扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:网络转载 2009年7月23日
关键字: jwgkvsq.vmx清除 jwgkvsq.vmx查杀 jwgkvsq.vmx专杀 jwgkvsq.vmx手动查杀
jwgkvsq.vmx是什么病毒?jwgkvsq.vmx有哪些危害?中毒后症状有哪些?jwgkvsq.vmx如何查杀?
jwgkvsq.vmx为蠕虫病毒,名称为Net-Worm.Win32.Kido.ih。
中了jwgkvsq.vmx病毒的症状:
1、在移动U盘或者移动硬盘上,会形成以下两个隐藏只读文件:
(1)autorun.inf文件,打开后全是乱码,但是在文件的后半部分发现了一些可疑的信息,那就是shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
(2)RECYCLER文件夹,它和硬盘上的回收站的文件名只差一个字母,那就是最后一个不是D而是R。在这个文件夹里面还有一个文件夹,名字是S-5-3-42-2819952290-8240758988-879315005-3665,再里面是一个关键性的文件:jwgkvsq.vmx。
2、无法查看隐藏文件。
即使在资源管理器的“文件夹选项”-“查看”中,选中“查看所有文件”,也会自动恢复到不显示隐藏文件,修改注册表后,能够显示所有文件,就会在移动U盘上看到这两个隐藏文件和文件夹。即便删除,那么在下次插上U盘时还会出现这两个文件(主机已感染)。
3、无法给自己的杀毒软件升级,提示网络设置错误等。
4、无法连接到杀毒网站。
5、无法使用“冰刃”这款进程查看和终止软件,一旦启动冰刃电脑立刻重启。
分析:
事实上,NOD32、AVAST都可以查到这个病毒,只是由于该病毒增加了自我保护机制,使得NOD32、AVAST等杀毒软件都无法清除这个病毒。
病毒启动的方式主要有几种方式:
1)通过加载到系统启动项,使用户在登录系统时,自动运行该病毒;
2)通过修改系统文件,使系统启动时,自动加载病毒;
3)将病毒加载为驱动程序,让系统在启动时加载并运行该病毒;
4)将病毒注册为系统服务,让系统在启动时加载并运行病毒。
这几种方法中,以第三、四中方法较为隐蔽,也较难处理。
进入安全模式,进入注册表,搜索jwgkvsq.vmx,不果。证明该病毒并非通过加载到系统启动项的方式调用执行的。同时发现,在安全模式下,删除U盘里的autorun.inf和RECYCLER文件后,病毒会被立即重写入U盘。因此判断该病毒在安全模式下仍然处于启动状态。
由于windows安全模式下,系统只启动必须的服务,对于外加的服务、驱动程序都不加载,但尽管如此,病毒仍然启动,初步推断,该病毒修改了系统文件达到自动加载的目的。但是利用syscheck对系统进行扫描后,并未发现有系统文件被修改,说明该病毒使用的是特殊的方式进行加载的。
虽然如此,但病毒的加载肯定是有迹可寻的,关键在于我们能否想到。Hook?RootKid?还是其他手段?看着这个病毒,突然间想起,既然这个病毒是伪装成回收站进行藏身,那么调用它,必须就要找到这个伪装的回收站。于是从这个回收站着手查找。
jwgkvsq.vmx病毒清除方法一:
在注册表里查找病毒的蛛丝马迹,忽然在一个地方发现该回收站的SID(HKLM_Software_Microsoft_Windows_CurrentVersionInstallerUserData),里面有一项值,写着c:\window\ssystem32\mmutspxi.dll,乍一看以为是mmutilse.dll(Microsoft 多媒体控件工具集)。回收站里怎么调用多媒体控件的?跟着进入C盘,发现了一个mmutspxi.dll的隐藏文件,而旁边就是mmutilse.dll。那么可见这个文件非常可以。查看文件属性,被设置为系统文件,无法被删除。
利用命令attrib将该文件属性去掉,备份好,删除源文件,并将注册表中相关的信息全部删除。重启计算机。进入正常模式后,用NOD32对mmutspxi.dll进行扫描,扫描结果判断为Conficker病毒。由于该病毒加载项被清除,病毒已经无法进行启动加载,此时,清除各盘中的RECYCLER及autorun.inf后,病毒不会被重写入U盘,接着在利用NOD32对系统进行全盘扫描,没发现病毒文件。初步判断,该病毒被成功清除。
jwgkvsq.vmx病毒清除方法二:
经过分析,jwgkvsq.vmx病毒利用了微软的“MS08-067”漏洞,下载KB958644补丁http://download.microsoft.com/download/a/5/f/a5fcaabe-ff81-4d4f-972e-865bdc60dcbf/WindowsXP-KB958644-x86-CHS.exe,安装补丁重启以后,删除U盘autorun.inf文件和RECYCLER文件夹后,系统不再自动复制autorun.inf文件和RECYCLER文件夹后到U盘。
最后启动杀毒软件,扫描硬盘会发现有这样一个文件被感染上病毒:C:\SYSTEM VOLUME INFORMATION\_RESTORE{129201FA-B0AC-49B3-96B2-DEB8B91E727B}\RP186\A0040663.DLL,病毒名称为:Hack.Exploit.Win32.MS08-067.ix,清除病毒后一切正常(安装补丁后请重启后杀毒)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。