jwgkvsq.vmx为蠕虫病毒,名称为Net-Worm.Win32.Kido.ih。
中了jwgkvsq.vmx病毒的症状1、在移动U盘或者移动硬盘上,会形成以下两个隐藏只读文件:
(1)autorun.inf文件,打开后全是乱码,但是在文件的后半部分发现了一些可疑的信息,那就是shelLExECUte=RuNdLl32.EXE .RECYCLERS-5-3-42-2819952290(和谐)-8240758988(和谐)-879315005-3665jwgkvsq.vmx,ahaezedrn
(2)RECYCLER文件夹,它和硬盘上的回收站的文件名只差一个字母,那就是最后一个不是D而是R。在这个文件夹里面还有一个文件夹,名字是S-5-3-42-2819952290(和谐)-8240758988(和谐)-879315005-3665,再里面是一个关键性的文件:jwgkvsq.vmx。
2、无法查看隐藏文件。
即使在资源管理器的“文件夹选项”-“查看”中,选中“查看所有文件”,也会自动恢复到不显示隐藏文件,修改注册表后,能够显示所有文件,就会在移动U盘上看到这两个隐藏文件和文件夹。即便删除,那么在下次插上U盘时还会出现这两个文件(主机已感染)。
3、无法给自己的杀毒软件升级,提示网络设置错误等。
4、无法连接到杀毒网站。
5、无法使用“冰刃”这款进程查看和终止软件,一旦启动冰刃电脑立刻重启。
病毒启动的方式主要有几种方式:
1)通过加载到系统启动项,使用户在登录系统时,自动运行该病毒;
2)通过修改系统文件,使系统启动时,自动加载病毒;
3)将病毒加载为驱动程序,让系统在启动时加载并运行该病毒;
4)将病毒注册为系统服务,让系统在启动时加载并运行病毒。
这几种方法中,以第三、四中方法较为隐蔽,也较难处理。
手动清除1.当优盘插进染毒的电脑后,优盘会自动生成两个文件,autorun.inf和RECYLER文件夹,RECYLER下面是一个回收站图标,再下面一层目录里是jwgkvsq.vmx文件。特点是autorun.inf文件和jwgkvsq.vmx的大小都是161k字节,修改时间是安装系统的时间。
2.通过修改注册表的方法,打开查看隐藏文件的选项,在C:WindowsSystem32文件夹下发现一个隐藏的.dll文件,大小161k,名字是随机的,特点是只读、隐藏,无法删除,没有微软的备注信息。虽然创建时间和修改时间都是系统安装的时间,但是还是可以一下子找到。用unlock或者360安全卫士的文件粉碎功能,反注册该dll文件,删除并重启。
3.搜索注册表,就以360检查出的异常服务项目为关键字。搜索到几处,特点是无法删除,因为这几个键值的权限只开放给了System,没有开放给其他用户组,而且System用户组没有修改权限。下面就是针对这几个键值,添加Administrators用户组,并给其修改权限,然后删除这几个键值。
手工完全清除======================================================================
1.关闭相应svchost.exe卸载%systemroot%system32<rnd>.dll(rnd为随机字母)并删除之。
如何精确锁定被注入的svchost.exe进程ID?
用autoruns查看系统服务,很容易锁定病毒的DLL文件 %systemroot%system32<rnd>.dll (rnd 是随机字母)
执行第3步的第一项操作将ShowAll的CheckValue值设为1后,显示系统、隐藏文件。
打开%systemroot%system32找到<rnd>.dll (rnd 是随机字母)文件用Unlocker解锁时会发现进程ID
解锁Dll,关闭相应进程,删除<rnd>.dll (rnd 是随机字母)即可。
2.删除"C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent(和谐)IE5"下及下级目录与<rnd3>.dll相同大小的病毒文件。该文件后缀可能是*.bmp,*.gif等。
3.恢复注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL: CheckedValue (设置值为 1 )
HKLMsystemCurrentControlSetServicesBITS: Start (设置值为 0x00000003 )
HKLMsystemCurrentControlSetServicesERSvc: Start (设置值为 0x00000002 )
HKLMsystemCurrentControlSetServiceswscsvc: Start (设置值为 0x00000002 )
HKLMsystemCurrentControlSetServiceswuauserv: Start (设置值为 0x00000002 )
打开注册项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost下的netsvcs值,将病毒注册的服务项<rnd2> (rnd2 是随机字母)
删除(不要乱删,防止系统崩溃)
删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下的病毒服务项<rnd2> (rnd2 是随机字母)
4.重启,病毒不会再次生成,这样这个毒便算是完全清除了。
注意:若处在局域网环境中,该病毒还会利用MS08-067漏洞主动攻击,所以域中若有其它电脑感染,有可能会重复感染,所以清除时应先断网。清除后应及时打好MS08-067对应补丁。
