jwgkvsq.vmx蠕虫病毒的清理,名称为Net-Worm.Win32.Kido.ih

昨天插入一个u盘后,一会会局域网就掉线了,服务器可以上网,但是远程访问和路由莫名其妙的关掉了,经过试验发现,当我的电脑开机半分钟后,服务器的alg.exe进程占用CPU100%,用wireshark抓包发现我的电脑不停的发送arp查询包(遍历发送,所有ip192.168.0.*)。解决过程如下:

1.在u盘里发现有个autorun.inf文件,还有一个隐藏文件RECYCLER,在这个文件夹里有jwgkvsq.vmx。

2.百度了一下,http://baike.baidu.com/view/3216518.htm,这里有它的资料。

3.下面就该清理它了:首先在system32文件夹下查找一个隐藏dll文件,名字是随机字符串。可按如下方法做:

dir c:\windows\system32\ /A:h

这样很明显能分辨出哪个是病毒dll。我的电脑上是nlbzm.dll。记下这个名字。

4.删除它,但一般删不掉的,你需要用其他软件将对nlbzm的引用解除掉,可以用unlocker、process exprorer,个人推荐process exprorer。


找到后关闭使用句柄,删除该文件。

5.清理注册表:查找刚刚那个dll文件名,后找到一个imagepath值,删除整个,还有这个值是在一个服务下面的,记住这个服务名,继续查找,删除。

6.ok,该病毒同样会禁止用户设置显示全部文件和文件夹,可以通过修改注册表来恢复。

7.防御方法:

我的电脑上没有装杀软,很大程度上归功于这个方法:设置组策略阻止其它盘符的软件运行。方法如下:

a打开组策略(gpedit.msc)。

b定位到Local Computer Policy(本地计算机策略)-》Security Settings(安全设置)-》Windows Settings(windows设置)-》SOftware Restriction Policies(软件限制策略)

c这里需要修改3点:1安全级别(设置默认为不允许的)。2强制(选择所有软件文件)3添加其它规则(将操作系统所在的盘符排除和你认为可以运行软件的目录或盘符使用路径规则的方法加进出,这里构成排除域,说明满足条件的文件可以执行,其它全不可以)。

d注意其它规则中的默认项不要删除,不然你就会停留在登录界面而进不了系统了,如果你这样做了,则可以进安全模式改回来。原因大概是安全模式下不会应用这项设置吧。

上面的方法目前还没发现有什么问题,对于u盘类的病毒是绝杀,如果你发现有不妥之处,请告诉我。

已标记关键词 清除标记
相关推荐
电脑染上这个可恶的病毒很长时间了,一直懒得弄。主要是除了每次插U盘都会在U盘下生成隐藏的RECYCLER文件夹和autorun.inf之外,好像并没有危害过我别的东西。可每次拿我的U盘去别人电脑那里总被告知有毒,实在不爽,于是下决心干掉它! Google了一下,试了好几种办法都没有效果(有的方法还很麻烦),下了n个u盘杀毒程序也不都管用。最后在德国杀毒软件小红伞的官方论坛找到了解决办法(小红伞其实根本就对这个病毒毫无反应-_-!!!)。 废话少说,你先看看你中的毒是不是和我一样,一样的话按这个办法去解决,保证简单有效。 病毒描述: 1. U盘根目录下生成了一个antorun.inf,还有一个文件夹RECYCLER,病毒被放在I:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx 2. autorun.inf和RECYCLER都可以手动删除,但重新拔插U盘,发现又有了 autorun.inf 和 RECYCLER 文件夹 解决办法: 1. 点击这里下载Symantec为这病毒研发的专杀工具,FixDownadup.exe; 2. 断掉网络,关闭全部程序;关闭系统还原; 3. 执行刚才下载的FixDownadup.exe; 4. 重启电脑;再执行FixDownadup.exe 以确保病毒完全清除; 5. 开启系统还原;链接网络;点击这里,寻找并安装微软系统安全补丁(KB958644) 6、打开【运行】对话框(Windows徽标键+R),输入CMD 7、输入cd /d G:\ 。其中G:\为我的存储卡 输入 md autorun.inf\免疫..\ 8、输入md RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx\免疫..\ 免疫成功,大功告成!有任何问题欢迎在此页CSDN留言。
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页