扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
有人说它是继“熊猫烧香”、“机器狗”之后的第三大病毒,可是单从它本身不会对机子产生什么破坏,而是不断的下载木马来说,它的破坏能力比不上“熊猫烧香”,如果单机运行,不接外网,它不会发作。一接入外网,迅速的频繁下载木马,都不知道它到底下载了多少木马,这是它的可恨之处。
表现症状:
(1)关闭杀毒软件;
(2)进程里出现好多文件;如:igm.exe、kawdcaz.exe、sidjcaz.exe、avwgest.exe、rsmyhsp.exe 很多,就不一一列举。在windows目录里出现好多像上边的文件,还有链接库文件。 system32文件夹里也有。C:\Documents and Settings\用户名文件夹里有扩展名为tmp的文件,如1.tmp 2.tmp……随机文件。在C:\Documents and Settings\用户名\Local Settings\Temporary internet files\文件夹里有网址,如http://2.exiao01.com/2.exe,http://1.jopenkk.com/test.cer
(3)启动项里多出好几个,类似进程里的文件
(4)当连接的时候他会已ARP欺骗的形式绕过防火墙。严重影响网络速度。
(5)用netstat命令,查看不断与外面的IP建立连接,如:59.34.198.165
这些表现症状都不重要,对于有还原卡的机子是不会造成威胁的,断网之后,重启,病毒是不会发作的,重要的是我昨天刚发现的(准确的说是从网上发现的,网上有好多关于杀掉igm病毒的办法,可都不能从根本上解决)病毒修改了userinit文件。原来的这个文件的版本号消失了。它才是根结所在。
废话就不多说了,解决方法:
1、主要针对有还原卡的机子的解决方法:
断网。取消还原功能。从无病毒的机子上拷贝userinit文件,复制到有病毒的机子上,比如说复制到D盘下。前提:断网的情况下;必须是DOS下(因为userinit.exe文件,在进入windows后要使用的文件,所以不能直接在windows下代替),如果你的机子不能进入DOS,自己想办法吧,用copy d:\userinit.exe windows\system32 ,它会提示是否代替,选Y。
2、针对无还原功能的机子:
(1)首先要断网;
(2)结束病毒进程;
(3)在windows目录下产生了好多执行文件和链接库文件(日期是今天)删掉;
(4)在system32目录下也产生了很多今天的文件,不要手软,全删;
(5)在C:\Documents and Settings\用户名文件夹里多了好多以tmp为扩展名的文件,删——
(6)C:\Documents and Settings\Administrator\Application Data出现好多网址,删——
(7)修复注册表,可以直接搜索病毒文件,也可以用工具修复;
(8)复制好的userinit.exe文件,重启,进入DOS,代替。(同上)
(9)全盘杀毒,这个木马它本身没有多么大的影响力,可是它下载的木马文件太多了。
最后以一句话结束:毕竟还原卡不是吃干饭的,虽然穿透了还原卡,但比起没有还原卡的机子,解决起来要省事的多。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。