IGM.EXE高手进

（1）本人对IGM.exe病毒的了解

IGM，IGW 是一种新的病毒，10月才开始在网络上流行，我感觉IGM不次于“熊猫烧香”，这个病毒是一个下载病毒，其本身也许不会引起什么对系统致命的损害，但是他所自动加载下载的病毒种类就不知道了，总之在一个朋友经常去的网吧里已经有魔兽世界，热血传奇账号被盗的先例了，所以提醒各位网吧业主和网管一定要注意了！

我曾经去那个网吧看过中毒的机器，仔细观察了下。。

1当网线切断的时候他不会在进程里面进行扩散传播。。

2当连接的时候他会已ARP欺骗的形式绕过防火墙。。严重影响网络速度。现在的软件（瑞星，卡吧，江民，包括360安全卫士）都没有办法检测出来。。。

3中毒机器的某些表面症状:

a 中毒机器的windows键不能用,也就意味着命令行进不去,windows系统控制台也进去不!

b 鼠标失灵,图形界面就玩完了,只能靠DOS操作了,假如a和b项都有的话,那就只有重新做系统了!

c 桌面图片更改,被换成windows经典桌面一般大家都不会用windows经典桌面的吧?如果发现

开机你的机器桌面图片被更换就要小心了,很有可能就是中了IGM病毒了,桌面图片换成

windows经典桌面算是IGM病毒的一个明显症状吧,据在哪个网吧工作的网管介绍,所有中IGM的

机器都有这个症状!

d 任务管理器禁用,同时按下Ctrl+alt+del键只是在屏幕上闪一下,任务管理器并不出来,也就在windows

任务管理里看不到IGM启动项了!

e 其他的就一些深层次的症状了,比如启动项,进程里发现IGM.exe!

根据目前我的了解,现在IGM病毒还没有专杀软件或者程序来解决,至于网上那些所谓的IGM专杀软件,我机器没有中过,也没有尝试过.

在这里个人推荐:就目前的状况来看,中了IGM病毒直接重新做系统是最好的解决办法,电脑里该删除的东西就删除,假如可以硬盘格式化的话那是最好的解决办法!因为现在还不确定他能下载什么其他病毒,还是他下载的病毒跟你上的某些网站有关系,所以为了免除所有后患,重新做系统是最佳选择,当然了,硬盘格式化是最好的清楚方法了!

在进程如果出现：IGM.EXE，就恭喜你已经中了，呵呵~~现在好象没有专杀这个病毒的软件

根据网络上的消息，一下网站和IP很有可能带有此种病毒，请大家看清楚，以免中招！

t.11se.com

www.94ak.com

www.99mmm.com

ask.35832.com

www.35832.com

212.22.225.82

203.174.87.210

64.233.167.99

58.211.79.107

219.153.42.98

221.130.191.207

好像有人说www.qishi.com也有问题！

（2）

igm.exe

病毒分类：木马

病毒行为：

从2007年10月起开始流行

此病毒链接到down.dj7788.cn（59.34.148.217 ，广东省茂名市 电信ADSL ）

下载0.exe~19.exe 经过异常惨烈的自相残杀以后 最终N多文件（参看文件删除）

创建注册表启动项目

创建系统服务项目：

[Telephotsgoogle / Winownes][Stopped/Auto Start]

<C:\windows\system32\sedrsvedt.exe><N/A>

创建N多进程

自动下载最新盗号木马

修改注册表关闭防火墙

严重导致无法正常进入系统

查杀办法

一、先用XDelBox1.5R将以下文件强制删除～

C:\windows\IGM.exe

C:\windows\system32\kafyezy.dll

C:\windows\system32\rsjzbpm.dll

C:\windows\system32\kvdxcma.dll

C:\windows\system32\ratbfpi.dll

C:\windows\system32\avwlbmn.dll

C:\windows\system32\kaqhezy.dll

C:\windows\system32\kapjbzy.dll

C:\windows\system32\sidjazy.dll

C:\windows\system32\avwgcmn.dll

C:\windows\system32\raqjbpi.dll

C:\windows\system32\avzxdmn.dll

C:\windows\system32\rarjbpi.dll

C:\windows\system32\kawdbzy.dll

C:\windows\system32\rsztcpm.dll

C:\windows\system32\rsmydpm.dll

C:\windows\system32\kvdxsbma.dll

C:\windows\system32\LYLoader.exe

C:\windows\system32\sedrsvedt.exe

二、用sreng2删除以下的注册表项

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

<WinSysM><C:\windows\IGM.exe> []

<WinSys><C:\windows\IGW.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

<MSDEG32><LYLoader.exe> []

<MSDWG32><LYLoadbr.exe> [N/A]

<MSDCG32 ><LYLeador.exe> [N/A]

<MSDOG32><LYLoador.exe> [N/A]

<MSDSG32><LYLoadar.exe> [N/A]

<MSDMG32><LYLoadmr.exe> [N/A]

<MSDHG32><LYLoadhr.exe> [N/A]

<MSDQG32><LYLoadqr.exe> [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<AppInit_DLLs><kapjbzy.dll> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<><C:\windows\system32\rsmydpm.dll> []

<><C:\windows\system32\rsztcpm.dll> []

<><C:\windows\system32\kawdbzy.dll> []

<><C:\windows\system32\rarjbpi.dll> []

