網上關於jwgkvsq.vmx查殺的文章很多,但是對於u盤病毒的深入分析文章很少。對於使用jwgkvsq.vmx查殺病毒卻無法處理的用戶,可以參考以下內容手動清除jwgkvsq.vmx的蠕蟲,由於涉及到註冊表的操作,如果不夠熟練,請不要操作。(此方法只針對xp系統,其他系統可能會有變化。)
壹、jwgkvsq.vmx病毒的特征
1.在u盤根目錄下生成antorun.inf,還要生成壹個文件夾回收器。主病毒文件在回收器\ s-5-3-42-281995290-8240758988-879315005-3665。
2.生成的文件可以很方便的手動刪除(如果文件所在的磁盤是NTFS格式的,必須修改權限才能刪除),但上述病毒文件刪除後重新插入u盤會重新生成。
3.該病毒會修改註冊表,刪除系統的顯示和隱藏功能,使“文件夾選項”中選擇“顯示所有文件”不起作用。
4.該病毒阻止網絡連接微軟網站和瑞星等殺毒軟件網站。
5.該病毒會自動搜索內網中存在相同系統漏洞的電腦並試圖感染,壹定程度上造成網絡擁堵。
二、jwgkvsq.vmx病毒在電腦主機上的藏匿地點和特征。
1.隨機生成壹個自動運行的“服務”,外面顯示的“名稱”可能和雙擊服務後顯示的“服務名稱”不壹樣,通常兩個名稱都沒有完整的英文意思。“描述”可能是中文,也可能是英文,有些混亂。執行路徑為:“C:\ Windows \ System32 \ svchost . exe-knet SVCs”。(手動清除時,以雙擊服務後顯示的“服務名”為準。該服務拒絕被手動或禁用。服務自動啟動後會自動停止。使用wsyscheck軟件查看服務時,您無法看到該服務。打開msconfig查看服務,但取消勾選不會阻止病毒啟動。)
2.病毒對註冊表的修改主要用於生成服務,有三個地方:
HKEY _本地_機器\系統\控制集001 \服務\ "服務名"
HKEY _本地_機器\系統\控制集002 \服務\ "服務名"
HKEY _本地_機器\系統\當前控制集\服務\ "服務名"
HKEY _本地_機器\軟件\微軟\ Windows NT \當前版本\ svchost中的netsvcs值有“服務名”。
hk _ local _ machine \ software \ Microsoft \ shared tools \ msconfig \ services \ "服務名"
還有三五個其他地方有相關物品,看起來不重要。想要完美刪除,自己去搜。
3.在system32下生成壹個帶有“ARSH”屬性的隱藏dll文件,設置自己的權限防止被刪除。文件名是隨機的。
4.啟動後,該服務調用dll文件並將其插入到svchost文件中。用wsyscheck軟件查看svchost文件的線程時,看不到正確的dll文件,只有幾個“?”。
三、清除病毒jwgkvsq.vmx的方法
參照上面描述的“jwgkvsq.vmx病毒在本機上的隱藏位置和特征”,按照以下步驟操作:
1.使用wsyscheck軟件查看svchost文件(通常是內存占用最大的壹個,約20M)。)將顯示為“?”線程都結束了。
1.在運行時打開services.msc,找到具有上述特征的“服務”。
(註意“名稱”是否有完整的英文意思,“運行路徑”是否為“C: \ Windows \ System32 \ svchost。Exe-knetsvcs”以及是否在“自動”啟動後自動停止。)
2.找到服務後,雙擊打開,勾選裏面的“服務名”並記下。
3.運行時輸入“regedit”打開註冊表,結合上面第二大點的第二個點描述的註冊表位置,查找上面記錄的“服務名”。
(找到的前三個“服務名”項都有權限限制,無法刪除;右鍵單擊選擇權限,並授予當前用戶完全控制權限。按F5刷新,會看到詳細的服務信息,會出現壹兩個子項(默認情況下沒有信息顯示)。打開“Parameters”子項,查看system32中隱藏的隱藏dll文件的名稱,並記下來。)
