机器狗-IGM.exe病毒专杀工具下载

机器狗-IGM.exe病毒专杀工具下载
igm.exe病毒中毒症状：

1.MSconfig的启动项里发现IGM.EXE
2.还自动启动

igm.exe病毒病毒清除办法：

以上两点都具有病毒的特征，自启动和自保护
可以判定这个程序是一个病毒。

既然是病毒，就要删除。

清除此文件的突破口就是停止此文件运行。

这里就用到了一个禁用文件的命令了，禁用了文件，文件就不会运行，这样就可以轻松清除了～～

先打开cmd （按开始-运行-输入“CMD”-打开-出现黑框）
然后输入下边说要输入的命令，回车。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f

比如要禁用IGM.EXE,那么就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
这样的话，即使IGM.EXE文件存在也没法运行了，病毒不会发作了呵呵～

不信的话可以自己试试俄～比如禁止QQ运行。
那么命令就是
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d debugfile.exe /f
输入后你关掉QQ就再也打不开了

取消方法：
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /f

以上用的是IFEO技术禁用文件的方法实现禁用病毒的。
禁用成功后，请楼主重新启动计算机，重启后因为病毒已经停止运行
1.机器狗病毒来历，防御病毒分析资料大全

         经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本均被成功穿透，这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案：一是封IP，二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys

刚写好的ROS脚本,要的自己加上去
以下为引用的内容：
/ ip firewall filter
add chain=forward c.8s7.net/cert.cer action=reject comment="DF6.0"
add chain=forward c.tomwg.com/mm/mm.jpg action=reject
add chain=forward c.tomwg.com/mm/wow.jpg action=reject
add chain=forward c.tomwg.com/mm/mh011.jpg action=reject
add chain=forward c.tomwg.com/mm/zt.jpg action=reject
add chain=forward c.tomwg.com/mm/wl.jpg action=reject
add chain=forward c.tomwg.com/mm/wd.jpg action=reject
add chain=forward c.tomwg.com/mm/tl.jpg action=reject
add chain=forward c.tomwg.com/mm/dh3.jpg action=reject
/ ip firewall filter
add chain=forward c.221.254.103 action=reject comment="DF6.0"
批处理注,此批处理最好是安装还原以后再用.)
以下为引用的内容：
echo tinking > c:\windows\system32\drivers\pcihdd.sys
echo y|cacls   c:\windows\system32\drivers\pcihdd.sys /c /d everyone
echo y|cacls   c:\windows\system32\userinit.exe /c /d everyone
echo y|cacls   c:\windows\system32\userinit.exe /c /p everyone:r

穿透冰点病毒分析
004016ED >/$   6A 00         push     0                                 ; /pModule = NULL
004016EF   |.   E8 80000000   call     00401774                         ; \GetModuleHandleA
004016F4   |.   A3 F0304000   mov     dword ptr [4030F0], eax
004016F9   |.   E8 CBF9FFFF   call     004010C9
004016FE   |.   68 00010000   push     100                               ; /DestSizeMax = 100 (256.)
00401703   |.   68 F4304000   push     004030F4                         ; |DestString = ""
00401708   |.   68 2B134000   push     0040132B                         ; |SrcString = "%SystemRoot%\System32\Userinit.exe"
0040170D   |.   E8 50000000   call     00401762                         ; \ExpandEnvironmentStringsA

00401712   |.   68 F4304000   push     004030F4                         ; /Arg1 = 004030F4
00401717   |.   E8 32FCFFFF   call     0040134E                         ; \111.0040134E
0040171C   |.   0BC0           or       eax, eax
0040171E   |.   75 0C         jnz     short 0040172C
00401720   |.   68 E7304000   push     004030E7                         ; /String = ""B2,"?,D7,"",F7,"成?,A6,""
00401725   |.   E8 68000000   call     00401792                         ; \OutputDebugStringA
0040172A   |.   EB 06         jmp     short 00401732
0040172C   |>   50             push     eax                               ; /String
0040172D   |.   E8 60000000   call     00401792                         ; \OutputDebugStringA
00401732   |>   E8 F9F8FFFF   call     00401030
00401737   |.   6A 00         push     0                                 ; /ExitCode = 0
00401739   \.   E8 1E000000   call     0040175C

2：什么是机器狗？

    日前，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。
　　通过对病毒样本进行分析，我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发，并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本，更成熟的版本相信会更具备破坏力。

3.经过对样本的分析和测试 DF6.0、DF6.1、DF6.2等以前版本均被成功穿透，这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:此清除免疫程序可清除和免疫目前流行的：
机器狗(穿透冰点的病毒)
威金
熊猫烧香，熊猫烧香变种
金猪
QQ阿拉大盗
4199恶劣网站病毒
静音
洪水猛兽
。。。。。常见病毒，并在截杀病毒进程，清除病毒文件后，生成假文件进行免疫。

假文件共46个,分别释放到了
c:\windows
c:\windows\system32
c:\windows\system32\drivers下
都为0字分。并加了拒读权限，如果杀软误报，请自行分析。

免疫时，会在各分区根目录清除以下程序和文件：
autorun.inf
setup.exe
go.exe
如果你的正常的setup.exe放在到分区根目录，还请使用前挪挪位。

清除上述文件后，随后生成三个同名文件，并设为拒读。同样为0字节。

免疫下载：http://www.hnwglm.cn/Soft/UploadSoft/200709/20070905094623885.rar

4.IGM.exe

禁用IGM.EXE,那么就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
这样的话，即使IGM.EXE文件存在也没法运行了，病毒不会发作了.(我不知道这样可行不？这里用的是IEFO技术。)

www.newjian.com