[病毒查杀] jwgkvsq.vmx病毒的清除方法

现象：该病毒利用微软ms08-067漏洞通过移动设备或网络传播，中毒后会出现如下症状：
一、在u盘或者移动硬盘上，会形成以下两个隐藏且是只读文件：
　　1.autorun.inf文件，打开后全是乱码，但是在文件的后半部分发现了一些可疑的信息，那就是

shellexecute =rundll32.exe
.\recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

　　2.recycler文件夹，里面有一个文件夹s-5-3-42-2819952290-8240758988-879315005-3665，再里面就是病毒文件：jwgkvsq.vmx。
二、在系统还原文件夹中生成dll文件，如：c:\system volume information\_restore{129201fa-b0ac-49b3-96b2-deb8b91e727b}\rp186\a0040663.dll
三、在system32文件夹中生成随机命名的病毒文件，如：c:\winnt\system32\obvpwk.gkm、c:\winnt\system32\arevwa.x。
四、在c:\documents and settings\default user\local settings\temporary internet files\content.ie5\中生成以图片名命名的病毒文件，如：c:\documents and settings\default user\local settings\temporary internet files\content.ie5\ztkmkhbh\kmvvdiud[1].gif。
五、无法查看隐藏文件（windows 2000不受影响），即使在资源管理器的“文件夹选项”-“查看”中，选中“查看所有文件”，也会自动恢复到不显示隐藏文件，修改注册表后，能够显示所有文件，就会在移动u盘上看到这两个隐藏文件和文件夹。即便删除，那么在下次插上u盘时还会出现这两个文件。
六、无法给自己的杀毒软件升级，提示网络设置有错。
七、阻止网络连接到微软网站和瑞星等杀毒软件网站。
八、无法使用“冰刃”这款进程查看和终止软件，一旦启动冰刃电脑立刻重启。
九、自动搜索内网中具有同样系统漏洞的计算机并试图感染，在一定程度上造成网络堵塞。
十、对c/s结构的wincc画面影响较大，会出现登录wincc画面缓慢、无法登录、画面切换慢、卡死、数据传输滞后等现象；对于单机版的wincc画面影响相对较小。
Kill1_zhumeng.org.jpg

=========================================================================================================
解决：
1、下载专杀工具：http://www.bitdefender.com/virus-1000462-en--win32.worm.downadup.gen.html；
2、下载symantec为这病毒研发的专杀工具fixdownadup.exe：http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/d.exe；
3、依据不同的操作系统版本，下载微软系统安全补丁m08-067（kb958644）：http://www.microsoft.com/china/technet/security/bulletin/ms08-067.mspx；
4、下载“ms08-067漏洞内存补丁工具”：http://dl.rising.com.cn/downloadinfo/2008-11-03/1225691872d50245.shtml；
5、断开网络，关闭全部程序，关闭系统还原（windows 2000无系统还原，省略此步）；
6、执行刚才下载的cleaner_gui.exe和d.exe；
7、查出病毒后按要求重启电脑，再执行leaner_gui.exe和d.exe，以确保病毒完全清除；
8、打上下载的两个补丁；
9、用杀毒软件全盘杀毒；
10、如果为局域网，则局域网内所有机器都应打补丁并杀毒，否则未打补丁机器还会向正常机器传染；
11、开启系统还原，连接网络。
Kill2_zhumeng.org.jpg

u盘等的防御方法：
将以下代码保存为anti.bat文件，拷贝到u盘或移动硬盘等的根目录下，双击运行：

md autorun.inf
　　md recycler
　　md autorun.inf\a...\\
　　md autorun.inf\autorun.inf..\\
　　md recycler\s-5-3-42-2819952290-8240758988-879315005-3665
　　md recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
　　md recycler\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx\a..\\
　　attrib autorun.inf +s +h +a
　　attrib recycler +s +h +a
　　attrib recycler\s-5-3-42-2819952290-8240758988-879315005-3665 +s +h +a

复制代码

其他专杀下载：
bitdefender发布的conficker(downadup/kido)蠕虫专杀工具的网络版（用于局域网环境中查杀）：http://www.bdtools.net/download/bd_network_tool.exe
kaspersky net-worm.win32.kido专杀工具：http://support.kaspersky.com/downloads/utils/kk.zip

欢迎光临：逐梦论坛

新手上路

Rank: 1

2^#

潇湘碣石发表于 2010-7-20 07:12 | 只看该作者

看似杀毒软件处理完了其实只要我把p3重启后这个病毒又会出来，h盘格式化了也不管用咋办?

TOP

管理员

Rank: 9 Rank: 9 Rank: 9

3^#

shillan发表于 2010-7-20 18:44 | 只看该作者

下面引用由潇湘碣石发表的内容：

看似杀毒软件处理完了其实只要我把p3重启后这个病毒又会出来，h盘格式化了也不管用咋办?

