危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20613564

闪存盘剿毒记

当我把闪存盘插入电脑,看到u盘图标显示为文件夹图标而非可移动磁盘图标时,心中就预感不妙了。果然,将隐藏文件设置为显示状态时,发现u盘根目录下多出了Autorun.inor件及文件夹RECYLER,打开RECYLER文件夹,看到了一个名为s-5-3-42-2819952290-8240758988_879315005_3665的文件夹,双击它后就看到jwgkvsq.vmx这个“毒物”。

使用Shift+Del组合键可以直接干掉掉这些病毒,可是删除病毒后u盘再次插入本机时,就会发现它们依旧“阴魂不散”,这时我才知道麻烦来了,我的Window操作系统中招了!

在百度上搜索Fjwgkvsq.vmx的查杀方法,发现都只是谈到现象与个例查杀。具体的查杀方法却没有普遍适用性,我只好决定“自己动手,剿灭毒虫”了。下载运行X ueTrV0.35。关于它的介绍,大家可以参考以前的危险漫步博客。切换到“服务”标签页,双击“映像路径”后再双击“描述”栏,让服务进行排序,找到“描述”名称完全一致的两个服务,这其中一个是“李逵”,另外一个依托svchost.exe的自启动但已停止的yinvgg眼务,这就是我们要找的“李鬼”了。

右键点击该服务,选择“定位到XT文件管理器(ServiceDll)”,可以得知该服务fliDll宿主文件为bsfje.dll。该DLL文件具有隐藏、存档等属性,但是无法直接删除掉,因为它是随系统启动自动运行的服务,必须先删除服务后才能删除文件本身,因此我们需要按照下面的步骤来清除病毒。

在“开始”-“运行”栏中输入“regedit”打开注册表编辑器,定位到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControISet\Services”,尝试展开该项键值却只显示为空白内容,并且也无法直接删除该键,点击右击选择“权限”,打开“yinvgg的权限”对话框,点击“添加”按钮,打开“选择用户和组”窗口再依次点击“高级”-“查找位置”,选择将当前用户添加进来,再点击“确定”退出,此时就可以成功删除该键值了依葫芦画瓢,删除“HKEY_LOCAL_MACHINESYSTEM\ControISetOOI\Services”和“HKEY_LOCAL_MACHINEISYSTEM\CoritrolSet002\Services”下的名为“yinvgg”服务的相关类似项,以及“HKEY LOCAL-MACHINE\S OFTWA REkM/croso ft\WindowsNT\CurrentVersion\SvcHost”下的netsvcs值中包含有“yinvgg”服务名称键项以及“HKEY_LOCAL.- MACHINE\SOFTWARE\Microsoft\Shared  Tools\MSC onfig\services、yinvgg”的键项。最后再删除C:\WINDOWS\system32文件夹中的bsfj e.dll文件,再搜索查找并删除有关该文件的注册表项就可以了。jwgkvsq.vmx病毒其实是利用了微软的“ms08-067”漏洞,下载安装kb958644补丁,重启后就可以彻底断绝再次中招的可能性了(当然我们也可以直接使用360安全卫士来自动下载并修复所有的漏洞)。