先打开cmd (按开始-运行-输入“CMD”-打开-出现黑框)
然后输入下边说要输入的命令,回车。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f
比如要禁用IGM.EXE,那么就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
这样的话,即使IGM.EXE文件存在也没法运行了,病毒不会发作了呵呵~
不信的话可以自己试试俄~比如禁止QQ运行。
那么命令就是
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d debugfile.exe /f
输入后你关掉QQ就再也打不开了
取消方法:
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /f
以上用的是IFEO技术禁用文件的方法实现禁用病毒的。
-------------------------------------------------------------------------------------------------------------------
IGM病毒免疫
md %windir%\IGM.exe
md %Temp%\QQSC.exe8
md %Temp%\close.exe
md %Temp%\tomons.exe
ATTRIB +R +H +S %windir%\IGM.exe
ATTRIB +R +H +S %Temp%\QQSC.exe
ATTRIB +R +H +S %Temp%\close.exe
ATTRIB +R +H +S %Temp%\tomons.exe
echo y| CACLS %windir%\IGM.exe /c /p everyone:n
echo y| CACLS %Temp%\QQSC.exe /c /p everyone:n
echo y| CACLS %Temp%\close.exe /c /p everyone:n
echo y| CACLS %Temp%\tomons.exe /c /p everyone:n
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.exe" /v debugger /t reg_sz /d debugfile.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQSC.exe" /v debugger /t reg_sz /d debugfile.exe /f
全部复制到TXT文件后改后缀名为BAT
--------------------------------------------------------------------------------------
IGM最终免疫方法(只需两行批处理)
此病毒还没有收尾,听说还要大量爆发,病毒就像BT下载的道理:中的人越多,传播得越快.希望大家尽快全部免疫,让其无法传播.
这个方法最为简单,只需要2行批处理,停了还原先手动运行一次,然后加入启动项,每次开机时运行.对任何像IGM病毒一样的病毒都有效果.永不复发。这次的特点就是,不管你的电脑有没有中,用了都有效。
原理是开机第一时间自动结束userinit.exe进程.所以这里要大家注意,必须是放在启动项,(或共享路径),因为我们现在讲究的是在开机第一时间解决主动程序.后面我就不用说了.
wmic process where name="userinit.exe" call terminate
echo y|cacls c:\windows\system32\userinit.exe /g everyone:r
针对有些网吧电脑已经中招的也可以简单解决,关掉还原软件,不插网线启动后,将第二套方案中的批处理运行一次并加入启动项.便解决了.。完全没有必要恢复系统就能实现:
可能有朋友会问,我为什么只针对userinit.exe,如果病毒变名usrinit.exe呢,这里我要说明一下,这个问题是最近两天很多人理解的误区,机器狗(IGM)病毒他只能穿文件,不能在系统中增加文件,而且要做到随系统加载驱动而启动,只能靠userinit.exe的特殊功能,别无他法。所以我才敢如此自信的说:最终免疫。
本人用IGM病毒及变种反复试验得出此结论。
可能有人觉得太简单了,但事实就是这样,,一试便知。
其实在此次IGM病毒爆发中我们可以得出一个结论,就是我们一直存在一个误区,就是等病毒启动了,生成了文件,再对其生成的文件免疫,而userinit这个文件一开始就被人忽略了(因为他是系统文件),现在我们从新从源头出手,从根本上铲除。这也给我们以后的工作再来了一个启发。
关于盗号的问题,找到这个文件,c:\windows\system32\run.bat 屏蔽里面的网址,启动他的文件是c:\windows\system32\3.vbs
(测试的朋友注意:正确的测试方法不是手动点击userinit.exe文件,而是将userinit.exe复制到system32目录下将其覆盖,然后注销或重启才能测试出来。)
