昨天插入一个u盘后,一会会局域网就掉线了,服务器可以上网,但是远程访问和路由莫名其妙的关掉了,经过试验发现,当我的电脑开机半分钟后,服务器的alg.exe进程占用CPU100%,用wireshark抓包发现我的电脑不停的发送arp查询包(遍历发送,所有ip192.168.0.*)。解决过程如下:
1.在u盘里发现有个autorun.inf文件,还有一个隐藏文件RECYCLER,在这个文件夹里有jwgkvsq.vmx。
2.百度了一下,http://baike.baidu/view/3216518.htm,这里有它的资料。
3.下面就该清理它了:首先在system32文件夹下查找一个隐藏dll文件,名字是随机字符串。可按如下方法做:
dir c:\windows\system32\ /A:h
这样很明显能分辨出哪个是病毒dll。我的电脑上是nlbzm.dll。记下这个名字。
4.删除它,但一般删不掉的,你需要用其他软件将对nlbzm的引用解除掉,可以用unlocker、process exprorer,个人推荐process exprorer。
找到后关闭使用句柄,删除该文件。
5.清理注册表:查找刚刚那个dll文件名,后找到一个imagepath值,删除整个,还有这个值是在一个服务下面的,记住这个服务名,继续查找,删除。
6.ok,该病毒同样会禁止用户设置显示全部文件和文件夹,可以通过修改注册表来恢复。
7.防御方法:
我的电脑上没有装杀软,很大程度上归功于这个方法:设置组策略阻止其它盘符的软件运行。方法如下:
a打开组策略(gpedit.msc)。
b定位到Local Computer Policy(本地计算机策略)-》Security Settings(安全设置)-》Windows Settings(windows设置)-》SOftware Restriction Policies(软件限制策略)
c这里需要修改3点:1安全级别(设置默认为不允许的)。2强制(选择所有软件文件)3添加其它规则(将操作系统所在的盘符排除和你认为可以运行软件的目录或盘符使用路径规则的方法加进出,这里构成排除域,说明满足条件的文件可以执行,其它全不可以)。
d注意其它规则中的默认项不要删除,不然你就会停留在登录界面而进不了系统了,如果你这样做了,则可以进安全模式改回来。原因大概是安全模式下不会应用这项设置吧。
上面的方法目前还没发现有什么问题,对于u盘类的病毒是绝杀,如果你发现有不妥之处,请告诉我。
更多推荐
jwgkvsq.vmx蠕虫病毒的清理,名称为Net-Worm.Win32.Kido.ih
发布评论