from：http://bbs.2dai.com/thread-657194-1-1.html
作者：幕后黑手
 
（本文针对网吧以及其他局域网用户）


  IGM病毒中招后的现象：

大量占用网络资源，网速奇卡，造成拥塞导致掉线。

IE，QQ等应用程序打开后就自动关闭。

运行msconfig，发现启动项目里多出一个igm.exe

CPU使用率100%100，多出N多可疑进程，例如：.exe  cmd.exe  23.exe…………

最恶心的是新出的变种，替换C盘的userinit.exe，大家都知道网吧里都有还原装置，要么是冰点，要么是还原卡，可是他的厉害之处类似机器狗，穿透还原，更改userinit.exe

    IGM病毒动作，运行原理

    通过一些问题网站下载，机器狗病毒。 机器狗病毒通过磁盘驱动，穿透还原替换原userinit.exe，（替换后userinit.exe就是个木马下载器也就是通过它下载的IGM.exe）在中毒机器重起后开机后系统会自动启动userinit.exe文件这时候下载各种木马包括IGM.exe.

通过修改注册表达到自动启动的目的，启动后生成以下病毒进程。

c:\WINDOWS\IGW.exe
c:\WINDOWS\AVPSrv.exe
c:\WINDOWS\DiskMan32.exe
c:\WINDOWS\IGM.exe
c:\WINDOWS\Kvsc3.exe
c:\WINDOWS\lqvytv.exe
c:\WINDOWS\MsIMMs32.exe
c:\WINDOWS\system32\3CEBCAF.EXE
c:\WINDOWS\system32\a.exe
c:\WINDOWS\upxdnd.exe
c:\WINDOWS\WinForm.exe
c:\WINDOWS\system32\rsjzbpm.dll
c:\WINDOWS\system32\racvsvc.exe
c:\WINDOWS\dbghlp32.exe
c:\WINDOWS\nvdispdrv.exe
c:\WINDOWS\system32\cmdbcs.dll
c:\WINDOWS\system32\dbghlp32.dll
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\system32\yfmtdiouaf.dll

userinit.exe 下载木马IP都是 浙江省绍兴市 电信IDC机房，

有 60.190.203.150，59.34.198.103 ，60.190.222.235


  重点介绍解决办法：

如果是是网吧，而且硬盘分区格式是NTFS，用的是上 海维图的转转游戏更新系统，那么恭喜你，你只要保证服务器上的userinit.exe 没有被病毒感染，就没有问题，在服务端的配置文件里设置客户机开机自动把服务器上的userinit.exe 复制到c:\windows\system32 下。把修改过的hosts 文件覆盖到本地到c:\windows\system32\drivers\etc\下，把病毒进程列表添加到禁止运行列表。

如果硬盘分区格式是FAT32，因为转转更新系统不能直接转储C盘文件，所以要拷贝新的userinit文件，请自己编辑批处理，把以下内容加到第一行里边(路径自己改）
copy d:\病毒预防\userinit.exe c:\windows\system32

如果用的不是转转更新系统，就要麻烦一点，先将所有设备断电重起，观察有没有穿透现象，客户机的userinit.exe如果如图，那说明没有被穿透，如果被修改，比如大小改变，版本信息不正确，那就把感染的userinit.exe删除，复制一个干净的来。

正常的userinit.exe：






删除启动项目里的不正常项目（如果你是负责你那个局域网，想必一定知道哪些是正常哪些是不正常）


下面是重点：

进路由，屏蔽以下网站和域名：（下面这个列表，是以TP-LINK路由器为例的，其他牌子和型号的路由器显示的界面和使用方法不一样，具体请看说明书

ID 生效时间            域 名                 状 态                  配 置

1 0000-2400      t.11se.com                  生效                   编辑 删除
2 0000-2400      www.94ak,com                生效                   编辑 删除
3 0000-2400      www.99mmm,com               生效                   编辑 删除    (为了避免会员误点，我把.com之前的.改成,了)
4 0000-2400     ask.35832.com                生效                   编辑 删除
5 0000-2400     www.35832,com                生效                   编辑 删除
6 0000-2400     www.15197,com                生效                   编辑 删除
7 0000-2400     www.91ni,com                 生效                   编辑 删除
8 0000-2400     www.161816,com               生效                   编辑 删除


如果你用的是软路由，添加以下脚本：（这个脚本是以ROS为例。没办法，手上兼职的网吧只有这么几个，本文只能对硬路由TP-LINK和软路由ROS做出实战讲解，有其他型号的朋友，可以把配置方法发给我，我补充。）

ROS脚本：

/ ip firewall filter
add chain=forward content=t.11se.com action=reject
add chain=forward content=www.94ak.com action=reject
add chain=forward content=www.99mmm.com action=reject
add chain=forward content=ask.35832.com action=reject
add chain=forward content=www.35832.com action=reject
add chain=forward content=832823.cn action=reject
add chain=forward dst-address=212.22.225.82/32 action=drop
add chain=forward dst-address=203.174.87.210/32 action=drop
add chain=forward dst-address=64.233.167.99/32 action=drop
add chain=forward dst-address=58.211.79.107/32 action=drop
add chain=forward dst-address=219.153.42.98/32 action=drop
add chain=forward dst-address=221.130.191.207/32 action=drop  




把以下进程列入危险进程：

c:\WINDOWS\IGW.exe（新变种）
c:\WINDOWS\AVPSrv.exe
c:\WINDOWS\DiskMan32.exe
c:\WINDOWS\IGM.exe
c:\WINDOWS\Kvsc3.exe
c:\WINDOWS\lqvytv.exe
c:\WINDOWS\MsIMMs32.exe
c:\WINDOWS\system32\3CEBCAF.EXE
c:\WINDOWS\system32\a.exe
c:\WINDOWS\upxdnd.exe
c:\WINDOWS\WinForm.exe
c:\WINDOWS\system32\rsjzbpm.dll
c:\WINDOWS\system32\racvsvc.exe
c:\WINDOWS\dbghlp32.exe
c:\WINDOWS\nvdispdrv.exe
c:\WINDOWS\system32\cmdbcs.dll
c:\WINDOWS\system32\dbghlp32.dll
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\system32\yfmtdiouaf.dll


注：可以编辑批处理放在服务器上共享，客户机远程调用。要不然一台一台的不把人累死。

这里推荐一款软件：ARP保护神2.1，使用方法超简单，里面有个配置文件可以把病毒进程列在里面，附件我上传上来。

附件里的批处理，VBS，HOSTS文件，都是我根据我这里的情况编写的，有用的上的朋友请不要原搬照抄，否则发生意外概不负责，自己把路径改成你需要的就行了。


由于限制了附件的上传个数。。。还有一个另外发帖上传userinit.rar：

http://yuncx.blog.51cto.com/221873/48022


附：病毒样本：

http://www.20lz.com/viewthread.php?tid=3177&pid=11967&page=1&extra=#pid11967
本文出自 51CTO.COM技术博客