11月22日早晨8点:用老版本及新变种病毒测试,继续有效。
注:此方法对FAT32分区和NTFS分区均有效,大大弥补了FAT32分区系统无法免疫的不足。但:本批处理并非免疫程序。
此病毒还没有收尾,听说还要大量爆发,病毒就像BT下载的道理:中的人越多,传播得越快.希望大家尽快全部免疫,让其无法传播.
传播原理:利用windows输入法漏洞conime.exe
只需要停还原删除c:\windows\system32\conime.exe文件,,然后再保护就可以防止局域网传播.
注:经过反复测试,第一套方案可能失效,请大家勿再使用
但是第二套方案将永远不失效。用过的朋友都能保证。
第二套解决方案
这个方法最为简单,只需要2行批处理,停了还原先手动运行一次,然后加入启动项,每次开机时运行.对任何像IGM病毒一样的病毒都有效果.永不复发。这次的特点就是,不管你的电脑有没有中,用了都有效。
原理是开机第一时间自动结束userinit.exe进程.所以这里要大家注意,必须是放在启动项,(或共享路径),因为我们现在讲究的是在开机第一时间解决主动程序.后面我就不用说了.
注:有几个说不管用的,注意我说的每一个字。特别是红字
wmic process where name="userinit.exe" call terminate
wmic process where name="usrinit.exe" call terminate
以上两个文件随便用一个便可。效果相同。
关于用了我的方法无效的,有以下原因:
1、未按我的说明操作。
2、IGM已经在你系统未保护时爆发过。
3、确保你进程中无conime.exe(局域网中还有其它电脑中了,未处理。)
针对有些网吧电脑已经中招的也可以简单解决,关掉还原软件,不插网线启动后,将第二套方案中的批处理运行一次并加入启动项.便解决了.。完全没有必要恢复系统就能实现:
可能有朋友会问,我为什么只针对userinit.exe,如果病毒变名usrinit.exe呢,这里我要说明一下,这个问题是最近两天很多人理解的误区,机器狗(IGM)病毒他只能穿文件,不能在系统中增加文件,而且要做到随系统加载驱动而启动,只能靠userinit.exe的特殊功能,别无他法。所以我才敢如此自信的说:最终免疫。
本人用IGM病毒及变种反复试验得出此结论。
可能有人觉得太简单了,但事实就是这样,,一试便知。
其实在此次IGM病毒爆发中我们可以得出一个结论,就是我们一直存在一个误区,就是等病毒启动了,生成了文件,再对其生成的文件免疫,而userinit这个文件一开始就被人忽略了(因为他是系统文件),现在我们从新从源头出手,从根本上铲除。这也给我们以后的工作再来了一个启发。
关于盗号的问题,找到这个文件,c:\windows\system32\run.bat 屏蔽里面的网址,启动他的文件是c:\windows\system32\3.vbs
病毒原体及变种下载↓11月23日更新(测试的朋友注意:正确的测试方法不是手动点击userinit.exe文件,而是将userinit.exe复制到system32目录下将其覆盖,然后注销或重启让他跟随系统启动才能测试出来。)
如果觉得可行请顶一下,不要让它沉下去了。好方法要让大家都知道,我们志在为大家创造简单方便安全的网络环境。
