基礎信息
igm - igm.exe - 進程信息
進程檔案: igm 或者 igm.exe
進程名稱: 未知N/A
描述:
igm.exe 和IGM病毒相關程式。木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。
出品者: 未知N/A
屬於: 未知N/A
系統進程: 否
後台程式: 是
使用網路: 是
硬體相關: 否
常見錯誤: 未知N/A
記憶體使用: 未知N/A
間諜軟體: 否
廣告軟體: 否
病毒: 是
木馬: 是
病毒表現
igm.exe病毒的中毒表現是:
從2007年10月起開始流行
下載0.exe~19.exe 經過異常慘烈的自相殘殺以後 最終N多檔案(參看檔案刪除)
這個是一個下載類的病毒,中了它並不可怕,但是igm.exe會下載更多的病毒,導致電腦出現不同的症狀。這個病毒的主要表現是在
1.系統進程中有igm.exe進程。
2.MSconfig的啟動項里有IGM.EXE 。
3.磁碟主目錄中有auto.exe和autorun.inf。
如果有以上的症狀,表面中了igm.exe病毒。
igm.exe病毒專殺:
在網上發現一強人寫的腳本,給大家下載: igm.exe病毒專殺下載
這個病毒其實很簡單,大家手動操作即可以解決,下面是清除辦法(3種清除igm.exe病毒的方法):
清除方法
清除igm.exe病毒方法一(推薦):
1、進入安全模式
2、搜尋以下檔案名稱igm、upxdnd、msimms32、msccrt、mppds、kvsc3、diskman32、cmdbcs.exe以及它們相應的dll檔案,全部刪除。
3、搜尋註冊表,上述相應的鍵值全部刪除
4、搜尋隱藏檔案所有盤下的auto.exe和autorun.inf,刪除!
5、運行msconfig,禁用一個如4f506c9e的服務。
6、退出重啟xp ,igm.exe已經被清除,此時建議全盤防毒。
清除igm.exe病毒方法二:
先打開cmd (按開始-運行-輸入“CMD”-打開-出現黑框)
然後輸入下邊說要輸入的命令,回車。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止運行的檔案" /v debugger /t reg_sz /d debugfile.exe /f
比如要禁用IGM.EXE,那么就要輸入這個命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
這樣IGM.EXE病毒不會發作了。
取消方法:reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\程式名" /f
以上用的是IFEO技術禁用檔案的方法實現禁用病毒的。
ps:建議運行上面命令後重啟電腦,全盤防毒。並修復註冊表。
清除igm.exe病毒方法三:
1.在安全模式下,強制刪除以下檔案
c:/windows/system32/kvdxsbma.dll
c:/windows/system32/rsjzbpm.dll
c:/windows/system32/kvdxcma.dll
c:/windows/system32/ratbfpi.dll
c:/windows/system32/avwlbmn.dll
c:/windows/system32/kaqhezy.dll
c:/windows/system32/kapjbzy.dll
c:/windows/system32/sidjazy.dll
c:/windows/system32/avwgcmn.dll
c:/windows/system32/raqjbpi.dll
c:/windows/system32/avzxdmn.dll
c:/windows/system32/rarjbpi.dll
c:/windows/system32/kawdbzy.dll
c:/windows/system32/rsztcpm.dll
c:/windows/system32/rsmydpm.dll
c:/windows/system32/sidjazy.dll
c:/windows/igw.exe
c:/windows/igm.exe
c:/windows/system32/sedrsvedt.exe
c:\winnt\igm.exe
c:\winnt\system32\rsjzbpm.dll
c:\winnt\system32\racvsvc.exe
c:\winnt\system32\drivers\svchost.exe
c:\winnt\system32\swchost.exe
c:\winnt\cmdbcs.exe
c:\winnt\dbghlp32.exe
c:\winnt\nvdispdrv.exe
c:\winnt\upxdnd.exe
c:\winnt\system32\cmdbcs.dll
c:\winnt\system32\dbghlp32.dll
c:\winnt\system32\upxdnd.dll
c:\winnt\system32\yfmtdiouaf.dll
c:\program files\microsoft activesync\rapiproxystub.dll(這個注意,正常的rapiproxystub.dll是版本信息是微軟的,用於Rapi代理組件。要注意檢查,如果不是微軟,就可能是病毒,此例中可能不是,因為該電腦有裝手機同步軟體,但這裡專門列出識別的內容供大家參考)
