怎样删除或清理jwgkvsq.vmx文件？

jwgkvsq.vmx是一种顽固的蠕虫病毒，名称为Net-Worm.Win32.Kido.ih。该病毒通过多种方式启动，影响杀毒软件的正常使用及升级，并能自动搜索内网中具有同样系统漏洞的计算机并试图感染，在一定程度上造成网络堵塞。以下将详细介绍如何清除jwgkvsq.vmx病毒，以确保系统的安全性。

如何清除jwgkvsq.vmx病毒

jwgkvsq.vmx病毒的特点显著。当U盘插入受病毒感染的计算机后，会自动在U盘内生成autorun.inf和RECYLER文件夹。RECYLER文件夹内部包含一个回收站图标，再深入一层，将找到名为jwgkvsq.vmx的文件。这两者的特点是，autorun.inf和jwgkvsq.vmx的大小均为161k字节，它们的修改日期与系统安装时间一致。此外，该病毒还会修改注册表，隐藏系统文件，阻止网络连接到微软网站和杀毒软件网站。

一、病毒症状及影响

1. 自动生成文件：在U盘根目录下生成autorun.inf和一个RECYLER文件夹，主病毒文件位于RECYLER的特定路径下，文件名固定为jwgkvsq.vmx。

2. 文件再生：生成的文件虽然可以手动删除，但如果文件所在的盘是NTFS格式的，要先修改权限才能删除。删除后重新插入U盘，又会重新生成病毒文件。

3. 隐藏文件：修改注册表，去掉系统的显示隐藏功能，使得在“文件夹选项”中选择“显示所有文件”也不起作用。

4. 阻止网络连接：阻止网络连接到微软网站和瑞星等杀毒软件网站。

5. 网络传播：自动搜索内网中具有同样系统漏洞的计算机并试图感染，造成网络堵塞。

二、手动清除步骤

由于jwgkvsq.vmx病毒的顽固性，以下手动清除步骤需要谨慎操作，特别是在修改注册表时。以下方法主要适用于XP系统，其他系统可能会有所变化。

1. 查找隐藏DLL文件：

通过修改注册表，打开查看隐藏文件的选项。

在C:\Windows\System32文件夹下，找到一个161k字节、名称随机且具有只读和隐藏属性的.dll文件。该文件虽然创建和修改日期与系统安装时间相同，但依旧可以定位。

使用Unlocker或360安全卫士的文件粉碎功能，反注册该文件，删除后重启计算机。

2. 搜索并删除注册表键值：

以360检测到的异常服务项目作为关键字，搜索注册表。

找到几个无法直接删除的键值，因为它们的权限仅限于System用户。需要添加Administrators用户组并赋予修改权限，然后才能删除这些键值。

3. 关闭相关进程并删除DLL文件：

关闭与恶意DLL文件关联的svchost.exe进程。

卸载并删除%systemroot%\system32\中的.dll（rnd为随机字母）。

使用autoruns工具查看系统服务，找到病毒的DLL文件并锁定其进程ID。

设置ShowAll的CheckValue值为1，以显示所有文件。

找到对应的DLL文件后，用Unlocker解锁，关闭相关进程，删除DLL文件。

4. 删除病毒文件：

移除"C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content\IE5"目录及其子目录中与.dll（rnd3为随机字母）大小相同的病毒文件，可能的后缀包括.bmp、.gif等。

5. 恢复注册表设置：

恢复注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL的CheckedValue为1。

调整相关服务项的Start值，如：

HKLM\system\CurrentControlSet\Services\BITS: Start（设置值为0x00000003）

HKLM\system\CurrentControlSet\Services\ERSvc: Start（设置值为0x00000002）

HKLM\system\CurrentControlSet\Services\wscsvc: Start（设置值为0x00000002）

HKLM\system\CurrentControlSet\Services\wuauserv: Start（设置值为0x00000002）

6. 删除病毒相关的注册表键值：

打开注册项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost下的netsvcs值，删除病毒注册的服务项（rnd2为随机字母）。

删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的病毒服务项（rnd2为随机字母）。

7. 重启计算机：

重启后，病毒将不再生成，这样病毒便算是完全清除了。

三、注意事项

1. 局域网环境：在局域网环境下，该病毒会利用MS08-067漏洞主动攻击，所以域中若有其他电脑感染，有可能会重复感染。清除时应先断开网络，并在清除后及时打好MS08-067对应补丁。

2. 文件权限：在处理NTFS格式的文件系统时，要注意文件的权限设置，确保有权限删除病毒文件。

3. 注册表操作：由于涉及到对注册表的操作，功力不够的用户请不要随意操作，以免导致系统崩溃。

四、预防措施

1. 安装补丁：及时安装系统安全补丁，特别是MS08-067漏洞补丁，以防止病毒利用漏洞进行攻击。

2. 禁用自动运行：通过cmd命令，在U盘建立一个不可删除的autorun.inf文件夹，防止病毒通过U盘自动运行。

3. 定期杀毒：使用可信赖的杀毒软件，定期扫描系统，确保没有病毒感染。

通过以上步骤，可以有效清除jwgkvsq.vmx病毒，并确保系统的安全性。在处理过程中，务必谨慎操作，特别是涉及注册表和文件权限的修改，以避免对系统造成不必要的损害。