“jwgkvsq.vmx”的意思、由来-中文百科全书

jwgkvsq.vmx为蠕虫病毒，名称为Net-Worm.Win32.Kido.ih。

中了jwgkvsq.vmx病毒的症状

1、在移动U盘或者移动硬盘上，会形成以下两个隐藏只读文件：

（1）autorun.inf文件，打开后全是乱码，但是在文件的后半部分发现了一些可疑的信息，那就是shelLExECUte=RuNdLl32.EXE .\\RECYCLER\\S-5-3-42-2819952290（和谐）-8240758988（和谐）-879315005-3665\\jwgkvsq.vmx,ahaezedrn

（2）RECYCLER文件夹，它和硬盘上的回收站的文件名只差一个字母，那就是最后一个不是D而是R。在这个文件夹里面还有一个文件夹，名字是S-5-3-42-2819952290（和谐）-8240758988（和谐）-879315005-3665，再里面是一个关键性的文件：jwgkvsq.vmx。

2、无法查看隐藏文件。

即使在资源管理器的“文件夹选项”－“查看”中，选中“查看所有文件”，也会自动恢复到不显示隐藏文件，修改注册表后，能够显示所有文件，就会在移动U盘上看到这两个隐藏文件和文件夹。即便删除，那么在下次插上U盘时还会出现这两个文件（主机已感染）。

3、无法给自己的杀毒软件升级，提示网络设置错误等。

4、无法连接到杀毒网站。

5、无法使用“冰刃”这款进程查看和终止软件，一旦启动冰刃电脑立刻重启。

病毒启动的方式主要有几种方式：

1）通过加载到系统启动项，使用户在登录系统时，自动运行该病毒；

2）通过修改系统文件，使系统启动时，自动加载病毒；

3）将病毒加载为驱动程序，让系统在启动时加载并运行该病毒；

4）将病毒注册为系统服务，让系统在启动时加载并运行病毒。

这几种方法中，以第三、四中方法较为隐蔽，也较难处理。

手动清除

1.当优盘插进染毒的电脑后，优盘会自动生成两个文件，autorun.inf和RECYLER文件夹，RECYLER下面是一个回收站图标，再下面一层目录里是jwgkvsq.vmx文件。特点是autorun.inf文件和jwgkvsq.vmx的大小都是161k字节，修改时间是安装系统的时间。

2.通过修改注册表的方法，打开查看隐藏文件的选项，在C:WindowsSystem32文件夹下发现一个隐藏的.dll文件，大小161k，名字是随机的，特点是只读、隐藏，无法删除，没有微软的备注信息。虽然创建时间和修改时间都是系统安装的时间，但是还是可以一下子找到。用unlock或者360安全卫士的文件粉碎功能，反注册该dll文件，删除并重启。

3.搜索注册表，就以360检查出的异常服务项目为关键字。搜索到几处，特点是无法删除，因为这几个键值的权限只开放给了System，没有开放给其他用户组，而且System用户组没有修改权限。下面就是针对这几个键值，添加Administrators用户组，并给其修改权限，然后删除这几个键值。

手工完全清除======================================================================

1.关闭相应svchost.exe卸载%systemroot%\\system32\\<rnd>.dll(rnd为随机字母)并删除之。

如何精确锁定被注入的svchost.exe进程ID？

用autoruns查看系统服务，很容易锁定病毒的DLL文件 %systemroot%\\system32\\<rnd>.dll (rnd 是随机字母)

执行第3步的第一项操作将ShowAll的CheckValue值设为1后，显示系统、隐藏文件。

打开%systemroot%\\system32\\找到<rnd>.dll (rnd 是随机字母)文件用Unlocker解锁时会发现进程ID

解锁Dll，关闭相应进程，删除<rnd>.dll (rnd 是随机字母)即可。

2.删除"C:\\Documents and Settings\etworkService\\Local Settings\\Temporary Internet Files\\Content（和谐）IE5"下及下级目录与<rnd3>.dll相同大小的病毒文件。该文件后缀可能是*.bmp,*.gif等。

3.恢复注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL: CheckedValue (设置值为 1 )

HKLM\\system\\CurrentControlSet\\Services\\BITS: Start (设置值为 0x00000003 )

HKLM\\system\\CurrentControlSet\\Services\\ERSvc: Start (设置值为 0x00000002 )

HKLM\\system\\CurrentControlSet\\Services\\wscsvc: Start (设置值为 0x00000002 )

HKLM\\system\\CurrentControlSet\\Services\\wuauserv: Start (设置值为 0x00000002 )

打开注册项HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost下的netsvcs值，将病毒注册的服务项<rnd2> (rnd2 是随机字母)

删除（不要乱删，防止系统崩溃）

删除HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services下的病毒服务项<rnd2> (rnd2 是随机字母)

4.重启，病毒不会再次生成，这样这个毒便算是完全清除了。

注意:若处在局域网环境中，该病毒还会利用MS08-067漏洞主动攻击，所以域中若有其它电脑感染，有可能会重复感染，所以清除时应先断网。清除后应及时打好MS08-067对应补丁。

