完善资料让更多小伙伴认识你,还能领取20积分哦, 立即完善>
jwgkvsq.vmx为蠕虫病毒,名称为net-worm.win32.kido.ih。
中了jwgkvsq.vmx病毒的症状: 1、在移动u盘或者移动硬盘上,会形成以下两个隐藏只读文件: (1)autorun.inf文件,打开后全是乱码,但是在文件的后半部分发现了一些可疑的信息,那就是shellexecute=rundll32.exe .recyclers-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn (2)recycler文件夹,它和硬盘上的回收站的文件名只差一个字母,那就是最后一个不是d而是r。在这个文件夹里面还有一个文件夹,名字是s-5-3-42-2819952290-8240758988-879315005-3665,再里面是一个关键性的文件:jwgkvsq.vmx。 2、无法查看隐藏文件。 即使在资源管理器的“文件夹选项”-“查看”中,选中“查看所有文件”,也会自动恢复到不显示隐藏文件,修改注册表后,能够显示所有文件,就会在移动u盘上看到这两个隐藏文件和文件夹。即便删除,那么在下次插上u盘时还会出现这两个文件(主机已感染)。 3、无法给自己的杀毒软件升级,提示网络设置错误等。 4、无法连接到杀毒网站。 5、无法使用“冰刃”这款进程查看和终止软件,一旦启动冰刃电脑立刻重启。 分析: 事实上,nod32、avast都可以查到这个病毒,只是由于该病毒增加了自我保护机制,使得nod32、avast等杀毒软件都无法清除这个病毒。 病毒启动的方式主要有几种方式: 1)通过加载到系统启动项,使用户在登录系统时,自动运行该病毒; 2)通过修改系统文件,使系统启动时,自动加载病毒; 3)将病毒加载为驱动程序,让系统在启动时加载并运行该病毒; 4)将病毒注册为系统服务,让系统在启动时加载并运行病毒。 这几种方法中,以第三、四中方法较为隐蔽,也较难处理。 进入安全模式,进入注册表,搜索jwgkvsq.vmx,不果。证明该病毒并非通过加载到系统启动项的方式调用执行的。同时发现,在安全模式下,删除u盘里的autorun.inf和recycler文件后,病毒会被立即重写入u盘。因此判断该病毒在安全模式下仍然处于启动状态。 由于windows安全模式下,系统只启动必须的服务,对于外加的服务、驱动程序都不加载,但尽管如此,病毒仍然启动,初步推断,该病毒修改了系统文件达到自动加载的目的。但是利用syscheck对系统进行扫描后,并未发现有系统文件被修改,说明该病毒使用的是特殊的方式进行加载的。 虽然如此,但病毒的加载肯定是有迹可寻的,关键在于我们能否想到。hook?rootkid?还是其他手段?看着这个病毒,突然间想起,既然这个病毒是伪装成回收站进行藏身,那么调用它,必须就要找到这个伪装的回收站。于是从这个回收站着手查找。 jwgkvsq.vmx病毒清除方法一: 在注册表里查找病毒的蛛丝马迹,忽然在一个地方发现该回收站的sid(hklm_software_microsoft_windows_currentversioninstalleruserdata),里面有一项值,写着c:windowssystem32mmutspxi.dll,乍一看以为是mmutilse.dll(microsoft 多媒体控件工具集)。回收站里怎么调用多媒体控件的?跟着进入c盘,发现了一个mmutspxi.dll的隐藏文件,而旁边就是mmutilse.dll。那么可见这个文件非常可以。查看文件属性,被设置为系统文件,无法被删除。 利用命令attrib将该文件属性去掉,备份好,删除源文件,并将注册表中相关的信息全部删除。重启计算机。进入正常模式后,用nod32对mmutspxi.dll进行扫描,扫描结果判断为conficker病毒。由于该病毒加载项被清除,病毒已经无法进行启动加载,此时,清除各盘中的recycler及autorun.inf后,病毒不会被重写入u盘,接着在利用nod32对系统进行全盘扫描,没发现病毒文件。初步判断,该病毒被成功清除。 jwgkvsq.vmx病毒清除方法二: 经过分析,jwgkvsq.vmx病毒利用了微软的“ms08-067”漏洞,下载kb958644补丁http://download.microsoft.com/download/a/5/f/a5fcaabe-ff81-4d4f-972e-865bdc60dcbf/windowsxp-kb958644-x86-chs.exe,安装补丁重启以后,删除u盘autorun.inf文件和recycler文件夹后,系统不再自动复制autorun.inf文件和recycler文件夹后到u盘。 最后启动杀毒软件,扫描硬盘会发现有这样一个文件被感染上病毒:c:syst em volume information_restore{129201fa-b0ac-49b3-96b2-deb8b91e727b}rp186a0040663.dll,病毒名称为:hack.exploit.win32.ms08-067.ix,清除病毒后一切正常(安装补丁后请重启后杀毒) |
|
相关推荐 |
|
小黑屋| 手机版| Archiver| 电子发烧友 ( 湘ICP备2023018690号 )
GMT+8, 2024-12-24 04:15 , Processed in 0.632471 second(s), Total 53, Slave 39 queries .
Powered by 电子发烧友网
© 2015 bbs.elecfans.com
关注我们的微信
下载发烧友APP
电子发烧友观察
版权所有 © 湖南华秋数字科技有限公司
电子发烧友 (电路图) 湘公网安备 43011202000918 号 电信与信息服务业务经营许可证:合字B2-20210191 工商网监 湘ICP备2023018690号