如果为局域网，则局域网内所有机器都应打补丁并杀毒，否则未打补丁机器还会向正常机器传染

欢迎光临：逐梦论坛

TOP

管理员

Rank: 9 Rank: 9 Rank: 9

4^#

shillan发表于 2010-9-21 12:04 | 只看该作者

w32.downadup 蠕虫病毒是2008年12月发现的针对ms08-067 漏洞的病毒，此病毒已出现多种变种，虽然是一个比效老的病毒，但染毒后的杀毒过程过让人不胜其烦，收集了一些专杀工具以方便以后遇到此病毒的朋友更快处理问题。
先大概说一下查杀方法：
1.安装微软安全更新ms08-067。[点击进入本站打包下载地址] [点击进入微软官方下载地址]
2.禁用系统还原(windowsme/xp)
3.更新病毒定义
4.用杀毒软件或专杀工具查杀（目前杀毒软件已经可以有效清除此病毒）
专杀工具下载：
1.conficker_detection_tool_v108,查毒工具。[点击进入下载地址]
2.symantec的w32.downadup removal tool,可以有效清除w32.downadup ；w32.downadup.b；w32.downadup.c。[点击进入下载地址]
3.bd_network_tool,可以有效清除局域网中的病毒，最大的好处是可以通过网络给局域网中的每一台电脑杀毒。[点击进入下载地址]
---------------------------------------------------------------
w32.downadup蠕虫病毒详解
w32.downadup.b可利用microsoft windows服务器服务rpc的远程代码执行漏洞进行传播，也可利用弱密码保护的网络共享进行感染。w32.downadup.b会在硬盘上新建autorun.inf文件，若用户进入硬盘空间，恶意代码便会自动运行。同时，它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接，此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。此外，w32.downadup.b还会监测计算机发出的dns请求中是否有某些特定字符串，并以“超时，访问不成功”的方式阻止计算机访问某些网站（如安全更新网站）。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件，从而无法清除病毒威胁。
　　w32.downadup.b病毒介绍
　　别称：worm:w32/downadup.al [f-secure], win32/conficker.b [computer associates], w32/confick-d [sophos], worm_downad.ad , net-worm.win32.kido.ih [kaspersky]
　　类型：蠕虫
　　受影响的系统：windows 2000, windows 95, windows 98, windows me, windows nt, windows server 2003, windows vista, windows xp
　　w32.downadup.b是蠕虫病毒，通过攻击 microsoft windows server service rpc handling 远程编码执行漏洞 (bid 31874) 进行传播。它还尝试传播到弱密码保护的网络共享，并阻止访问与安全相关的网站。w32.downadup.b病毒会修改 tcpip.sys 文件。
　　w32.downadup.b病毒行为特征
　　一旦执行，蠕虫会检查下列注册表项是否存在，如果不存在将创建这些注册表项：
　　* hkey_current_user\software\microsoft\windows\currentversion\applets\"dl" = "0"
　　* hkey_local_machine\software\microsoft\windows\currentversion\applets\"dl" = "0"
　　* hkey_current_user\software\microsoft\windows\currentversion\applets\"ds" = "0"
　　* hkey_local_machine\software\microsoft\windows\currentversion\applets\"ds" = "0"
　　然后，它会将其自身复制为下列文件中的一个或多个：
　　* %programfiles%\internet explorer\[random file name].dll
　　* %programfiles%\movie maker\[random file name].dll
　　* %system%\[random file name].dll
　　* %temp%\[random file name].dll
　　* c:\documents and settings\all users\application data \[random file name].dll
　　它创建具有下列特征的新服务：
　　服务名称：[path to worm]
　　显示名称：[worm generated service name]
　　启动类型：自动
　　接下来通过创建下列的注册表项注册为服务：
　　* hkey_local_machine\system\currentcontrolset\services\[worm generated service name]\parameters\"servicedll" = "[path to worm]"
　　* hkey_local_machine\system\currentcontrolset\services\[worm generated service name]\"imagepath" = %systemroot%\system32\svchost.exe -k netsvcs
　　* hkey_local_machine\system\currentcontrolset\services\[worm generated service name]\"type" = "4"
　　* hkey_local_machine\system\currentcontrolset\services\[worm generated service name]\"start" = "4"
　　* hkey_local_machine\system\currentcontrolset\services\[worm generated service name]\"errorcontrol" = "4"
　　注意：[worm generated service name] 表示从下列单词列表中选取的两个单词组合：
