jwgkvsq.vmx

jwgkvsq.vmx為蠕蟲病毒,名稱為Net-Worm.Win32.Kido.ih,該病毒很頑固,影響防毒軟體的正常使用及升級。

基本介紹

  • 中文名:jwgkvsq.vmx
  • 外文名:為Net-Worm.Win32.Kido.ih
  • 性質蠕蟲病毒
  • 危害:影響防毒軟體的正常使用及升級
病毒症狀,手動清除,

病毒症狀

1、在移動隨身碟或者移動硬碟上,會形成以下兩個隱藏唯讀檔案
(1)autorun.inf檔案,打開後全是亂碼,但是在檔案的後半部分發現了一些可疑的信息,那就是shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290(和諧)-8240758988(和諧)-879315005-3665\jwgkvsq.vmx,ahaezedrn
(2)RECYCLER資料夾,它和硬碟上的資源回收筒的檔案名稱只差一個字母,那就是最後一個不是D而是R。在這個資料夾裡面還有一個資料夾,名字是S-5-3-42-2819952290(和諧)-8240758988(和諧)-879315005-3665,再裡面是一個關鍵性的檔案:jwgkvsq.vmx。
2、無法查看隱藏檔案。
即使在資源管理器的“資料夾選項”-“查看”中,選中“查看所有檔案”,也會自動恢復到不顯示隱藏檔案,修改註冊表後,能夠顯示所有檔案,就會在移動隨身碟上看到這兩個隱藏檔案和資料夾。良臭腳即便刪除,那么在下次插上隨身碟時還會出現這兩個檔案(主機已感染)。
3、無法給自己的防毒軟體升級,提示網路設定錯誤等。
4、無法連線到防毒網站。
5、無法使用“冰刃”這款進程查看和終止軟體,一旦啟動冰刃電腦立刻重啟。
病毒啟動的方式主要有幾種方式:
1)通過載入到系統啟動項,使用戶在登錄系統時,自動運行該病毒;
2)通過修改系統檔案,使系統啟動時,自動載入病毒;
3)將病毒載入為驅動程式,讓系統在啟動時載入並運行該病毒;
4)將判殃榆病毒註冊為系統服務,讓系統在啟動時載入並運行病毒。
這幾種方法中,以第三、四中方法較為隱蔽,也較難處理。

手動清除

1.當隨身碟插進染毒的電腦後,隨身碟會自動生成兩個檔案,autorun.inf和RECYLER資料夾,RECYLER下面是一個資源回收筒圖示,再下面一層目錄里是jwgkvsq.vmx檔案。特點是autorun.inf檔案和jwgkvsq.vmx的大小都是161k位元組,修改時間是安裝系統的時間。
2.通過修改註冊表的方法,打開查看隱藏檔案的選項,在C:WindowsSystem32資料夾下發現一個隱藏的.dll檔案,大小161k,名字是隨機的,特點是唯讀、隱藏,無法刪除,沒有微軟的備註信息。雖然創建時間和修改時間都是系統安裝的時間,但是還是可滲拔跨以一下子找到。用unlock或者360安全衛士檔案粉碎功能,反註冊該dll檔案,刪除並重啟。
3.搜尋註冊表,就以360檢查出的異常服務項目為關鍵字。搜尋到幾處,特點是無法刪除,因為這幾個鍵值的許可權只開放給了System,沒有開放肯囑判膠給其他汗束記用戶組,而且System用戶組沒有修改許可權。下面就是針對這幾個鍵值,添加慨斷諒堡Administrators用戶組,並給其修改許可權,然後刪除這幾個鍵值。
手工完全清除======================================================================
1.關閉相應svchost.exe卸載%systemroot%\system32\<rnd>.dll(rnd為隨機字母)並刪除之。
如何精確鎖定被注入的svchost.exe進程ID?
autoruns查看系統服務,很容易鎖定病毒欠循的DLL檔案 %systemroot%\system32\<rnd>.dll (rnd 是隨機字母)
執行第3步的第一項操作將ShowAll的CheckValue值設為1後,顯示系統、隱藏檔案。
打開%systemroot%\system32\找到<rnd>.dll (rnd 是隨機字母)檔案用Unlocker解鎖時會發現進程ID
解鎖Dll,關閉相應進程,刪除<rnd>.dll (rnd 是隨機字母)即可。
2.刪除"C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content(和諧)IE5"下及下級目錄與<rnd3>.dll相同大小的病毒檔案。該檔案後綴可能是*.bmp,*.gif等。
3.恢復註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue (設定值為 1 )
HKLM\system\CurrentControlSet\Services\BITS: Start (設定值為 0x00000003 )
HKLM\system\CurrentControlSet\Services\ERSvc: Start (設定值為 0x00000002 )
HKLM\system\CurrentControlSet\Services\wscsvc: Start (設定值為 0x00000002 )
HKLM\system\CurrentControlSet\Services\wuauserv: Start (設定值為 0x00000002 )
打開註冊項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost下的netsvcs值,將病毒註冊的服務項<rnd2> (rnd2 是隨機字母)
刪除(不要亂刪,防止系統崩潰
刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的病毒服務項<rnd2> (rnd2 是隨機字母)
4.重啟,病毒不會再次生成,這樣這個毒便算是完全清除了。
注意:若處在區域網路環境中,該病毒還會利用MS08-067漏洞主動攻擊,所以域中若有其它電腦感染,有可能會重複感染,所以清除時應先斷網。清除後應及時打好MS08-067對應補丁。
1.關閉相應svchost.exe卸載%systemroot%\system32\<rnd>.dll(rnd為隨機字母)並刪除之。
如何精確鎖定被注入的svchost.exe進程ID?
autoruns查看系統服務,很容易鎖定病毒的DLL檔案 %systemroot%\system32\<rnd>.dll (rnd 是隨機字母)
執行第3步的第一項操作將ShowAll的CheckValue值設為1後,顯示系統、隱藏檔案。
打開%systemroot%\system32\找到<rnd>.dll (rnd 是隨機字母)檔案用Unlocker解鎖時會發現進程ID
解鎖Dll,關閉相應進程,刪除<rnd>.dll (rnd 是隨機字母)即可。
2.刪除"C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content(和諧)IE5"下及下級目錄與<rnd3>.dll相同大小的病毒檔案。該檔案後綴可能是*.bmp,*.gif等。
3.恢復註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue (設定值為 1 )
HKLM\system\CurrentControlSet\Services\BITS: Start (設定值為 0x00000003 )
HKLM\system\CurrentControlSet\Services\ERSvc: Start (設定值為 0x00000002 )
HKLM\system\CurrentControlSet\Services\wscsvc: Start (設定值為 0x00000002 )
HKLM\system\CurrentControlSet\Services\wuauserv: Start (設定值為 0x00000002 )
打開註冊項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost下的netsvcs值,將病毒註冊的服務項<rnd2> (rnd2 是隨機字母)
刪除(不要亂刪,防止系統崩潰
刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的病毒服務項<rnd2> (rnd2 是隨機字母)
4.重啟,病毒不會再次生成,這樣這個毒便算是完全清除了。
注意:若處在區域網路環境中,該病毒還會利用MS08-067漏洞主動攻擊,所以域中若有其它電腦感染,有可能會重複感染,所以清除時應先斷網。清除後應及時打好MS08-067對應補丁。

熱門詞條

聯絡我們