jwgkvsq.vmx

jwgkvsq.vmx為蠕蟲病毒,名稱為Net-Worm.Win32.Kido.ih,該病毒很頑固,影響防毒軟體的正常使用及升級。

病毒症狀

1、在移動隨身碟或者移動硬碟上,會形成以下兩個隱藏唯讀檔案:

(1)autorun.inf檔案,打開後全是亂碼,但是在檔案的後半部分發現了一些可疑的信息,那就是shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290(和諧)-8240758988(和諧)-879315005-3665\jwgkvsq.vmx,ahaezedrn

(2)RECYCLER資料夾,它和硬碟上的資源回收筒的檔案名稱只差一個字母,那就是最後一個不是D而是R。在這個資料夾裡面還有一個資料夾,名字是S-5-3-42-2819952290(和諧)-8240758988(和諧)-879315005-3665,再裡面是一個關鍵性的檔案:jwgkvsq.vmx。

2、無法查看隱藏檔案。

即使在資源管理器的“資料夾選項”-“查看”中,選中“查看所有檔案”,也會自動恢復到不顯示隱藏檔案,修改註冊表後,能夠顯示所有檔案,就會在移動隨身碟上看到這兩個隱藏檔案和資料夾。即便刪除,那么在下次插上隨身碟時還會出現這兩個檔案(主機已感染)。

3、無法給自己的防毒軟體升級,提示網路設定錯誤等。

4、無法連線到防毒網站。

5、無法使用“冰刃”這款進程查看和終止軟體,一旦啟動冰刃電腦立刻重啟。

病毒啟動的方式主要有幾種方式:

1)通過載入到系統啟動項,使用戶在登錄系統時,自動運行該病毒;

2)通過修改系統檔案,使系統啟動時,自動載入病毒;

3)將病毒載入為驅動程式,讓系統在啟動時載入並運行該病毒;

4)將病毒註冊為系統服務,讓系統在啟動時載入並運行病毒。

這幾種方法中,以第三、四中方法較為隱蔽,也較難處理。

手動清除

1.當隨身碟插進染毒的電腦後,隨身碟會自動生成兩個檔案,autorun.inf和RECYLER資料夾,RECYLER下面是一個資源回收筒圖示,再下面一層目錄里是jwgkvsq.vmx檔案。特點是autorun.inf檔案和jwgkvsq.vmx的大小都是161k位元組,修改時間是安裝系統的時間。

2.通過修改註冊表的方法,打開查看隱藏檔案的選項,在C:WindowsSystem32資料夾下發現一個隱藏的.dll檔案,大小161k,名字是隨機的,特點是唯讀、隱藏,無法刪除,沒有微軟的備註信息。雖然創建時間和修改時間都是系統安裝的時間,但是還是可以一下子找到。用unlock或者360安全衛士的檔案粉碎功能,反註冊該dll檔案,刪除並重啟。

3.搜尋註冊表,就以360檢查出的異常服務項目為關鍵字。搜尋到幾處,特點是無法刪除,因為這幾個鍵值的許可權只開放給了System,沒有開放給其他用戶組,而且System用戶組沒有修改許可權。下面就是針對這幾個鍵值,添加Administrators用戶組,並給其修改許可權,然後刪除這幾個鍵值。

手工完全清除======================================================================

1.關閉相應svchost.exe卸載%systemroot%\system32\<rnd>.dll(rnd為隨機字母)並刪除之。

如何精確鎖定被注入的svchost.exe進程ID?

用autoruns查看系統服務,很容易鎖定病毒的DLL檔案 %systemroot%\system32\<rnd>.dll (rnd 是隨機字母)

執行第3步的第一項操作將ShowAll的CheckValue值設為1後,顯示系統、隱藏檔案。

打開%systemroot%\system32\找到<rnd>.dll (rnd 是隨機字母)檔案用Unlocker解鎖時會發現進程ID

解鎖Dll,關閉相應進程,刪除<rnd>.dll (rnd 是隨機字母)即可。

2.刪除"C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content(和諧)IE5"下及下級目錄與<rnd3>.dll相同大小的病毒檔案。該檔案後綴可能是*.bmp,*.gif等。

3.恢復註冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue (設定值為 1 )

HKLM\system\CurrentControlSet\Services\BITS: Start (設定值為 0x00000003 )

HKLM\system\CurrentControlSet\Services\ERSvc: Start (設定值為 0x00000002 )

HKLM\system\CurrentControlSet\Services\wscsvc: Start (設定值為 0x00000002 )

HKLM\system\CurrentControlSet\Services\wuauserv: Start (設定值為 0x00000002 )

打開註冊項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost下的netsvcs值,將病毒註冊的服務項<rnd2> (rnd2 是隨機字母)

刪除(不要亂刪,防止系統崩潰)

刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的病毒服務項<rnd2> (rnd2 是隨機字母)

4.重啟,病毒不會再次生成,這樣這個毒便算是完全清除了。

注意:若處在區域網路環境中,該病毒還會利用MS08-067漏洞主動攻擊,所以域中若有其它電腦感染,有可能會重複感染,所以清除時應先斷網。清除後應及時打好MS08-067對應補丁。

相關詞條

熱門詞條

聯絡我們