|
|
沙发
楼主 |
发表于 2011-7-27 14:25:00
|
只看该作者
如何手工查杀jwgkvsq.vmx
如何手工查杀jwgkvsq.vmx* W" T) J7 z! y4 d8 \! g
+ z# v7 k1 G' [# j4 e) T
现在网络盘病毒横行,即使是在不能连入互联网的上课机房也难遭侵害。最近我就发现了一种U盘病毒jwgkvsq.vmx 。同业MQ6 B( }; ~& U) y
症状/ f, U O: S6 Q0 [
种了jwgkvsq.vmx毒后,移动存储设备的图标会变成文件夹的图标而不是硬盘的图标。各盘符下会生成如下图的两个文件。而且会修改注册表使系统不能显示隐藏文件。
6 u% S# l w4 p4 K2 D$ P
1 ]* ^5 C1 Y b+ g: ` G- A. w随州旅游景点大全
4 @% x6 W- @! V4 c西安旅游景点大全1 ?7 Q0 P1 B) d
清除方法& V% b" I. C- P* C( g
1、在“开始”、“运行” 输入“regedit” 打开注册表编辑器依次打开. E7 j2 C1 P: y9 e2 {# q
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 到右侧,右击把CheckedValue值修改为1。 L$ t6 y9 z* C' K
然后在打开资源管理器在“工具”->“文件夹选项” ->“查看” 选上"显示所有文件和文件夹" ,并把“隐藏受保护的操作系统文件” 前面的点点掉,这样就1 S8 n' y5 h9 A1 s3 C
) Z7 v H0 \1 K/ v杭州旅游景点! n2 }; }& I/ N5 o9 O( e
杭州旅游景点介绍3 B) v4 ?3 G: t& ^4 b* j O
可以看到隐藏文件了。4 x$ b% e+ [' y3 @$ U \ U
2、在注册表里发现该回收站的SID(HKLM_Software_Microsoft_Windows_CurrentVersion_InstallerUserData),
2 Y7 A# D) ^9 K里面有一项值,写着c:\window\system32\mmutspxi.dll。利用命令attrib将该文件属性去掉(具体方法打开cmd,进入 c:\window\system32,然后输入attrib
& D+ y, G* ?2 o5 Jmmutspxi.dll -a -s -r -h ),删除源文件,并将注册表中相关的信息删除。重启计算机。由于该病毒加载项被清除,病毒已经无法进行启动加载,此时,清除各盘中的RECYCLER及 autorun.inf后,病毒不会被重写入U盘。说明:若不显现隐藏文件,RECYCLER、autorun.inf、mmutspxi.dll这三个文件是看不到的,而且看清楚了是RECYCLER不是RECYCLED,RECYCLED是回收站,而RECYCLER打开里面是文件夹S- 5-3-42-2819952290-8240758988-879315005-3665,再打开就是病毒的 t: h5 Q9 ~# h
宁波旅游景点介绍
" C* E) U( M3 L: f济南旅游景点大全% G+ C0 r' Y& v0 m& M9 l# G8 f) e
铜川旅游! K6 h! T$ Q1 v5 O4 s
原体了jwgkvsq.vmx,由于后缀名 vmx我不了解,要是exe,dll我就进行解剖了。 实际上后来查了发现此病毒名字(指的是释放后的DLL病毒)是随机产生的。想
- y+ v1 F9 Z( M4 e$ m要找此病毒只要根据时间搜索就可以了,你双击盘时间跟c:\window \system32里新产生的文件一样,而且是隐藏只读就基本是病毒了。当然最好先备份一份并压4 |' ~, V+ z4 {- O
缩好。/ h& t, ` p& g' Q' z6 v
当然要是闲手工杀毒麻烦,那就用专杀工具吧!http:///www.xker.com/plus/download.php?open=0&aid=73942&cid=3
6 r5 P9 Q! C ? e, Z/ _9 O) Mjwgkvsq.vmx病毒利用了微软的“MS08-067”漏洞下载KB958644补丁安装补丁重启以后,删除U盘autorun.inf文件和RECYCLER文件夹后,系统不再自动复制+ T- {0 V ?6 J
autorun.inf文件和RECYCLER文件夹到U盘。
- Q1 _# l# w( |1 k; M下载地址http:///download.microsoft.com/download/a/5/f/a5fcaabe-ff81-4d4f-972e-865bdc60dcbf/WindowsXP-KB958644-x86-CHS.exe。% z1 ]- \' j( I( p; }' k
付:在国内网站找了半天也没有发现什么病毒描述的信息,到国外网站找到一点描绘信息由于英语水平有限大家将就着看下译文为:利用一个在视窗
5 V1 @" X$ k9 T0 k上海旅游景点推荐" d6 l A& r% k4 w' v* T. {+ h
上海到云南旅游
$ A9 y7 s' k3 n! J0 ?0 x: m上海自助游
( ^# G0 {2 e# h(http:///www.microsoft.com/technet/security/bulletin/ms08-067.mspx) 中安全洞来关于网络传播它自己,在感染一台机器之后,Confi随着一任意行动地产生( r& j5 J+ A; s# S. r
名字建立一服务和设法感染在同局域网中其它电脑.它也把它自己投到任何把插入感染机器可移动的媒体(通用串行总线)里。当利用邻近的电脑的尝试失败的时候+ M& h/ j' X% S) q0 @
* `8 W3 @% ^- \; X: u( Q上海周边游/ t6 b$ m+ t% C3 X" o0 [9 ~
