IGM病毒详情及完全解决方案

IGM病毒中招后的现象：

大量占用网络资源，网速奇卡，造成拥塞导致掉线。
IE，QQ等应用程序打开后就自动关闭。
运行msconfig，发现启动项目里多出一个igm.exe
CPU使用率100%100，多出N多可疑进程，例如：a.exe cmd.exe 23.exe…………
最恶心的是新出的变种，替换C盘的userinit.exe，大家都知道网吧里都有还原装置，要么是冰点，要么是还原卡，可是他的厉害之处类似机器狗，穿透还原，更改userinit.exe

IGM病毒动作，运行原理

通过一些问题网站下载，机器狗病毒。 机器狗病毒通过磁盘驱动，穿透还原替换原userinit.exe，（替换后userinit.exe就是个木马下载器也就是通过它下载的IGM.exe）在中毒机器重起后开机后系统会自动启动userinit.exe文件这时候下载各种木马包括IGM.exe.

通过修改注册表达到自动启动的目的，启动后生成以下病毒进程。

c:/WINDOWS/IGW.exe
c:/WINDOWS/AVPSrv.exe
c:/WINDOWS/DiskMan32.exe
c:/WINDOWS/IGM.exe
c:/WINDOWS/Kvsc3.exe
c:/WINDOWS/lqvytv.exe
c:/WINDOWS/MsIMMs32.exe
c:/WINDOWS/system32/3CEBCAF.EXE
c:/WINDOWS/system32/a.exe
c:/WINDOWS/upxdnd.exe
c:/WINDOWS/WinForm.exe
c:/WINDOWS/system32/rsjzbpm.dll
c:/WINDOWS/system32/racvsvc.exe
c:/WINDOWS/dbghlp32.exe
c:/WINDOWS/nvdispdrv.exe
c:/WINDOWS/system32/cmdbcs.dll
c:/WINDOWS/system32/dbghlp32.dll
c:/WINDOWS/system32/upxdnd.dll
c:/WINDOWS/system32/yfmtdiouaf.dll

userinit.exe 下载木马IP都是 浙江省绍兴市 电信IDC机房，

有 60.190.203.150，59.34.198.103 ，60.190.222.235


重点介绍解决办法：

如果是是网吧，而且硬盘分区格式是NTFS，用的是上海维图的转转游戏更新系统，那么恭喜你，你只要保证服务器上的userinit.exe 没有被病毒感染，就没有问题，在服务端的配置文件里设置客户机开机自动把服务器上的userinit.exe 复制到c:/windows/system32 下。把修改过的hosts 文件覆盖到本地到c:/windows/system32/drivers/etc/下，把病毒进程列表添加到禁止运行列表。

如果硬盘分区格式是FAT32，因为转转更新系统不能直接转储C盘文件，所以要拷贝新的userinit文件，请自己编辑批处理，把以下内容加到第一行里边(路径自己改）
copy d:/病毒预防/userinit.exe c:/windows/system32
如果用的不是转转更新系统，就要麻烦一点，先将所有设备断电重起，观察有没有穿透现象，客户机的userinit.exe如果如图，那说明没有被穿透，如果被修改，比如大小改变，版本信息不正确，那就把感染的userinit.exe删除，复制一个干净的来。

正常的userinit.exe：





删除启动项目里的不正常项目（如果你是负责你那个局域网，想必一定知道哪些是正常哪些是不正常）

正常的userinit.exe：




下面是重点：

进路由，屏蔽以下网站和域名：（下面这个列表，是以TP-LINK路由器为例的，其他牌子和型号的路由器显示的界面和使用方法不一样，具体请看说明书.


ID 生效时间 域 名 状 态 配 置

1 0000-2400 t.11se.com 生效 编辑 删除
2 0000-2400 www.94ak,com 生效 编辑 删除
3 0000-2400 www.99mmm,com 生效 编辑 删除 (为了避免会员误点，我把.com之前的.改成,了)
4 0000-2400 ask.35832.com 生效 编辑 删除
5 0000-2400 www.35832,com 生效 编辑 删除 6 0000-2400 www.15197,com 生效 编辑 删除
7 0000-2400 www.91ni,com 生效 编辑 删除
8 0000-2400 www.161816,com 生效 编辑 删除


如果你用的是软路由，添加以下脚本：（这个脚本是以ROS为例。没办法，手上兼职的网吧只有这么几个，本文只能对硬路由TP-LINK和软路由ROS做出实战讲解，有其他型号的朋友，可以把配置方法发给我，我补充。）


ROS脚本：

/ ip firewall filter
add chain=forward content=t.11se.com action=reject
add chain=forward content=www.94ak.com action=reject
add chain=forward content=www.99mmm.com action=reject
add chain=forward content=ask.35832.com action=reject
add chain=forward content=www.35832.com action=reject
add chain=forward content=832823.cn action=reject
add chain=forward dst-address=212.22.225.82/32 action=drop
add chain=forward dst-address=203.174.87.210/32 action=drop
add chain=forward dst-address=64.233.167.99/32 action=drop
add chain=forward dst-address=58.211.79.107/32 action=drop
add chain=forward dst-address=219.153.42.98/32 action=drop
add chain=forward dst-address=221.130.191.207/32 action=drop




把以下进程列入危险进程：

c:/WINDOWS/IGW.exe（新变种）
c:/WINDOWS/AVPSrv.exe
c:/WINDOWS/DiskMan32.exe
c:/WINDOWS/IGM.exe
c:/WINDOWS/Kvsc3.exe
c:/WINDOWS/lqvytv.exe
c:/WINDOWS/MsIMMs32.exe
c:/WINDOWS/system32/3CEBCAF.EXE
c:/WINDOWS/system32/a.exe
c:/WINDOWS/upxdnd.exe
c:/WINDOWS/WinForm.exe
c:/WINDOWS/system32/rsjzbpm.dll
c:/WINDOWS/system32/racvsvc.exe
c:/WINDOWS/dbghlp32.exe
c:/WINDOWS/nvdispdrv.exe
c:/WINDOWS/system32/cmdbcs.dll
c:/WINDOWS/system32/dbghlp32.dll
c:/WINDOWS/system32/upxdnd.dll
c:/WINDOWS/system32/yfmtdiouaf.dll


注：可以编辑批处理放在服务器上共享，客户机远程调用。要不然一台一台的不把人累死。

免疫及专杀工具下载
按此下载