網(wǎng)絡(luò)上關(guān)于jwgkvsq.vmx專(zhuān)殺的文章比較多，具體對(duì)該u盤(pán)病毒深入分析的文章很少或分析不夠詳細(xì)，而且有一大批除了知道些jwgkvsq.vmx專(zhuān)殺工具對(duì)該病毒一知半解照抄別人文章不經(jīng)自己實(shí)踐的人，不懂裝懂實(shí)在誤人非淺。筆者讀了一些真正有識(shí)之士的博文，結(jié)合自己親身實(shí)踐，談?wù)勗摬《镜那謇矸椒ā?/p>

一、jwgkvsq.vmx病毒特點(diǎn)

1.在U盤(pán)根目錄下生成antorun.inf，還生成一個(gè)文件夾RECYCLER，主病毒文件在RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665，名字固定為：jwgkvsq.vmx。

2.所生成的文件都可以很容易的手動(dòng)刪除（如果文件所在的盤(pán)是NTFS格式的，就要先修改權(quán)限才能刪除），但刪除后重新插入U(xiǎn)盤(pán)，又會(huì)重新生成上述病毒文件。

3.該病毒會(huì)修改注冊(cè)表去掉系統(tǒng)的顯示隱藏功能，以致在“文件夾選項(xiàng)”中選擇“顯示所有文件”也不起作用。

4.該病毒阻止網(wǎng)絡(luò)連接到微軟網(wǎng)站和瑞星等殺毒軟件網(wǎng)站。

5.該病毒會(huì)自動(dòng)搜索內(nèi)網(wǎng)中具有同樣系統(tǒng)漏洞的計(jì)算機(jī)并試圖感染，在一定程度上造成網(wǎng)絡(luò)堵塞。

二、jwgkvsq.vmx病毒在本機(jī)上的藏身之所及特征

1.隨機(jī)生成一個(gè)自動(dòng)運(yùn)行的“服務(wù)”，外面顯示的“名稱(chēng)”和雙擊該服務(wù)后顯示的“服務(wù)名稱(chēng)”可能不同，且兩個(gè)名稱(chēng)通常都不會(huì)有完整的英文意思?！懊枋觥笨赡苁侵形幕蛴⑽?，有一定的迷惑性。執(zhí)行路徑為：“C:WINDOWSsystem32svchost.exe-knetsvcs”。（手工清除時(shí)，以雙擊該服務(wù)后顯示的“服務(wù)名稱(chēng)”為準(zhǔn)。該服務(wù)拒絕被手動(dòng)或禁用。該服務(wù)自動(dòng)啟動(dòng)后會(huì)自動(dòng)停止。用wsyscheck軟件查看服務(wù)時(shí)，無(wú)法看到該服務(wù)。打開(kāi)msconfig可看到該服務(wù)但去掉那勾也無(wú)法阻止該病毒啟動(dòng)。）

2.該病毒對(duì)注冊(cè)表的修改，主要是為了生成服務(wù)用的，有三個(gè)地方:
HKEY_LOCAL_MACHINESYSTEMControlSet001Services“服務(wù)名稱(chēng)”
HKEY_LOCAL_MACHINESYSTEMControlSet002Services“服務(wù)名稱(chēng)”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices“服務(wù)名稱(chēng)”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvcHost中的netsvcs值有“服務(wù)名稱(chēng)”。
HK_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigservices“服務(wù)名稱(chēng)”
還有別的三五個(gè)地方有相關(guān)項(xiàng)，似乎不太重要，想完美刪除的自己搜索去。

3.在system32下生成一個(gè)具有“ARSH”屬性的隱藏dll文件，并設(shè)置自身權(quán)限禁止被刪除。該文件名稱(chēng)是隨機(jī)的。

4.開(kāi)機(jī)后，服務(wù)調(diào)用該dll文件，插入到svchost文件中。用wsyscheck軟件查看svchost文件的線程時(shí)，看不到正確的dll文件，只看到幾個(gè)“？”。

三、jwgkvsq.vmx清除方法

為了簡(jiǎn)潔我“撈干的”說(shuō)。

參考上面所描述的“jwgkvsq.vmx病毒在本機(jī)上的藏身之所及特征”，按下面的步驟來(lái)做：

1.用wsyscheck軟件查看svchost文件（通常是占用內(nèi)存最大的那個(gè)，約20M左右。）的線程，線程信息中有大概5個(gè)“？”的線程（看不到起始文件位置）。這5個(gè)“？”即為病毒線程。結(jié)束掉這5個(gè)問(wèn)號(hào)線程后再插入U(xiǎn)盤(pán)，病毒將不會(huì)起作用。如果你沒(méi)有wsyscheck軟件，也可直接結(jié)束這個(gè)svchost線程。

2.在運(yùn)行處打開(kāi)services.msc（或直接鼠標(biāo)右擊：我的電腦->管理->服務(wù)和應(yīng)用程序->服務(wù)），打開(kāi)尋找具有上面描述特征的“服務(wù)”。查看所有啟動(dòng)項(xiàng)為C:WINDOWSsystem32svchost.exe-knetsvcs的服務(wù)?？茨莻€(gè)服務(wù)被“上一步停止了”。如果你禁用該服務(wù)，發(fā)現(xiàn)病 毒就會(huì)不起作用。筆者發(fā)現(xiàn)這個(gè)病毒服務(wù)還有個(gè)特點(diǎn)就是一旦被終止后再START會(huì)報(bào)錯(cuò)誤信息。筆者用這種方法發(fā)現(xiàn)的是：名稱(chēng)seshpy 描述：boot support

3.在運(yùn)行處輸入“regedit”打開(kāi)注冊(cè)表，搜索第2點(diǎn)描述的服務(wù)名稱(chēng)（seshpy ）。

KEY_LOCAL_MACHINESYSTEMControlSet001Services“服務(wù)名稱(chēng)”。找到的服務(wù)名稱(chēng)是個(gè)文件夾，里面的內(nèi)容也不可見(jiàn)，因病毒已修改了它的權(quán)限。右鍵之添加一個(gè)新用戶，獲得全部控制權(quán)后即可見(jiàn)。然后選中它后按F5刷新就會(huì)看到詳細(xì)的服務(wù)信息并出現(xiàn)一或兩個(gè)子項(xiàng)（默認(rèn)是沒(méi)有任何信息顯示的），打開(kāi)“Parameters”子項(xiàng)即可看到藏身在system32里面的隱藏dll文件名稱(chēng)，記下來(lái)。筆者發(fā)現(xiàn)的是一個(gè)在system32路徑下的gkofi.dll文件。進(jìn)入該目錄刪除之。殺毒結(jié)束（如果你認(rèn)真的話可再清除相關(guān)注冊(cè)表信息）

PS：找出注冊(cè)表中的“服務(wù)名稱(chēng)”和該服務(wù)所啟動(dòng)的隱藏dll文件是關(guān)鍵。用別的工具或方法也行，只要能找到這兩個(gè)關(guān)鍵點(diǎn)就能很輕松的刪除jwgkvsq.vmx病毒。