解决穿透还原卡病毒igm.exe

有人说它是继“熊猫烧香”、“机器狗”之后的第三大病毒，可是单从它本身不会对机子产生什么破坏，而是不断的下载木马来说，它的破坏能力比不上“熊猫烧香”，如果单机运行，不接外网，它不会发作。一接入外网，迅速的频繁下载木马，都不知道它到底下载了多少木马，这是它的可恨之处。
     表现症状：
（1）关闭杀毒软件；
（2）进程里出现好多文件；如：igm.exe、kawdcaz.exe、sidjcaz.exe、avwgest.exe、rsmyhsp.exe 很多，就不一一列举。在windows目录里出现好多像上边的文件，还有链接库文件。 system32文件夹里也有。C:\Documents and Settings\用户名文件夹里有扩展名为tmp的文件，如1.tmp 2.tmp……随机文件。在C:\Documents and Settings\用户名\Local Settings\Temporary internet files\文件夹里有网址，如http://2.exiao01.com/2.exe,http://1.jopenkk.com/test.cer
（3）启动项里多出好几个，类似进程里的文件
（4）当连接的时候他会已ARP欺骗的形式绕过防火墙。严重影响网络速度。
（5）用netstat命令，查看不断与外面的IP建立连接，如：59.34.198.165
    这些表现症状都不重要，对于有还原卡的机子是不会造成威胁的，断网之后，重启，病毒是不会发作的，重要的是我昨天刚发现的（准确的说是从网上发现的，网上有好多关于杀掉igm病毒的办法，可都不能从根本上解决）病毒修改了userinit文件。原来的这个文件的版本号消失了。它才是根结所在。
废话就不多说了，解决方法：
1、主要针对有还原卡的机子的解决方法：
     断网。取消还原功能。从无病毒的机子上拷贝userinit文件，复制到有病毒的机子上,比如说复制到D盘下。前提：断网的情况下；必须是DOS下（因为userinit.exe文件，在进入windows后要使用的文件，所以不能直接在windows下代替），如果你的机子不能进入DOS，自己想办法吧，用copy d:\userinit.exe  windows\system32  ,它会提示是否代替，选Y。
2、针对无还原功能的机子：
 （1）首先要断网；
 （2）结束病毒进程；
 （3）在windows目录下产生了好多执行文件和链接库文件（日期是今天）删掉；
 （4）在system32目录下也产生了很多今天的文件，不要手软，全删；
 （5）在C:\Documents and Settings\用户名文件夹里多了好多以tmp为扩展名的文件，删——
 （6）C:\Documents and Settings\Administrator\Application Data出现好多网址，删——
 （7）修复注册表，可以直接搜索病毒文件，也可以用工具修复；
 （8）复制好的userinit.exe文件，重启，进入DOS，代替。（同上）
 （9）全盘杀毒，这个木马它本身没有多么大的影响力，可是它下载的木马文件太多了。

最后以一句话结束：毕竟还原卡不是吃干饭的，虽然穿透了还原卡，但比起没有还原卡的机子，解决起来要省事的多。