手杀“jwgkvsq.vmx”病毒

zxjzwy

手杀“jwgkvsq.vmx”病毒

为了储藏单位的影像资料，前些日子去电脑市场买了两块移动硬盘。当时为了测试移动硬盘的可用性，就在提供移动硬盘的电脑公司的电脑上进行了连接测试，觉得满意后携盘返回。当将新购买的移动硬盘连接在单位的电脑上以后，卡巴马上报毒，并且不能处理病毒文件，当时不由得心中一惊，看来新购的移动硬盘在电脑公司染上病毒了。

根据当时的现象分析，卡巴既然已经发现病毒，当会马上进行拦截，不会让病毒传染到硬盘上，只是不能删除当前的病毒罢了，现在只要将移动硬盘上的病毒文件删除就行了（注意：这时不能使用“我的电脑”和资源管理器来查看移动硬盘，以免激活病毒。）

这时调出电脑安全辅助工具xuetr0.30（www.xuetr.com），选择“文件”选项。查看移动硬盘的文件，发现病毒文件autoru.inf，如图：

用鼠标选中autoru.inf，点击右键，选择“删除后阻止文件再生”选项，然后再用右键选择“强制删除”，然后重启电脑，用卡巴对移动硬盘进行扫描，结果发现了病毒文件jwgkvsq.vmx，如图：

再看卡巴的报告，如图：

看来，这个病毒躲在回收站里使卡巴无法将其删除。现在只好用xuetr来对付他了，重新启动xuetr，选择“文件”选项，查看移动硬盘的回收站，如图：

用鼠标选中jwgkvsq.vmx，点击右键，选择“删除后阻止文件再生”选项，然后再用右键选择“强制删除”，然后重启电脑，卡巴不再报毒了，用xuetr查看移动硬盘，病毒文件已经被彻底删除了（佩服xuetr的强悍），这个世界终于清净了。

现在的病毒越来越猖獗了，杀毒软件对某些具有强力保护措施的病毒并不能完全彻底的铲除，如果不能及时的清理病毒，会给日常工作带来严重的后患，所以对于使用电脑的人来说，掌握一、二种安全辅助工具极为重要。个人认为，现在较好的安全辅助工具当属xuetr为最强。

后来通过在网上查询得知，这是个现时比较流行U盘病毒，该病毒是利用微软“MS08-067”漏洞，可以通过下载安装KB958644补丁，将该漏洞堵住。从网上的发帖来看，有很多人认为这个病毒很难对付，其实只要是方法得当，杀灭这个病毒其实还是比较简单的，所以写成此文，希望对电脑爱好者们有所帮助。

tawny2008

前排支持，虽然只是一个删除操作，汗，对付U盘病毒还是用火流星免疫一下吧

annybaby

回复 2# tawny2008

楼主移动硬盘用的是NTFS格式，Fire的免疫可能会有些问题

tawny2008

回复 3# annybaby


    NTFS确实有问题，不过石头说已经找到免疫的方法（参考此贴11楼http://bbs.kafan.cn/viewthread.p ... p;extra=&page=2），不过如果用NTFS，那我们可以用权限来限制

银砾石

回复 4# tawny2008

根据以下，好象也可以用来做NTFS免疫文件，谁来试下？

http://bbs.kafan.cn/thread-572060-6-1.html
千里同风 56楼

如果在DOS下将FAT32格式卷下的文件夹（里面有文件）复制到NTFS卷，在WINDOWS下就无法看到那个文件夹，因此也看不到夹内文件。楼主的利器能扫描出该文件夹下的文件（红色），WINHEX能够看到，数据恢复软件也能看到，但XUETR看不到。

tawny2008

回复 5# 银砾石


    试验了一下，用命令行不可以从FAT32复制文件夹到NTFS，是要用纯DOS操作吗？

银砾石

具体操作得问“千里同风”，不过我想是纯DOS
有支持NTFS的工具的

zhousulin5

以我的手杀经历来看，病毒成功感染后会生成一个DLL文件，这个DLL是随机的文件名，它还会注册随机的服务名，不过，服务的说明是借用的一些常见服务的说明。
也正是因为这个服务，才会让很多人认为此毒难以对付，楼主能够轻松删掉它，得益于杀软在病毒开始感染前就已经拦截了它。我猜此毒还能够通过系统漏洞提升权限，我见过一台在策略中以路径限制U盘为“基本用户”的机子也被此毒侵并注册了服务。

推翻先前提升权限的猜测，病毒能入侵那台电脑只不过是因为是由svchost完成注册服务的，而svchost未被限权。

其实从那个autorun.inf里面可以直接找出病毒本体。。比之用杀软发现要稳妥

olly

只要病毒没有执行，那就好办~~