杭州电脑保姆
发消息 留言 加为好友
用户公告
各位网友好:
    特此申明:本站纯属个人爱好网站,无任何赢利目的,如有涉及侵权-请留言提醒,一定马上删除!
    本站最佳浏览分辨率= 1024 X 768 !
搜索BLOG文章
网友IP追踪



最新评论
·OK656 PSID:230790540 ..
·ok208 PSID:237929202 ..
·PSID:206158181, 开机密..
·PSID:206158181,开机密..
·ok668 qq634700963 6347..
博客基本信息
用户名: lankong
等级: 大学生
在线时间: 4153 分钟
日志总数: 410
评论数量: 448
访问次数: 331157
建立时间: 2007-06-22
友情链接
博客浙江帮助
手机游戏下载
天气预报查询
列车时刻查询
车辆违法查询
各地车牌查询
手机号码查询
手机价格型号
网站排名查询
身份证号验证
免费在线翻译
货币汇率兑换
各种单位转换
阴阳转换功能
简体繁体转换
机票价格时间
五笔编码查询
论坛转贴工具
EMS邮政查询


XML RSS 2.0 WAP
ladyspark.cn
100jz.com
lovegirl.org.cn
digistalstreet.net.cn
我的日志
作者: lankong 复制 收藏
igm.exe-机器狗专杀+免疫2007-11-13

[ 作者:病毒源代码 | 转自:http://www.newjian.com/jisuanjibingdu/2007/1102/1543.html ]

igm.exe病毒中毒症状:

1.MSconfig的启动项里发现IGM.EXE 
2.还自动启动

igm.exe病毒病毒清除办法:

以上两点都具有病毒的特征,自启动和自保护,可以判定这个程序是一个病毒。既然是病毒,就要删除。

清除此文件的突破口就是停止此文件运行。这里就用到了一个禁用文件的命令了,禁用了文件,文件就不会运行,这样就可以轻松清除了~~

先打开cmd (按开始-运行-输入“CMD”-打开-出现黑框),然后输入下边说要输入的命令,回车。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要

禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f

比如要禁用IGM.EXE,那么就要输入这个命令 
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f 
这样的话,即使IGM.EXE文件存在也没法运行了,病毒不会发作了呵呵~

不信的话可以自己试试俄~比如禁止QQ运行。 
那么命令就是 
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d debugfile.exe /f 
输入后你关掉QQ就再也打不开了

取消方法: 
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /f

以上用的是IFEO技术禁用文件的方法实现禁用病毒的。 
禁用成功后,请楼主重新启动计算机,重启后因为病毒已经停止运行 
1.机器狗病毒来历,防御病毒分析资料大全

     经过对样本的分析和测试,DF6.0、DF6.1、DF6.2及以前版本均被成功穿透,这是一个木马下载器,下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP,二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys 
刚写好的ROS脚本,要的自己加上去 
以下为引用的内容: 
/ ip firewall filter 
add chain=forward c.8s7.net/cert.cer action=reject comment="DF6.0" 
add chain=forward c.tomwg.com/mm/mm.jpg action=reject 
add chain=forward c.tomwg.com/mm/wow.jpg action=reject 
add chain=forward c.tomwg.com/mm/mh011.jpg action=reject 
add chain=forward c.tomwg.com/mm/zt.jpg action=reject 
add chain=forward c.tomwg.com/mm/wl.jpg action=reject 
add chain=forward c.tomwg.com/mm/wd.jpg action=reject 
add chain=forward c.tomwg.com/mm/tl.jpg action=reject 
add chain=forward c.tomwg.com/mm/dh3.jpg action=reject 
/ ip firewall filter 
add chain=forward c.221.254.103 action=reject comment="DF6.0"

(批处理注,此批处理最好是安装还原以后再用.) 
以下为引用的内容: 
echo tinking > c:\windows\system32\drivers\pcihdd.sys 
echo y|cacls   c:\windows\system32\drivers\pcihdd.sys /c /d everyone 
echo y|cacls   c:\windows\system32\userinit.exe /c /d everyone 
echo y|cacls   c:\windows\system32\userinit.exe /c /p everyone:r

