jwgkvsq.vmx病毒手工清除实践 jwgkvsq.vmx 360

jwgkvsq.vmx病毒手工清除实践

网络上关于jwgkvsq.vmx专杀的文章比较多,具体对该u盘病毒深入分析的文章很少或分析不够详细,而且有一大批除了知道些jwgkvsq.vmx专杀工具对该病毒一知半解照抄别人文章不经自己实践的人,不懂装懂实在误人非浅。笔者读了一些真正有识之士的博文,结合自己亲身实践,谈谈该病毒的清理方法。

一、jwgkvsq.vmx病毒特点

1.在U盘根目录下生成antorun.inf,还生成一个文件夹RECYCLER,主病毒文件在RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665,名字固定为:jwgkvsq.vmx。

2.所生成的文件都可以很容易的手动删除(如果文件所在的盘是NTFS格式的,就要先修改权限才能删除),但删除后重新插入U盘,又会重新生成上述病毒文件。

3.该病毒会修改注册表去掉系统的显示隐藏功能,以致在“文件夹选项”中选择“显示所有文件”也不起作用。

4.该病毒阻止网络连接到微软网站和瑞星等杀毒软件网站。

5.该病毒会自动搜索内网中具有同样系统漏洞的计算机并试图感染,在一定程度上造成网络堵塞。

二、jwgkvsq.vmx病毒在本机上的藏身之所及特征

1.随机生成一个自动运行的“服务”,外面显示的“名称”和双击该服务后显示的“服务名称”可能不同,且两个名称通常都不会有完整的英文意思。“描述”可能是中文或英文,有一定的迷惑性。执行路径为:“C:WINDOWSsystem32svchost.exe-knetsvcs”。(手工清除时,以双击该服务后显示的“服务名称”为准。该服务拒绝被手动或禁用。该服务自动启动后会自动停止。用wsyscheck软件查看服务时,无法看到该服务。打开msconfig可看到该服务但去掉那勾也无法阻止该病毒启动。)

2.该病毒对注册表的修改,主要是为了生成服务用的,有三个地方:
HKEY_LOCAL_MACHINESYSTEMControlSet001Services“服务名称”
HKEY_LOCAL_MACHINESYSTEMControlSet002Services“服务名称”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices“服务名称”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvcHost中的netsvcs值有“服务名称”。
HK_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigservices“服务名称”
还有别的三五个地方有相关项,似乎不太重要,想完美删除的自己搜索去。

3.在system32下生成一个具有“ARSH”属性的隐藏dll文件,并设置自身权限禁止被删除。该文件名称是随机的。

4.开机后,服务调用该dll文件,插入到svchost文件中。用wsyscheck软件查看svchost文件的线程时,看不到正确的dll文件,只看到几个“?”。

三、jwgkvsq.vmx清除方法

为了简洁我“捞干的”说。

参考上面所描述的“jwgkvsq.vmx病毒在本机上的藏身之所及特征”,按下面的步骤来做:

1.用wsyscheck软件查看svchost文件(通常是占用内存最大的那个,约20M左右。)的线程,线程信息中有大概5个“?”的线程(看不到起始文件位置)。这5个“?”即为病毒线程。结束掉这5个问号线程后再插入U盘,病毒将不会起作用。如果你没有wsyscheck软件,也可直接结束这个svchost线程。

2.在运行处打开services.msc(或直接鼠标右击:我的电脑->管理->服务和应用程序->服务),打开寻找具有上面描述特征的“服务”。查看所有启动项为C:WINDOWSsystem32svchost.exe-knetsvcs的服务。看那个服务被“上一步停止了”。如果你禁用该服务,发现病 毒就会不起作用。笔者发现这个病毒服务还有个特点就是一旦被终止后再START会报错误信息。笔者用这种方法发现的是:名称seshpy 描述:boot support

3.在运行处输入“regedit”打开注册表,搜索第2点描述的服务名称(seshpy )。

KEY_LOCAL_MACHINESYSTEMControlSet001Services“服务名称”。找到的服务名称是个文件夹,里面的内容也不可见,因病毒已修改了它的权限。右键之添加一个新用户,获得全部控制权后即可见。然后选中它后按F5刷新就会看到详细的服务信息并出现一或两个子项(默认是没有任何信息显示的),打开“Parameters”子项即可看到藏身在system32里面的隐藏dll文件名称,记下来。笔者发现的是一个在system32路径下的gkofi.dll文件。进入该目录删除之。杀毒结束(如果你认真的话可再清除相关注册表信息)

PS:找出注册表中的“服务名称”和该服务所启动的隐藏dll文件是关键。用别的工具或方法也行,只要能找到这两个关键点就能很轻松的删除jwgkvsq.vmx病毒。

  

爱华网本文地址 » http://www.aihuau.com/a/25101016/287718.html

更多阅读

安全二维码是干什么的 二维码能干什么

安全二维码是干什么的——简介安全二维码用于对二维码进行安全检测,以确保二维码信息中不含有病毒或其它垃圾信息。360推出安全二维码,可直接扫描或读出二维码,同时对其进行安全扫描,保护手机不受安全威胁。下面就来看一下360如何应用安

怎样清除征途木马 怎样清除手机木马病毒

现在木马病毒的传播方式越来越来隐蔽,让不少用户防不胜防。特别是针对某款网游的盗号木马,如果不加以控制,将给这款网游带来毁灭性灾难。最近针对《征途》游戏出了一款木马,它的隐藏方式相当狡诈,非常难以发现。不过,对于这类劣迹斑斑的病

如何清除arp病毒 手机如何清除arp攻击

如何清除arp病毒——简介arp的功能就是实现将IP地址解析为电脑物理网卡地址;全球接入互联网的电脑都有一个惟一的物理网卡地址(MAC),arp病毒主要是通过将网关地址解析成入侵的电脑MAC地址,并导致用户无法正常上网或者经常掉网。如何清除

如何更干净的清除手机病毒? 手机vold病毒彻底清除

如何更干净的清除手机病毒?——简介现在随着技术的快速发展,智能手机已经逐渐走进了千家万户,不过在方便我们生活的同时,伴随智能机走进我们身边的不仅仅只有一些好的程序,还有不法人士一些木马病毒程序,想尽办法的将这些恶意程序植入我们

声明:《jwgkvsq.vmx病毒手工清除实践 jwgkvsq.vmx 360》为网友切如云烟分享!如侵犯到您的合法权益请联系我们删除