如何清除jwgkvsq.vmx病毒

jwgkvsq.vmx为蠕虫病毒，名称为net-worm.win32.kido.ih。

　　中了jwgkvsq.vmx病毒的症状：
　　1、在移动u盘或者移动硬盘上，会形成以下两个隐藏只读文件：
　　（1）autorun.inf文件，打开后全是乱码，但是在文件的后半部分发现了一些可疑的信息，那就是shellexecute=rundll32.exe .recyclers-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn
　　（2）recycler文件夹，它和硬盘上的回收站的文件名只差一个字母，那就是最后一个不是d而是r。在这个文件夹里面还有一个文件夹，名字是s-5-3-42-2819952290-8240758988-879315005-3665，再里面是一个关键性的文件：jwgkvsq.vmx。
　　2、无法查看隐藏文件。
　　即使在资源管理器的“文件夹选项”－“查看”中，选中“查看所有文件”，也会自动恢复到不显示隐藏文件，修改注册表后，能够显示所有文件，就会在移动u盘上看到这两个隐藏文件和文件夹。即便删除，那么在下次插上u盘时还会出现这两个文件（主机已感染）。
　　3、无法给自己的杀毒软件升级，提示网络设置错误等。
　　4、无法连接到杀毒网站。
　　5、无法使用“冰刃”这款进程查看和终止软件，一旦启动冰刃电脑立刻重启。

　　分析：
　　事实上，nod32、avast都可以查到这个病毒，只是由于该病毒增加了自我保护机制，使得nod32、avast等杀毒软件都无法清除这个病毒。
　　病毒启动的方式主要有几种方式：
　　1）通过加载到系统启动项，使用户在登录系统时，自动运行该病毒；
　　2）通过修改系统文件，使系统启动时，自动加载病毒；
　　3）将病毒加载为驱动程序，让系统在启动时加载并运行该病毒；
　　4）将病毒注册为系统服务，让系统在启动时加载并运行病毒。
　　这几种方法中，以第三、四中方法较为隐蔽，也较难处理。
　　进入安全模式，进入注册表，搜索jwgkvsq.vmx，不果。证明该病毒并非通过加载到系统启动项的方式调用执行的。同时发现，在安全模式下，删除u盘里的autorun.inf和recycler文件后，病毒会被立即重写入u盘。因此判断该病毒在安全模式下仍然处于启动状态。

　　由于windows安全模式下，系统只启动必须的服务，对于外加的服务、驱动程序都不加载，但尽管如此，病毒仍然启动，初步推断，该病毒修改了系统文件达到自动加载的目的。但是利用syscheck对系统进行扫描后，并未发现有系统文件被修改，说明该病毒使用的是特殊的方式进行加载的。
　　虽然如此，但病毒的加载肯定是有迹可寻的，关键在于我们能否想到。hook?rootkid?还是其他手段？看着这个病毒，突然间想起，既然这个病毒是伪装成回收站进行藏身，那么调用它，必须就要找到这个伪装的回收站。于是从这个回收站着手查找。

        jwgkvsq.vmx病毒清除方法一：
　　在注册表里查找病毒的蛛丝马迹，忽然在一个地方发现该回收站的sid（hklm_software_microsoft_windows_currentversioninstalleruserdata），里面有一项值，写着c:windowssystem32mmutspxi.dll，乍一看以为是mmutilse.dll（microsoft 多媒体控件工具集）。回收站里怎么调用多媒体控件的？跟着进入c盘，发现了一个mmutspxi.dll的隐藏文件，而旁边就是mmutilse.dll。那么可见这个文件非常可以。查看文件属性，被设置为系统文件，无法被删除。
　　利用命令attrib将该文件属性去掉，备份好，删除源文件，并将注册表中相关的信息全部删除。重启计算机。进入正常模式后，用nod32对mmutspxi.dll进行扫描，扫描结果判断为conficker病毒。由于该病毒加载项被清除，病毒已经无法进行启动加载，此时，清除各盘中的recycler及autorun.inf后，病毒不会被重写入u盘，接着在利用nod32对系统进行全盘扫描，没发现病毒文件。初步判断，该病毒被成功清除。

　　jwgkvsq.vmx病毒清除方法二：
　　经过分析，jwgkvsq.vmx病毒利用了微软的“ms08-067”漏洞，下载kb958644补丁http://download.microsoft.com/download/a/5/f/a5fcaabe-ff81-4d4f-972e-865bdc60dcbf/windowsxp-kb958644-x86-chs.exe，安装补丁重启以后，删除u盘autorun.inf文件和recycler文件夹后，系统不再自动复制autorun.inf文件和recycler文件夹后到u盘。
　　最后启动杀毒软件，扫描硬盘会发现有这样一个文件被感染上病毒：c:syst
em volume information_restore{129201fa-b0ac-49b3-96b2-deb8b91e727b}rp186a0040663.dll，病毒名称为：hack.exploit.win32.ms08-067.ix，清除病毒后一切正常（安装补丁后请重启后杀毒）