<><C:\windows\system32\avzxdmn.dll> []

<><C:\windows\system32\raqjbpi.dll> []

<><C:\windows\system32\avwgcmn.dll> []

<><C:\windows\system32\sidjazy.dll> []

<><C:\windows\system32\kapjbzy.dll> []

<><C:\windows\system32\kaqhezy.dll> []

<><C:\windows\system32\avwlbmn.dll> []

<><C:\windows\system32\ratbfpi.dll> []

<><C:\windows\system32\kvdxcma.dll> []

<><C:\windows\system32\rsjzbpm.dll> []

<><C:\windows\system32\kafyezy.dll> []

三、将注册表中[AppInit_DLLs]项值清空

四、将Win32服务应用程序之如下项禁用

[Telephotsgoogle / Winownes] <C:\WINDOWS\system32\sedrsvedt.exe>

五、扫尾，将近一天全部新创建的垃圾.dll .exe .fon文件删除，哗哗哗

六、屏蔽一个恶意网站

在C:\WINDOWS\system32\drivers\etc 目录下的 hosts文件

添加 127.0.0.1 59.34.148.217

七、恢复Windows防火墙

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 删除 AU整个项目以恢复防火墙设置

到安装有相同操作系统的的机子上拷贝C:\WINDOWS\system32verclsid.exe到本机

原文地址：/it/200709/3377.html

（4）

igm.exe病毒的清除办法及专杀工具 作者:沙漠里的鱼

igm.exe病毒的中毒表现是：

这个是一个下载类的病毒，中了它并不可怕，但是igm.exe会下载更多的病毒，导致电脑出现不同的症状。这个病毒的主要表现是在

1.系统进程中有igm.exe进程。

2.MSconfig的启动项里有IGM.EXE 。

3.磁盘主目录中有auto.exe和autorun.inf。

如果有以上的症状，表面中了igm.exe病毒。

igm.exe病毒专杀：

这个病毒其实很简单，大家手动操作即可以解决，下面是清除办法（3种清除igm.exe病毒的方法）：

清除igm.exe病毒方法一（推荐）：

1、进入安全模式

2、搜索以下文件名igm、upxdnd、msimms32、msccrt、mppds、kvsc3、diskman32、cmdbcs.exe以及它们相应的dll文件，全部删除。

3、搜索注册表，上述相应的键值全部删除

4、搜索隐藏文件所有盘下的auto.exe和autorun.inf，删除！

5、运行msconfig，禁用一个如4f506c9e的服务。

6、退出重启xp ，igm.exe已经被清除，此时建议全盘杀毒。

清除igm.exe病毒方法二：

先打开cmd （按开始-运行-输入“CMD”-打开-出现黑框）

然后输入下边说要输入的命令，回车。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f

比如要禁用IGM.EXE,那么就要输入这个命令

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f

这样IGM.EXE病毒不会发作了。

取消方法：

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\程序名" /f

以上用的是IFEO技术禁用文件的方法实现禁用病毒的。

ps：建议运行上面命令后重启电脑，全盘杀毒。并修复注册表。

清除igm.exe病毒方法三：

1.在安全模式下,强制删除以下文件

c:/windows/system32/kvdxsbma.dll

c:/windows/system32/rsjzbpm.dll

c:/windows/system32/kvdxcma.dll

c:/windows/system32/ratbfpi.dll

c:/windows/system32/avwlbmn.dll

c:/windows/system32/kaqhezy.dll

c:/windows/system32/kapjbzy.dll

c:/windows/system32/sidjazy.dll

c:/windows/system32/avwgcmn.dll

c:/windows/system32/raqjbpi.dll

c:/windows/system32/avzxdmn.dll

c:/windows/system32/rarjbpi.dll

c:/windows/system32/kawdbzy.dll

c:/windows/system32/rsztcpm.dll

c:/windows/system32/rsmydpm.dll

c:/windows/system32/sidjazy.dll

c:/windows/igw.exe

c:/windows/igm.exe

c:/windows/system32/sedrsvedt.exe

c:\winnt\igm.exe

c:\winnt\system32\rsjzbpm.dll

c:\winnt\system32\racvsvc.exe

c:\winnt\system32\drivers\svchost.exe

c:\winnt\cmdbcs.exe

c:\winnt\dbghlp32.exe

c:\winnt\nvdispdrv.exe

c:\winnt\upxdnd.exe

c:\winnt\system32\cmdbcs.dll

c:\winnt\system32\dbghlp32.dll

c:\winnt\system32\upxdnd.dll

c:\winnt\system32\yfmtdiouaf.dll

c:\program files\microsoft activesync\rapiproxystub.dll(这个注意，正常的rapiproxystub.dll是版本信息是微软的，用于Rapi代理组件。要注意检查，如果不是微软，就可能是病毒，此例中可能不是，因为该电脑有装手机同步软件，但这里专门列出识别的内容供大家参考)

2.删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：

[{2D561258-45F3-A451-F908-A258458226D2}] <C:/WINDOWS/system32/kvdxsbma.dll>

[{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}] <C:/WINDOWS/system32/rsjzbpm.dll>

[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:/WINDOWS/system32/kvdxcma.dll>

[{66650011-3344-6688-4899-345FABCD1566}] <C:/WINDOWS/system32/ratbfpi.dll>

[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:/WINDOWS/system32/avwlbmn.dll>