4.主要刪除之前ControlSet001和ControlSet002中的“服務名”項。剩下的不刪好像也無所謂。辛苦的朋友最好把找到的都刪了。
5.重啟。“服務”會自動消失。
6.修改註冊表中的相關地方或者使用軟件使系統可以顯示隱藏文件(包括顯示隱藏的系統文件),找到system32下早先寫下的隱藏dll文件,右鍵屬性賦予當前用戶對文件的完全控制權。您可以直接刪除文件。
PS:找出註冊表中的“服務名”和服務啟動的隱藏dll文件是關鍵。也可以使用其他工具或方法,只要能找到這兩個關鍵點,就能輕松刪除病毒。
四、jwgkvsq.vmx病毒的防禦方法
1.從微軟官方網站下載相應版本的安全補丁MS08-067(KB958644)並安裝即可修復此漏洞。
/China/TechNet/security/bulletin/MS08-067 . mspx
2.使用cmd命令在USB閃存驅動器上創建壹個不可刪除的autorun.inf文件夾。
首先輸入u盤的盤符,然後完整地輸入以下命令:
md autorun.inf
cd autorun.inf
md undel...\
u盤根目錄下會生成壹個autorun.inf文件夾,會生成壹個“undel ..”無法打開和刪除的文件夾。
動詞 (verb的縮寫)u盤病毒jwgkvsq.vmx的手動清除方法及防禦方法(2065 438+01 . 2 . 6補充)
1.因為這種病毒是在電腦主機和移動設備(u盤、移動硬盤、手機u盤等)之間進行鏈接的。),是對付電腦主機的關鍵,移動設備上的病毒jwgkvsq.vmx相對容易查殺。本文重點介紹了之前如何處理電腦主機,然後對移動設備的處理做了更詳細的說明(因為病毒jwgkvsq.vmx變得有點棘手,不熟悉NTFS權限設置的童鞋可能處理不了),也是對本文第壹點和第二點的補充說明。
2.2.jwgkvsq.vmx病毒手動清除方法的簡要步驟:
1)首先修復病毒JGKVSQ。VMX在電腦主機上按照上面的方法操作,然後開始處理病毒JGKVSQ。u盤上的VMX。
2)通過使用PE系統或者修改註冊表中的相關地方來展現隱藏的問題。不懂的話,查百度。見目標文件(磁盤X: \Autorun.inf和磁盤X:\ recycler \ s-5-3-42-281995290-8240758988-879315005-3665 \ jwgkvsq . vmx)。
目前最新的jwgkvsq.vmx病毒已經有點棘手了。它賦予每個人只讀權限,將權限中的“所有者”改為其他用戶,使得當前用戶無法添加或修改權限,因此沒有辦法賦予“允許完全控制”權限。妳可以用以下方法處理它:
右鍵單擊文件,選擇“屬性-安全-高級-所有者”,然後從框中列出的用戶中選擇您當前的用戶名或直接選擇管理員和“應用-確定”。完全退出後,再次右鍵單擊該文件並選擇屬性-安全性。此時,您可以添加修改權限,並選擇“允許完全控制”以確認退出。現在您可以刪除該文件了。
加強防禦
其實這篇文章第四點的方法就足夠防禦了!!!修復autorun.inf文件後,即使u盤在另壹臺電腦上感染了病毒,u盤上也只是多了壹個文件。“這個u盤不會成為新的感染源”因為autorun.inf文件不起作用。但是還是會有用戶擔心,不踏實。為此,這裏我們借鑒病毒的方法,以其人之道還治其人之身。使用第四點提到的防禦方法後,我們可以在“X盤:\ recycler \ s-5-3-42-281995290-8240758988-879315005-3665”中構建壹個空的JGKVSQ。這樣,即使是當前用戶也不能輕易刪除文件,只能重新添加當前用戶。這樣u盤裏就不會再產生病毒了。為了避免長時間不知道文件是否真的是病毒,可以新建壹個txt文件,名為“此jwgkvsq.vmx零大小不隱藏_自建。txt”。(自己新建壹個空病毒文件時,如果遇到拒絕,只需修改文件夾的權限,“允許完全控制”!按照第四點提到的方法建立文檔應該比較穩妥。
註意:手動刪除病毒的原理是先了解整體情況,再開始清除,不要壹步壹步看。