jwgkvsq.vmx病毒手工清除实践 jwgkvsq.vmx 360

网络上关于jwgkvsq.vmx专杀的文章比较多，具体对该u盘病毒深入分析的文章很少或分析不够详细，而且有一大批除了知道些jwgkvsq.vmx专杀工具对该病毒一知半解照抄别人文章不经自己实践的人，不懂装懂实在误人非浅。笔者读了一些真正有识之士的博文，结合自己亲身实践，谈谈该病毒的清理方法。

一、jwgkvsq.vmx病毒特点

1.在U盘根目录下生成antorun.inf，还生成一个文件夹RECYCLER，主病毒文件在RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665，名字固定为：jwgkvsq.vmx。

2.所生成的文件都可以很容易的手动删除（如果文件所在的盘是NTFS格式的，就要先修改权限才能删除），但删除后重新插入U盘，又会重新生成上述病毒文件。

3.该病毒会修改注册表去掉系统的显示隐藏功能，以致在“文件夹选项”中选择“显示所有文件”也不起作用。

4.该病毒阻止网络连接到微软网站和瑞星等杀毒软件网站。

5.该病毒会自动搜索内网中具有同样系统漏洞的计算机并试图感染，在一定程度上造成网络堵塞。

二、jwgkvsq.vmx病毒在本机上的藏身之所及特征

1.随机生成一个自动运行的“服务”，外面显示的“名称”和双击该服务后显示的“服务名称”可能不同，且两个名称通常都不会有完整的英文意思。“描述”可能是中文或英文，有一定的迷惑性。执行路径为：“C:WINDOWSsystem32svchost.exe-knetsvcs”。（手工清除时，以双击该服务后显示的“服务名称”为准。该服务拒绝被手动或禁用。该服务自动启动后会自动停止。用wsyscheck软件查看服务时，无法看到该服务。打开msconfig可看到该服务但去掉那勾也无法阻止该病毒启动。）

2.该病毒对注册表的修改，主要是为了生成服务用的，有三个地方:
HKEY_LOCAL_MACHINESYSTEMControlSet001Services“服务名称”
HKEY_LOCAL_MACHINESYSTEMControlSet002Services“服务名称”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices“服务名称”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvcHost中的netsvcs值有“服务名称”。
HK_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigservices“服务名称”
还有别的三五个地方有相关项，似乎不太重要，想完美删除的自己搜索去。

3.在system32下生成一个具有“ARSH”属性的隐藏dll文件，并设置自身权限禁止被删除。该文件名称是随机的。

4.开机后，服务调用该dll文件，插入到svchost文件中。用wsyscheck软件查看svchost文件的线程时，看不到正确的dll文件，只看到几个“？”。

三、jwgkvsq.vmx清除方法

为了简洁我“捞干的”说。

参考上面所描述的“jwgkvsq.vmx病毒在本机上的藏身之所及特征”，按下面的步骤来做：

1.用wsyscheck软件查看svchost文件（通常是占用内存最大的那个，约20M左右。）的线程，线程信息中有大概5个“？”的线程（看不到起始文件位置）。这5个“？”即为病毒线程。结束掉这5个问号线程后再插入U盘，病毒将不会起作用。如果你没有wsyscheck软件，也可直接结束这个svchost线程。

2.在运行处打开services.msc（或直接鼠标右击：我的电脑->管理->服务和应用程序->服务），打开寻找具有上面描述特征的“服务”。查看所有启动项为C:WINDOWSsystem32svchost.exe-knetsvcs的服务。看那个服务被“上一步停止了”。如果你禁用该服务，发现病 毒就会不起作用。笔者发现这个病毒服务还有个特点就是一旦被终止后再START会报错误信息。笔者用这种方法发现的是：名称seshpy 描述：boot support

3.在运行处输入“regedit”打开注册表，搜索第2点描述的服务名称（seshpy ）。

KEY_LOCAL_MACHINESYSTEMControlSet001Services“服务名称”。找到的服务名称是个文件夹，里面的内容也不可见，因病毒已修改了它的权限。右键之添加一个新用户，获得全部控制权后即可见。然后选中它后按F5刷新就会看到详细的服务信息并出现一或两个子项（默认是没有任何信息显示的），打开“Parameters”子项即可看到藏身在system32里面的隐藏dll文件名称，记下来。笔者发现的是一个在system32路径下的gkofi.dll文件。进入该目录删除之。杀毒结束（如果你认真的话可再清除相关注册表信息）

PS：找出注册表中的“服务名称”和该服务所启动的隐藏dll文件是关键。用别的工具或方法也行，只要能找到这两个关键点就能很轻松的删除jwgkvsq.vmx病毒。