穿透冰点病毒分析 
004016ED >/$   6A 00         push     0                                 ; /pModule = NULL 
004016EF   |.   E8 80000000   call     00401774                         ; \GetModuleHandleA 
004016F4   |.   A3 F0304000   mov     dword ptr [4030F0], eax 
004016F9   |.   E8 CBF9FFFF   call     004010C9 
004016FE   |.   68 00010000   push     100                               ; /DestSizeMax =

100 (256.) 
00401703   |.   68 F4304000   push     004030F4                         ; |DestString = "" 
00401708   |.   68 2B134000   push     0040132B                         ; |SrcString = "%

SystemRoot%\System32\Userinit.exe" 
0040170D   |.   E8 50000000   call     00401762                         ;

\ExpandEnvironmentStringsA

 
00401712   |.   68 F4304000   push     004030F4                         ; /Arg1 = 004030F4 
00401717   |.   E8 32FCFFFF   call     0040134E                         ; \111.0040134E 
0040171C   |.   0BC0           or       eax, eax 
0040171E   |.   75 0C         jnz     short 0040172C 
00401720   |.   68 E7304000   push     004030E7                         ; /String =

""B2,"?,D7,"",F7,"成?,A6,"" 
00401725   |.   E8 68000000   call     00401792                         ;

\OutputDebugStringA 
0040172A   |.   EB 06         jmp     short 00401732 
0040172C   |>   50             push     eax                               ; /String 
0040172D   |.   E8 60000000   call     00401792                         ;

\OutputDebugStringA 
00401732   |>   E8 F9F8FFFF   call     00401030 
00401737   |.   6A 00         push     0                                 ; /ExitCode = 0 
00401739   \.   E8 1E000000   call     0040175C

 

2:什么是机器狗?

    日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息。  通过对病毒样本进行分析,我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发,并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本,更成熟的版本相信会更具备破坏力。

3.经过对样本的分析和测试 DF6.0、DF6.1、DF6.2等以前版本均被成功穿透,这是一个木马下载器,下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:此清除免疫程序可清除和免疫目前流行的: 
机器狗(穿透冰点的病毒) 
威金 
熊猫烧香,熊猫烧香变种 
金猪 
QQ阿拉大盗 
4199恶劣网站病毒 
静音 
洪水猛兽 
。。。。。常见病毒,并在截杀病毒进程,清除病毒文件后,生成假文件进行免疫。

假文件共46个,分别释放到了 
c:\windows 
c:\windows\system32 
c:\windows\system32\drivers下 
都为0字分。并加了拒读权限,如果杀软误报,请自行分析。

免疫时,会在各分区根目录清除以下程序和文件: 
autorun.inf 
setup.exe 
go.exe 
如果你的正常的setup.exe放在到分区根目录,还请使用前挪挪位。

清除上述文件后,随后生成三个同名文件,并设为拒读。同样为0字节。

免疫下载(建议用迅雷下):http://www.hnwglm.cn/Soft/UploadSoft/200709/20070905094623885.rar

4.IGM.exe

禁用IGM.EXE,那么就要输入这个命令 
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f 
这样的话,即使IGM.EXE文件存在也没法运行了,病毒不会发作了.(我不知道这样可行不?这里用的是IEFO技术。)


原创文章如转载,请注明:转载自滨江区电脑维修_杭州电脑保姆 [ http://yzw.blog.zj.com/ ]
本文链接地址:http://yzw.blog.zj.com/blog/d-167261.html

TAG: 机器狗专杀免疫
相关文章
文章评论0条回复
给文章评分
评分: -5 -3 -1 - +1 +3 +5
我来说两句
认证码* 看不清,就点我! 输入四位字母或数字
(您还没有登录,登录发表)
粗体 斜体 下划线 插入url链接 飞行字 移动字