毕业论文论文范文课程设计实践报告法律论文英语论文教学论文医学论文农学论文艺术论文行政论文管理论文计算机安全
您现在的位置: 毕业论文 >> 计算机安全 >> 正文

jwgkvsq.vmx是什么

更新时间:2009-12-27:  来源:毕业论文
jwgkvsq.vmx是什么
病毒启动的方式主要有几种方式:1)通过加载到系统启动项,使用户在登录系统时,自动运行该病毒;2)通过修改系统文件,使系统启
动时,自动加载病毒;3)将病毒加载为驱动程序,让系统在启动时加载并运行该病毒。4)将病毒注册为系统服务,让系统在启动时加载并
运行病毒。这几种方法中,以第三、四中方法较为隐蔽,也较难处理。
进入安全模式,进入注册表,搜索jwgkvsq.vmx,不果。证明该病毒并非通过加载到系统启动项的方式调用执行的。同时发现,在安全模
式下,删除U盘里的autorun.inf和RECYCLER文件后,病毒会被立即重写入U盘。因此判断该病毒在安全模式下仍然处于启动状态。由于
windows安全模式下,系统只启动必须的服务,对于外加的服务、驱动程序都不加载,但尽管如此,病毒仍然启动,初步推断,该病毒修改了
系统文件达到自动加载的目的。但是利用syscheck对系统进行扫描后,并未发现有系统文件被修改,说明该病毒使用的是我以前未见过的方式进行加载的。虽然如此,但病毒的加载肯定是有迹可寻的,关键在于我们能否想到。Hook?RootKid?还是其他手段?看着这个病毒,突然间想起,既然这个病毒是伪装成回收站进行藏身,那么调用它,必须就要找到这个伪装的回收站。于是从这个回收站着手查找。在注册表里查找病毒的蛛丝马迹,忽然在一个地方发现该回收站的SID(HKLM_Software_Microsoft_Windows_CurrentVersion\Ins taller\UserData\),里面有一项值,写着c:\windows\system32\mmutspxi.dll,乍一看以为是mmutilse.dll(Microsoft 多媒体控件工具集)。回收站里怎么调用多媒体控件的?跟着进入C盘,发现了一个mmutspxi.dll的隐藏文件,而旁边就是mmutilse.dll。那么可见这个文件非常可以。查看文件属性,被设置为系统文件,无法被删除。利用命令attrib将该文件属性去掉,备份好,删除源文件,并将注册表中相关的信息全部删除。重启计算机。进入正常模式后,用NOD32对mmutspxi.dll进行扫描,扫描结果判断为Conficker病毒。由于该病毒加载项被清除,病毒已经无法进行启动加载,此时,清除各盘中的RECYCLER及autorun.inf后,病毒不会被重写入U盘,接着在利用NOD32对系统进行全盘扫描,没发现病毒文件。初步判断,该病毒被成功清除。
但是在我的C:\WINDOWS\SYSTEM32文件夹下我发现了一个可疑的DLL文件zirpvecz.dll,去掉属性删除,显示有人或者程序在使用他
用TASKLIST居然查不到!!我更加怀疑。不管怎么样~~还是要把他删掉!!这个文件还有一个可疑的地方就是它没有创建时间!我又惊奇的发现U盘里的病毒文件也是没有创建时间~~只有一个修改和最后访问时间~~~出奇的相似,[连修改时间和最后访问时间也是一样的]!!于是我敢肯定它就是毒了!我现在就在想办法把它删除~~我只有从网上下载工具0。0!这个病毒太恶心了~~很显然它的DLL病毒文件的名字是随即生成的!而且是系统文件~~还设置了可读和隐藏。。把这个文件删除掉基本上就可以把这个毒杀掉!!于是我去网上下了一个Unlocker绿色版,删除掉这个DLL文件以后,打上那个补丁WindowsXP-KB958644-x86-CHS.exe 重起电脑,哇,奇迹出现了,我的移动硬盘恢复正常了。高兴哇。。
jwgkvsq.vmx是什么下载如图片无法显示或论文不完整,请联系qq752018766
设为首页 | 联系站长 | 友情链接 | 网站地图 |

copyright©lwfree.cn 六维论文网 严禁转载
如果本毕业论文网损害了您的利益或者侵犯了您的权利,请及时联系,我们一定会及时改正。