jwgkvsq.vmx是什么
病毒启动的方式主要有几种方式:1)通过加载到系统启动项,使用户在登录系统时,自动运行该病毒;2)通过修改系统文件,使系统启
动时,自动加载病毒;3)将病毒加载为驱动程序,让系统在启动时加载并运行该病毒。4)将病毒注册为系统服务,让系统在启动时加载并
运行病毒。这几种方法中,以第三、四中方法较为隐蔽,也较难处理。
进入安全模式,进入注册表,搜索jwgkvsq.vmx,不果。证明该病毒并非通过加载到系统启动项的方式调用执行的。同时发现,在安全模
式下,删除U盘里的autorun.inf和RECYCLER文件后,病毒会被立即重写入U盘。因此判断该病毒在安全模式下仍然处于启动状态。由于
windows安全模式下,系统只启动必须的服务,对于外加的服务、驱动程序都不加载,但尽管如此,病毒仍然启动,初步推断,该病毒修改了
系统文件达到自动加载的目的。但是利用syscheck对系统进行扫描后,并未发现有系统文件被修改,说明该病毒使用的是我以前未见过的方式进行加载的。虽然如此,但病毒的加载肯定是有迹可寻的,关键在于我们能否想到。Hook?RootKid?还是其他手段?看着这个病毒,突然间想起,既然这个病毒是伪装成回收站进行藏身,那么调用它,必须就要找到这个伪装的回收站。于是从这个回收站着手查找。在注册表里查找病毒的蛛丝马迹,忽然在一个地方发现该回收站的SID(HKLM_Software_Microsoft_Windows_CurrentVersion\Ins taller\UserData\),里面有一项值,写着c:\windows\system32\mmutspxi.dll,乍一看以为是mmutilse.dll(Microsoft 多媒体控件工具集)。回收站里怎么调用多媒体控件的?跟着进入C盘,发现了一个mmutspxi.dll的隐藏文件,而旁边就是mmutilse.dll。那么可见这个文件非常可以。查看文件属性,被设置为系统文件,无法被删除。利用命令attrib将该文件属性去掉,备份好,删除源文件,并将注册表中相关的信息全部删除。重启计算机。进入正常模式后,用NOD32对mmutspxi.dll进行扫描,扫描结果判断为Conficker病毒。由于该病毒加载项被清除,病毒已经无法进行启动加载,此时,清除各盘中的RECYCLER及autorun.inf后,病毒不会被重写入U盘,接着在利用NOD32对系统进行全盘扫描,没发现病毒文件。初步判断,该病毒被成功清除。
但是在我的C:\WINDOWS\SYSTEM32文件夹下我发现了一个可疑的DLL文件zirpvecz.dll,去掉属性删除,显示有人或者程序在使用他
用TASKLIST居然查不到!!我更加怀疑。不管怎么样~~还是要把他删掉!!这个文件还有一个可疑的地方就是它没有创建时间!我又惊奇的发现U盘里的病毒文件也是没有创建时间~~只有一个修改和最后访问时间~~~出奇的相似,[连修改时间和最后访问时间也是一样的]!!于是我敢肯定它就是毒了!我现在就在想办法把它删除~~我只有从网上下载工具0。0!这个病毒太恶心了~~很显然它的DLL病毒文件的名字是随即生成的!而且是系统文件~~还设置了可读和隐藏。。把这个文件删除掉基本上就可以把这个毒杀掉!!于是我去网上下了一个Unlocker绿色版,删除掉这个DLL文件以后,打上那个补丁WindowsXP-KB958644-x86-CHS.exe 重起电脑,哇,奇迹出现了,我的移动硬盘恢复正常了。高兴哇。。
jwgkvsq.vmx是什么下载如图片无法显示或论文不完整,请联系qq752018766