　　* boot　　* center　　* config　　* driver　　* helper　　* image　　* installer　　* manager　　* microsoft　　* monitor　　* network　　* security　　* server　　* shell　　* support　　* system　　* task　　* time　　* universal　　* update　　* windows
　　该蠕虫会创建下列注册表项，以便在每次启动 windows 时运行：
　　hkey_current_user\software\microsoft\windows\currentversion\run\"[random name]" = "rundll32.exe "[random file name].dll", ydmmgvos"
　　接下来，蠕虫会删除所有用户创建的系统还原点。
　　然后蠕虫运行一个命令，通过禁用 windows vista tcp/ip 自动微调加快对受感染计算机的网络访问，从而加速传播。
　　蠕虫还修改下列注册表项，以便更快速地传播到整个网络：
　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters\"tcpnumconnections" = "00fffffe"
　　接下来，蠕虫会结束下列两项 windows 服务：
　　* 后台智能传输服务 (bits)
　　* windows 自动更新服务 (wuauserv)
　　然后蠕虫修改下列文件，以禁用在 windows xp sp2 中引入的半开放连接限制：
　　%system%\drivers\tcpip.sys
　　它还尝试通过修改下列注册表值在系统上将自身隐藏：
　　hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden
\showall\"checkedvalue" = "0"
　　下一步，蠕虫会枚举可用的 admin$ 网络共享资源。然后，它枚举这些共享资源中的用户，并尝试使用下列密码之一以现有用户的身份建立连接：
　　请注意：根据账户锁定设置，蠕虫的多次身份验证尝试可能会导致这些账户被锁定。
　　如果建立成功，则蠕虫将自身作为下列文件复制到共享：
　　[share name]\admin$\system32\[random file name].dll
　　然后在远程服务器上创建计划的作业，以便每日运行下列命令组合：
　　"rundll32.exe [random file name].dll, [random parameter string]"
　　接下来，蠕虫连接到下列 url 以获取受感染计算机的 ip 地址：
　　* http://www.getmyip.org
　　* http://www.whatsmyipaddress.com
　　* http://getmyip.co.uk
　　* http://checkip.dyndns.org
　　蠕虫在本地网络网关设备上创建防火墙规则，以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 ip 地址进行下载。
　　然后蠕虫以下列格式通过随机端口在受感染计算机上创建 http 服务器：
　　http://[compromised computer external ip address]:[random port]
　　然后将此 url 发送到远程计算机。
　　接下来蠕虫尝试通过攻击下列漏洞进行传播，以便远程计算机连接到上述命名 url 并下载该蠕虫。
　　microsoft windows server service rpc 处理远程编码执行漏洞 (bid 31874)
　　蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器：
　　%driveletter%\recycler\s-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[random file name].dll
　　蠕虫还尝试在任意可访问的映射驱动器中创建下列文件，以便在访问驱动器时执行：
　　%driveletter%\autorun.inf
　　它还监控受感染计算机上的所有其他新设备，并尝试以同样的方式感染这些新添加的设备。
　　蠕虫获取大量的 window api 调用以进行传播，并使其难于删除。
　　该蠕虫还获取 netpwpathcanonicalize api，并在调用该 api 时，它会检查 pathname 的长度以避免进一步攻击漏洞。如果 pathname 包含该蠕虫原来具有的签名，则 pathname 可能包含加密的 url，并且蠕虫通过此 url 可以下载文件并执行该文件。
　　蠕虫在内存中修补下列 api：
　　* dns_query_a
　　* dns_query_utf8
　　* dns_query_w
　　* query_main
　　* sendto
　　蠕虫监控向域发出的包含下列任意字符串的 dns 请求，并阻止访问这些域以便显示网络请求超时：
　　* ahnlab　　* arcabit　　* avast　　* avg.　　* avira　　* avp.　　* bit9.　　* ca.　　* castlecops　　* centralcommand　　* cert.　　* clamav　　* comodo　　* computerassociates　　* cpsecure　　* defender　　* drweb　　* emsisoft　　* esafe　　* eset　　* etrust　　* ewido　　* f-prot　　* f-secure　　* fortinet　　* gdata　　* grisoft　　* hacksoft　　* hauri　　* ikarus　　* jotti　　* k7computing　　* kaspersky　　* malware　　* mcafee　　* microsoft　　* nai.　　* networkassociates　　* nod32　　* norman　　* norton　　* panda　　* pctools　　* prevx　　* quickheal　　* rising　　* rootkit　　* sans.　　* securecomputing　　* sophos　　* spamhaus　　* spyware　　* sunbelt　　* symantec　　* threatexpert　　* trendmicro　　* vet.　　* virus　　* wilderssecurity　　* windowsupdate
　　它联系下列站点之一以获取当前日期：
　　* baidu.com　　* google.com　　* yahoo.com　　* msn.com　　* ask.com　　* w3.org　　* aol.com　　* cnn.com　　* ebay.com　　* msn.com　　* myspace.com
