jwgkvsq.vmx

1、在移動隨身碟或者移動硬碟上，會形成以下兩個隱藏唯讀檔案：

（1）autorun.inf檔案，打開後全是亂碼，但是在檔案的後半部分發現了一些可疑的信息，那就是shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290（和諧）-8240758988（和諧）-879315005-3665\jwgkvsq.vmx,ahaezedrn

（2）RECYCLER資料夾，它和硬碟上的資源回收筒的檔案名稱只差一個字母，那就是最後一個不是D而是R。在這個資料夾裡面還有一個資料夾，名字是S-5-3-42-2819952290（和諧）-8240758988（和諧）-879315005-3665，再裡面是一個關鍵性的檔案：jwgkvsq.vmx。

2、無法查看隱藏檔案。

即使在資源管理器的“資料夾選項”－“查看”中，選中“查看所有檔案”，也會自動恢復到不顯示隱藏檔案，修改註冊表後，能夠顯示所有檔案，就會在移動隨身碟上看到這兩個隱藏檔案和資料夾。即便刪除，那么在下次插上隨身碟時還會出現這兩個檔案（主機已感染）。

3、無法給自己的防毒軟體升級，提示網路設定錯誤等。

4、無法連線到防毒網站。

5、無法使用“冰刃”這款進程查看和終止軟體，一旦啟動冰刃電腦立刻重啟。

病毒啟動的方式主要有幾種方式：

1）通過載入到系統啟動項，使用戶在登錄系統時，自動運行該病毒；

2）通過修改系統檔案，使系統啟動時，自動載入病毒；

3）將病毒載入為驅動程式，讓系統在啟動時載入並運行該病毒；

4）將病毒註冊為系統服務，讓系統在啟動時載入並運行病毒。

這幾種方法中，以第三、四中方法較為隱蔽，也較難處理。

1.當隨身碟插進染毒的電腦後，隨身碟會自動生成兩個檔案，autorun.inf和RECYLER資料夾，RECYLER下面是一個資源回收筒圖示，再下面一層目錄里是jwgkvsq.vmx檔案。特點是autorun.inf檔案和jwgkvsq.vmx的大小都是161k位元組，修改時間是安裝系統的時間。

2.通過修改註冊表的方法，打開查看隱藏檔案的選項，在C:WindowsSystem32資料夾下發現一個隱藏的.dll檔案，大小161k，名字是隨機的，特點是唯讀、隱藏，無法刪除，沒有微軟的備註信息。雖然創建時間和修改時間都是系統安裝的時間，但是還是可以一下子找到。用unlock或者360安全衛士的檔案粉碎功能，反註冊該dll檔案，刪除並重啟。

3.搜尋註冊表，就以360檢查出的異常服務項目為關鍵字。搜尋到幾處，特點是無法刪除，因為這幾個鍵值的許可權只開放給了System，沒有開放給其他用戶組，而且System用戶組沒有修改許可權。下面就是針對這幾個鍵值，添加Administrators用戶組，並給其修改許可權，然後刪除這幾個鍵值。

手工完全清除======================================================================

1.關閉相應svchost.exe卸載%systemroot%\system32\<rnd>.dll(rnd為隨機字母)並刪除之。

如何精確鎖定被注入的svchost.exe進程ID？

用autoruns查看系統服務，很容易鎖定病毒的DLL檔案 %systemroot%\system32\<rnd>.dll (rnd 是隨機字母)

執行第3步的第一項操作將ShowAll的CheckValue值設為1後，顯示系統、隱藏檔案。

打開%systemroot%\system32\找到<rnd>.dll (rnd 是隨機字母)檔案用Unlocker解鎖時會發現進程ID

解鎖Dll，關閉相應進程，刪除<rnd>.dll (rnd 是隨機字母)即可。

2.刪除"C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content（和諧）IE5"下及下級目錄與<rnd3>.dll相同大小的病毒檔案。該檔案後綴可能是*.bmp,*.gif等。

3.恢復註冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue (設定值為 1 )

HKLM\system\CurrentControlSet\Services\BITS: Start (設定值為 0x00000003 )

HKLM\system\CurrentControlSet\Services\ERSvc: Start (設定值為 0x00000002 )

HKLM\system\CurrentControlSet\Services\wscsvc: Start (設定值為 0x00000002 )

HKLM\system\CurrentControlSet\Services\wuauserv: Start (設定值為 0x00000002 )

打開註冊項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost下的netsvcs值，將病毒註冊的服務項<rnd2> (rnd2 是隨機字母)

刪除（不要亂刪，防止系統崩潰）

刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的病毒服務項<rnd2> (rnd2 是隨機字母)

4.重啟，病毒不會再次生成，這樣這個毒便算是完全清除了。

注意:若處在區域網路環境中，該病毒還會利用MS08-067漏洞主動攻擊，所以域中若有其它電腦感染，有可能會重複感染，所以清除時應先斷網。清除後應及時打好MS08-067對應補丁。