上海旅行社
4 L0 w+ |. p3 g1 c0 D9 |1 }上海景点大全
" s8 `! S% F2 `& s, x& |,蠕虫运作一次蛮力-对软弱密码的攻击,因为蠕虫从它的文件去除权利和所有权,在 Win32:Confi文件之上Filesystem运算对于共用用户是并非容易接近的。
+ n/ c+ o: N! A# |' t原文为* y \4 R+ J# N4 ~2 W; m5 f8 V
Description
# b, a2 l) [1 U- F$ U, u0 jWin32:Confi exploits a security hole in Windows (http:///www.microsoft.com/technet/security/bulletin/ms08-067.mspx ) to propagate itself over7 F5 E$ k8 i' W" ]7 [
networks. After infecting a machine, Confi creates a service with a randomly generated name and tries to infect other computers in the same$ O# D# b5 `! e6 ? h. H! @: {
subnet. It also drops itself into any removable media (USB sticks) plugged into the infected machine. When the attempt to exploit, j# a# ]2 Y; Q9 E1 Q
neighbouring computers fails, the worm runs a brute-force attack against weak passwords. Filesystem operati above the Win32:Confi files2 I9 Y$ S! `* o% G
are not accessible for common users (not even for administrators), because the worm removes the rights and ownership from its files.' W+ g2 ~4 y1 \! C6 b0 Z
运行原理
' M8 }2 y7 K* j: e0 F/ b 其实只要没有运行病毒,对付U盘病毒的是很轻松。我先简单说下U盘病毒运行原理:首先病毒由两部分组成,# H8 u- J, ~) ^! }
1、配置文件,也就是autorun.inf,导致双击盘符就运行病毒的原因这个文件以前主要用于光盘的自启动,但是现在普遍用于U盘病毒,要是autorun.inf里面的
! Q) r! s0 N+ n" \. ^内容没有用混乱代码工具混乱过,打开通常是下面内容:
& n) n$ a- F& r9 G[autorun]
8 Y! h+ R7 o' F9 X" W( o+ L$ yOPEN=可执行文件.exe; `7 l, p8 \! @) I8 O0 g6 k
ICON=相关的图标文件.ico
1 f6 L, Q6 m) X L0 f最关键的是autorun.inf文件是可以被用于硬盘驱动器上的,也是就是说把光盘内容全部复制到硬盘根目录下,双击该盘符,文件就自动运行了,所以被广泛用于U盘病毒上。
% l; q) L, E! i# t+ g5 u: d北京旅行社
; l, z2 g y7 A5 } G2 o+ ~ r北京114) F1 W K% x; r4 d7 K
2、病毒的安装文件,通常是exe程序,但是也有另外,比如上面所说的就是vmx文件。一旦运行病毒通常就会释放到c:\windows\system32 或者直接就在windows
' [ y) M7 @' T0 _下,让后对autorun.inf和原安装程序形成保护,一旦发现被删又马上重新生成。
3 F0 J- j! W9 Y1 y ~防范
8 a, u4 g5 `9 R" [: z/ m 不让U盘病毒运行最简单方法,右击打开U盘,不要双击打开,最好是在资源管理器输入盘符,右击打开也是有一定可能性运行,原因具体详见6 Z; Q- D4 z2 L% l8 t* k) q6 k! g' u
. E& V- R1 [$ c' Y+ J北京自助游
) i' ^* s" v8 y2 I4 k北京周边旅游景点大全8 |! K1 W# B3 ^# B3 v4 [
北京旅游信息
% r# H) n3 E! c. chttp:///bbs.antidu.cn/thread-14350-1-1.html 这就不做讨论了。病毒通常是隐藏的,所以建议显示隐藏文件,发现可疑文件及时删除。打开资源管理器在
6 X4 G7 q4 C3 ~) S6 u“工具”->“文件夹选项” ->“查看” 选上"显示所有文件和文件夹" ,并把“隐藏受保护的操作系统文件” 前面的点点掉,这样就可以看到隐藏文件了。还4 A; d. k6 B5 P9 Y
有下个U盘免疫软件,这样能就有效的防治不小心运行U盘病毒,其实也就是在各盘符下建个windows不访问文件夹autorun.inf。由于不可访问,病毒的7 L4 K7 S6 Q. ^5 u4 M9 J
autorun.inf就无法把文件夹autorun.inf替换掉,也就是无法自动运行病毒原安装程序了。 |
|
|申请友链|手机版|华讯行业网
( 桂B2-20030027 ) 
窥视卡
雷达卡
发表于 2011-7-27 14:19:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
转播
分享
淘帖
支持
反对
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