　　然后检查受感染计算机上的日期是否为最新日期，即 2009 年 1 月 1 日。
　　然后蠕虫以下列格式基于该日期生成域名列表：
　　[generated domain name].[top level domain]
　　注意： [top level domain] 表示下列顶级域：
　　* .biz
　　* .info
　　* .org
　　* .net
　　* .com
　　* .ws
　　* .cn
　　* .cc
　　注意： [generated domain name] 表示蠕虫创建的域名，例如基于 2009 年 1 月 1 日生成的下列域名列表示
　　然后蠕虫基于生成的域名联系下列远程位置：
　　http://[generated domain name]。[top level domain]/search?q=%d
　　然后它从此远程位置下载更新的自身副本。
　　蠕虫还会与其他受感染计算机通信，通过对等连接机制接收并执行文件。这些文件需要恶意软件的作者植入蠕虫的网络中。
　　w32.downadup.b病毒专杀方法
　　1.安装微软安全更新ms08-067，安装地址：
　　http://www.microsoft.com/china/technet/security/bulletin/ms08-067.mspx
　　2.禁用系统还原(windowsme/xp)
　　如果正在运行windowsme或windowsxp，建议您暂时关闭系统还原功能。此功能由系统默认为启用状态，一旦计算机中的文件遭到破坏，windowsme/xp可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
　　windows禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法清除systemrestore文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。
　　此外，病毒扫描也可能在systemrestore文件夹中检测到威胁，即使您已清除此威胁。
　　注意：当您完全完成杀毒步骤，并确定威胁已清除后，请按照上述文档中的说明重新启用系统还原。
　　3.更新病毒定义。
　　4.查找并终止服务
　　（1）单击“开始”>“运行”。
　　（2）键入services.msc，然后单击“确定”。
　　（3）查找并选择检测到的服务。
　　（4）单击“操作”>“属性”。
　　（5）单击“停止”。
　　（6）将“启动类型”更改为“手动”。
　　（7）单击“确定”，然后关闭“服务”窗口。
　　（8）重新启动计算机。
　　5.根据需要，查找并删除任务计划
　　（1）单击“开始”>“程序文件”。
　　（2）单击>“附件”。
　　（3）单击>“系统工具”。
　　（4）单击>“任务计划”。
　　（5）找到并选择任务计划。
　　（6）单击删除此项目
　　（7）单击是并关闭“任务计划”窗口。
　　（8）重新启动计算机。
　　6.运行全面系统扫描
　　7.从注册表中删除值
　　（1）单击“开始”>“运行”。
　　（2）键入regedit，
　　（3）然后单击“确定”。
　　（4）导航至下列注册表项并将其删除：
　　*hkey_current_user\software\microsoft\windows\currentversion\run\"[randomname]"="rundll32.exe"
[randomfilename].dll",ydmmgvos"
　　*hkey_current_user\software\microsoft\windows\currentversion\applets\"dl"="0"
　　*hkey_local_machine\software\microsoft\windows\currentversion\applets\"dl"="0"
　　*hkey_current_user\software\microsoft\windows\currentversion\applets\"ds"="0"
　　*hkey_local_machine\software\microsoft\windows\currentversion\applets\"ds"="0"
　　*hkey_local_machine\system\currentcontrolset\services\[wormgeneratedservicename]\"displayname"="[wormgeneratedservicename]"
　　*hkey_local_machine\system\currentcontrolset\services\[wormgeneratedservicename]\"type"="4"
　　*hkey_local_machine\system\currentcontrolset\services\[wormgeneratedservicename]\"start"="4"
　　*hkey_local_machine\system\currentcontrolset\services\[wormgeneratedservicename]\"errorcontrol"="4"
　　*hkey_local_machine\system\currentcontrolset\services\[wormgeneratedservicename]\"imagepath"="%systemroot%\system32\svchost.exe-k
　　*hkey_local_machine\system\currentcontrolset\services\[wormgeneratedservicename]\parameters\"servicedll"="[pathtoworm]"
　　（5）根据需要，将下列注册表项恢复到其以前的值：
　　*hkey_local_machine\system\currentcontrolset\services\tcpip\parameters\"tcpnumconnections"=
"00fffffe"
　　*hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\
showall\"checkedvalue"="0"
　　（6）退出注册表编辑器。
　　注意：如果该风险在hkey_current_user下面创建或修改了注册表子项或注册表项，则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项，请使用各个用户帐户登录，然后检查上面所列的所有hkey_current_user项。

欢迎光临：逐梦论坛

TOP

返回列表

[病毒查杀] jwgkvsq.vmx病毒的清除方法

[收藏此主题] [关注此主题的新回复]

[通过 QQ、MSN 分享给朋友]