手检测一遍。有木马的话杀,没有就ok了。 重要提示:不要等被病毒下载了各类木马后,再去杀毒,否则万象2004重启后可能无法进入,至少在我这里是这样。 总结一下,说了很多,其实处理也就5分钟可以搞定,简单的说,无非就是进入安全模式,结束userinit.,然后复制正常的userinit.到system32目录下,改名,在注册表里修改Winlogon对应的userinit键值。然后再复制一个正常的userinit.到system32目录下(设置权限)。 建议系统正常后,都用杀毒软件彻底杀扫描一遍系统,并打好打全系统补丁。 机器狗病毒专杀工具 ·机器狗免疫补丁>> |