词条	jwgkvsq.vmx
释义	中了jwgkvsq.vmx病毒的症状手动清除 jwgkvsq.vmx为蠕虫病毒，名称为Net-Worm.Win32.Kido.ih。中了jwgkvsq.vmx病毒的症状 1、在移动U盘或者移动硬盘上，会形成以下两个隐藏只读文件：（1）autorun.inf文件，打开后全是乱码，但是在文件的后半部分发现了一些可疑的信息，那就是shelLExECUte=RuNdLl32.EXE .\\RECYCLER\\S-5-3-42-2819952290（和谐）-8240758988（和谐）-879315005-3665\\jwgkvsq.vmx,ahaezedrn （2）RECYCLER文件夹，它和硬盘上的回收站的文件名只差一个字母，那就是最后一个不是D而是R。在这个文件夹里面还有一个文件夹，名字是S-5-3-42-2819952290（和谐）-8240758988（和谐）-879315005-3665，再里面是一个关键性的文件：jwgkvsq.vmx。 2、无法查看隐藏文件。即使在资源管理器的“文件夹选项”－“查看”中，选中“查看所有文件”，也会自动恢复到不显示隐藏文件，修改注册表后，能够显示所有文件，就会在移动U盘上看到这两个隐藏文件和文件夹。即便删除，那么在下次插上U盘时还会出现这两个文件（主机已感染）。 3、无法给自己的杀毒软件升级，提示网络设置错误等。 4、无法连接到杀毒网站。 5、无法使用“冰刃”这款进程查看和终止软件，一旦启动冰刃电脑立刻重启。病毒启动的方式主要有几种方式： 1）通过加载到系统启动项，使用户在登录系统时，自动运行该病毒； 2）通过修改系统文件，使系统启动时，自动加载病毒； 3）将病毒加载为驱动程序，让系统在启动时加载并运行该病毒； 4）将病毒注册为系统服务，让系统在启动时加载并运行病毒。这几种方法中，以第三、四中方法较为隐蔽，也较难处理。手动清除 1.当优盘插进染毒的电脑后，优盘会自动生成两个文件，autorun.inf和RECYLER文件夹，RECYLER下面是一个回收站图标，再下面一层目录里是jwgkvsq.vmx文件。特点是autorun.inf文件和jwgkvsq.vmx的大小都是161k字节，修改时间是安装系统的时间。 2.通过修改注册表的方法，打开查看隐藏文件的选项，在C:WindowsSystem32文件夹下发现一个隐藏的.dll文件，大小161k，名字是随机的，特点是只读、隐藏，无法删除，没有微软的备注信息。虽然创建时间和修改时间都是系统安装的时间，但是还是可以一下子找到。用unlock或者360安全卫士的文件粉碎功能，反注册该dll文件，删除并重启。 3.搜索注册表，就以360检查出的异常服务项目为关键字。搜索到几处，特点是无法删除，因为这几个键值的权限只开放给了System，没有开放给其他用户组，而且System用户组没有修改权限。下面就是针对这几个键值，添加Administrators用户组，并给其修改权限，然后删除这几个键值。手工完全清除====================================================================== 1.关闭相应svchost.exe卸载%systemroot%\\system32\\<rnd>.dll(rnd为随机字母)并删除之。如何精确锁定被注入的svchost.exe进程ID？用autoruns查看系统服务，很容易锁定病毒的DLL文件 %systemroot%\\system32\\<rnd>.dll (rnd 是随机字母) 执行第3步的第一项操作将ShowAll的CheckValue值设为1后，显示系统、隐藏文件。打开%systemroot%\\system32\\找到<rnd>.dll (rnd 是随机字母)文件用Unlocker解锁时会发现进程ID 解锁Dll，关闭相应进程，删除<rnd>.dll (rnd 是随机字母)即可。 2.删除"C:\\Documents and Settings\etworkService\\Local Settings\\Temporary Internet Files\\Content（和谐）IE5"下及下级目录与<rnd3>.dll相同大小的病毒文件。该文件后缀可能是.bmp,.gif等。 3.恢复注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL: CheckedValue (设置值为 1 ) HKLM\\system\\CurrentControlSet\\Services\\BITS: Start (设置值为 0x00000003 ) HKLM\\system\\CurrentControlSet\\Services\\ERSvc: Start (设置值为 0x00000002 ) HKLM\\system\\CurrentControlSet\\Services\\wscsvc: Start (设置值为 0x00000002 ) HKLM\\system\\CurrentControlSet\\Services\\wuauserv: Start (设置值为 0x00000002 ) 打开注册项HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost下的netsvcs值，将病毒注册的服务项<rnd2> (rnd2 是随机字母) 删除（不要乱删，防止系统崩溃）删除HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services下的病毒服务项<rnd2> (rnd2 是随机字母) 4.重启，病毒不会再次生成，这样这个毒便算是完全清除了。注意:若处在局域网环境中，该病毒还会利用MS08-067漏洞主动攻击，所以域中若有其它电脑感染，有可能会重复感染，所以清除时应先断网。清除后应及时打好MS08-067对应补丁。
随便看	体育项目体育消费体育小游戏体育校本研究的理念与方法体育校园体育新视野体育新闻体育新闻报道体育新闻摄影教程体育新闻学体育新闻学概论体育新运动体育心理体育心理学体育心理学题解体育心理训练体育学体育学博士后科研流动站体育学概论体育学刊体育训练体育意义体育英语听说体育营销体育营销II