可疑文件名:

autorun.inf

jwgkvsq.vmx

wzfjcvch.dll

ssport.sys

使用工具:

XueTr.exe

有电脑中毒,重装,装好2003后,发现U盘病毒.

表面破坏性不大,隐藏于U盘并通过自动运行传播.

症状有:

1.无法查看隐藏文件,资源管理器 - 文件夹选项 修改无效, 使用注册表可暂时修改文件夹选项,查看隐藏文件夹,但重启后又恢复无效.

2.在可查看隐藏文件夹的时候,发现插入过的U盘自动生成 autorun.inf 文件,大小为54K,用记事本打开为乱码,估计是隐含了运行代码,但没发现可疑程序文件名.U盘根目录下多了一个隐藏文件夹 Recycler ,创建时间为插入U盘的时间.文件夹里还有一个类似于回收站的文件夹,里面藏了一个 jwgkvsq.vmx 文件,这种行为非常可疑,于是判断为U盘病毒.

     手动可删除这个文件和文件夹,查看组策略 gpedit.msc – 系统 – 自动播放 , 确认已设置为 已启用-关闭自动运行-所有驱动器 .

     再次插入U盘时,仍会自动生成 autorun.inf 和 Recycler 文件夹

网上搜索到的,大多数说是要打某个补丁,或是下载某些专杀工具,无效.

总结清除过程:

1.      使用注册表,查看隐藏文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

2.      最好是清理一次磁盘,清空临时文件夹\Windows\Temp还有\Documents and Settings\Administrator\Local Settings\Temp和internet临时文件,关闭自动运行.

3.      删除U盘上的病毒文件autorun.inf和文件夹 Recycler , 并检查所有根目录,只要确认回收站中没有恢复价值,把所有Recycler文件夹删除以策万全.回收站需要时能自动生成这个文件夹.

4.      使用XueTr的服务页点启动类型排序,找到一个自动启动并处于停止状态的服务, 服务名称不定,描述是复制其它常见服务的描述,映像指向\Windows\System32\wzfjcvch.dll,禁用并删除该项服务.

5.      使用XueTr解锁并强制删除\Windows\System32\wzfjcvch.dll文件,\Windows\System32\Drivers\ssport.sys

6.      使用注册表,搜索并删除所有关于jwgkvsq和wzfjcvch还有ssport的项.(注意不是passport)

7.      重启,最好是ghost一次.

评论