2.刪除重啟後使用SREng修復下面各項:
啟動項目 -- 註冊表之如下項刪除:
[] <C:/WINDOWS/system32/kvdxsbma.dll>
[] <C:/WINDOWS/system32/rsjzbpm.dll>
[] <C:/WINDOWS/system32/kvdxcma.dll>
[] <C:/WINDOWS/system32/ratbfpi.dll>
[] <C:/WINDOWS/system32/avwlbmn.dll>
創建註冊表啟動項目
創建系統服務項目:
[Telephotsgoogle / Winownes][Stopped/Auto Start]
<C:\windows\system32\sedrsvedt.exe><N/A>
創建N多進程
自動下載最新盜號木馬
修改註冊表關閉防火牆
嚴重導致無法正常進入系統
查殺辦法
一、先用XDelBox1.5R將以下檔案強制刪除
C:\windows\IGM.exe
C:\windows\system32\kafyezy.dll
C:\windows\system32\rsjzbpm.dll
C:\windows\system32\kvdxcma.dll
C:\windows\system32\ratbfpi.dll
C:\windows\system32\avwlbmn.dll
C:\windows\system32\kaqhezy.dll
C:\windows\system32\kapjbzy.dll
C:\windows\system32\sidjazy.dll
C:\windows\system32\avwgcmn.dll
C:\windows\system32\raqjbpi.dll
C:\windows\system32\avzxdmn.dll
C:\windows\system32\rarjbpi.dll
C:\windows\system32\kawdbzy.dll
C:\windows\system32\rsztcpm.dll
C:\windows\system32\rsmydpm.dll
C:\windows\system32\kvdxsbma.dll
C:\windows\system32\LYLoader.exe
C:\windows\system32\sedrsvedt.exe
二、用sreng2刪除以下的註冊表項
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<WinSysM><C:\windows\IGM.exe> []
<WinSys><C:\windows\IGW.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kapjbzy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<><C:\windows\system32\rsmydpm.dll> []
<><C:\windows\system32\rsztcpm.dll> []
<><C:\windows\system32\kawdbzy.dll> []
<><C:\windows\system32\rarjbpi.dll> []
<><C:\windows\system32\avzxdmn.dll> []
<><C:\windows\system32\raqjbpi.dll> []
<><C:\windows\system32\avwgcmn.dll> []
<><C:\windows\system32\sidjazy.dll> []
<><C:\windows\system32\kapjbzy.dll> []
<><C:\windows\system32\kaqhezy.dll> []
<><C:\windows\system32\avwlbmn.dll> []
<><C:\windows\system32\ratbfpi.dll> []
<><C:\windows\system32\kvdxcma.dll> []
<><C:\windows\system32\rsjzbpm.dll> []
<><C:\windows\system32\kafyezy.dll> []
三、將註冊表中[AppInit_DLLs]項值清空
四、將Win32服務應用程式之如下項禁用
[Telephotsgoogle / Winownes] <C:\WINDOWS\system32\sedrsvedt.exe>
五、掃尾
將近一天全部新創建的垃圾.dll .exe .fon檔案刪除
六、禁止一個惡意網站
在C:\WINDOWS\system32\drivers\etc 目錄下的 hosts檔案
添加 127.0.0.1 59.34.148.217
七、恢復Windows防火牆
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 刪除 AU整個項目以恢復防火牆設定
到安裝有相同作業系統的的機子上拷貝C:\WINDOWS\system32verclsid.exe到本機