怎么彻底删除清理jwgkvsq.vmx病毒

以下文章由科杰在线pc354.com收集整理并重新编辑

　　无意间发现自己的移动硬盘中的隐藏文件夹　回收站　中不知何时多了一个删不掉的　jwgkvsq.vmx　文件，位于 RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 文件夹下，上网一查，原来是一种病毒，这种病毒非常难清理，网上一些现有的U盘病毒清理工具和杀毒软件，包括某著名杀毒软件厂商出的针对此病毒的专杀工具都不能清理掉它。

　　经过多处打探和收集，整理了下面的解决办法，希望对你有用：

中毒以后的症状是这样的：

在移动U盘或者移动硬盘上，会形成以下两个隐藏而且是只读文件：

1.autorun.inf文件，打开后全是乱码，但是在文件的后半部分发现了一些可疑的信息，那就是shelLExECUte =RuNdLl32.EXE
.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

2.RECYCLER文件夹，它和硬盘上的回收站的文件名只差一个字母，那就是最后一个不是D而是R。在这个文件夹里面还有一个文件夹，名字是
S-5-3-42-2819952290-8240758988-879315005-3665

再里面是一个关键性的文件：jwgkvsq.vmx

我从网上查了一下，没有太多的信息，模模糊糊知道是一个病毒文件。

中毒以后的症状是这样：无法查看隐藏文件，即使在资源管理器的“文件夹选项”－“查看”中，选中“查看所有文件”，也会自动恢复到
不显示隐藏文件，修改注册表后，能够显示所有文件，就会在移动U盘上看到这两个隐藏文件和文件夹。即便删除，那么在下次插上U盘时还
会出现这两个文件，很明显，电脑本身已经中毒了。

中毒之后的症状还有：
一、无法给自己的杀毒软件升级。提示网络设置有错，其实是病毒搞的鬼；
二、无法连接到杀毒网站；
三、无法使用“冰刃”这款进程查看和终止软件，一旦启动冰刃电脑立刻重启。

　　事实上，NOD32、AVAST都可以查到这个病毒，只是由于该病毒增加了自我保护机制，使得NOD32、AVAST等杀毒软件都无法清除这个病毒（科杰在线2009.12.28提示：新版小红伞杀毒软件升级到12.28后已经可以正常清除这个病毒文件了，老一点的病毒库对这个文件无法处理）。

病毒启动的方式主要有几种方式：

1）通过加载到系统启动项，使用户在登录系统时，自动运行该病毒；

2）通过修改系统文件，使系统启动时，自动加载病毒；

3）将病毒加载为驱动程序，让系统在启动时加载并运行该病毒。

4）将病毒注册为系统服务，让系统在启动时加载并运行病毒。

这几种方法中，以第三、四中方法较为隐蔽，也较难处理。

　　进入安全模式，进入注册表，搜索jwgkvsq.vmx，不果。证明该病毒并非通过加载到系统启动项的方式调用执行的。同时发现，在安全模式下，删除U盘里的autorun.inf和RECYCLER文件后，病毒会被立即重写入U盘。因此判断该病毒在安全模式下仍然处于启动状态。

　　由于windows安全模式下，系统只启动必须的服务，对于外加的服务、驱动程序都不加载，但尽管如此，病毒仍然启动，初步推断，该病毒修改了系统文件达到自动加载的目的。但是利用syscheck对系统进行扫描后，并未发现有系统文件被修改，说明该病毒使用的是我以前未见过的方式进行加载的。虽然如此，但病毒的加载肯定是有迹可寻的，关键在于我们能否想到。Hook？RootKid？还是其他手段？看着这个病毒，突然间想起，既然这个病毒是伪装成回收站进行藏身，那么调用它，必须就要找到这个伪装的回收站。于是从这个回收站着手查找。在注册表里查找病毒的蛛丝马迹，忽然在一个地方发现该回收站的SID（HKLM_Software_Microsoft_Windows_CurrentVersion\Installer\UserData\),里面有一项值，写着c:\windows\system32\mmutspxi.dll，乍一看以为是mmutilse.dll（Microsoft 多媒体控件工具集）。回收站里怎么调用多媒体控件的？跟着进入C盘，发现了一个mmutspxi.dll的隐藏文件，而旁边就是mmutilse.dll。那么可见这个文件非常可疑。查看文件属性，被设置为系统文件，无法被删除。利用命令attrib将该文件属性去掉，备份好，删除源文件，并将注册表中相关的信息全部删除。重启计算机。进入正常模式后，用NOD32对mmutspxi.dll进行扫描，扫描结果判断为Conficker病毒。由于该病毒加载项被清除，病毒已经无法进行启动加载，此时，清除各盘中的RECYCLER及autorun.inf后，病毒不会被重写入U盘,接着在利用NOD32对系统进行全盘扫描，没发现病毒文件。初步判断，该病毒被成功清除。

　　合肥科杰在线pc354.com提示，我们在网络上还找到了另一个自动清理这个病毒的批处理文件，本来想将代码直接贴到此文中的，但是在网上看到，很多初级用户不知道怎么使用这样的批处理，因此，我们特意将其整理好，做成现成的文件，大家只要点击这里进行下载，下载回去后直接运行就可以了。

jwgkvsq清理.rar

　　不过这个批处理的效果目前未经验证，因为在发现这个批处理文件之前，我已经用杀毒软件直接干掉了 jwgkvsq 文件，因此无法测试，希望有这样问题的朋友，下载此批处理文件回去测试，看看效果如何，然后在本文的　评论　中发表使用情况，在此先表示感谢！

　　为了更加彻底的解决和避免再次被这个病毒感染，我们需要再做一次 免疫 程序，点击这里下载，将免疫程序放到想要免疫的分区根目录下按提示操作即可！

U盘病毒免疫.rar