以下文章由科杰在線www.yeewaa.com收集整理并重新編輯

　　無意間發現自己的移動硬盤中的隱藏文件夾　回收站　中不知何時多了一個刪不掉的　jwgkvsq.vmx　文件，位于 RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 文件夾下，上網一查，原來是一種病毒，這種病毒非常難清理，網上一些現有的U盤病毒清理工具和殺毒軟件，包括某著名殺毒軟件廠商出的針對此病毒的專殺工具都不能清理掉它。

　　經過多處打探和收集，整理了下面的解決辦法，希望對你有用：

中毒以后的癥狀是這樣的：

在移動U盤或者移動硬盤上，會形成以下兩個隱藏而且是只讀文件：

1.autorun.inf文件，打開后全是亂碼，但是在文件的后半部分發現了一些可疑的信息，那就是shelLExECUte =RuNdLl32.EXE
.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

2.RECYCLER文件夾，它和硬盤上的回收站的文件名只差一個字母，那就是最后一個不是D而是R。在這個文件夾里面還有一個文件夾，名字是
S-5-3-42-2819952290-8240758988-879315005-3665

再里面是一個關鍵性的文件：jwgkvsq.vmx

我從網上查了一下，沒有太多的信息，模模糊糊知道是一個病毒文件。

中毒以后的癥狀是這樣：無法查看隱藏文件，即使在資源管理器的“文件夾選項”－“查看”中，選中“查看所有文件”，也會自動恢復到
不顯示隱藏文件，修改注冊表后，能夠顯示所有文件，就會在移動U盤上看到這兩個隱藏文件和文件夾。即便刪除，那么在下次插上U盤時還
會出現這兩個文件，很明顯，電腦本身已經中毒了。

中毒之后的癥狀還有：
一、無法給自己的殺毒軟件升級。提示網絡設置有錯，其實是病毒搞的鬼；
二、無法連接到殺毒網站；
三、無法使用“冰刃”這款進程查看和終止軟件，一旦啟動冰刃電腦立刻重啟。

　　事實上，NOD32、AVAST都可以查到這個病毒，只是由于該病毒增加了自我保護機制，使得NOD32、AVAST等殺毒軟件都無法清除這個病毒（科杰在線2009.12.28提示：新版小紅傘殺毒軟件升級到12.28后已經可以正常清除這個病毒文件了，老一點的病毒庫對這個文件無法處理）。

病毒啟動的方式主要有幾種方式：

1）通過加載到系統啟動項，使用戶在登錄系統時，自動運行該病毒；

2）通過修改系統文件，使系統啟動時，自動加載病毒；

3）將病毒加載為驅動程序，讓系統在啟動時加載并運行該病毒。

4）將病毒注冊為系統服務，讓系統在啟動時加載并運行病毒。

這幾種方法中，以第三、四中方法較為隱蔽，也較難處理。

　　進入安全模式，進入注冊表，搜索jwgkvsq.vmx，不果。證明該病毒并非通過加載到系統啟動項的方式調用執行的。同時發現，在安全模式下，刪除U盤里的autorun.inf和RECYCLER文件后，病毒會被立即重寫入U盤。因此判斷該病毒在安全模式下仍然處于啟動狀態。

　　由于windows安全模式下，系統只啟動必須的服務，對于外加的服務、驅動程序都不加載，但盡管如此，病毒仍然啟動，初步推斷，該病毒修改了系統文件達到自動加載的目的。但是利用syscheck對系統進行掃描后，并未發現有系統文件被修改，說明該病毒使用的是我以前未見過的方式進行加載的。雖然如此，但病毒的加載肯定是有跡可尋的，關鍵在于我們能否想到。Hook？RootKid？還是其他手段？看著這個病毒，突然間想起，既然這個病毒是偽裝成回收站進行藏身，那么調用它，必須就要找到這個偽裝的回收站。于是從這個回收站著手查找。在注冊表里查找病毒的蛛絲馬跡，忽然在一個地方發現該回收站的SID（HKLM_Software_Microsoft_Windows_CurrentVersion\Installer\UserData\),里面有一項值，寫著c:\windows\system32\mmutspxi.dll，乍一看以為是mmutilse.dll（Microsoft 多媒體控件工具集）。回收站里怎么調用多媒體控件的？跟著進入C盤，發現了一個mmutspxi.dll的隱藏文件，而旁邊就是mmutilse.dll。那么可見這個文件非常可疑。查看文件屬性，被設置為系統文件，無法被刪除。利用命令attrib將該文件屬性去掉，備份好，刪除源文件，并將注冊表中相關的信息全部刪除。重啟計算機。進入正常模式后，用NOD32對mmutspxi.dll進行掃描，掃描結果判斷為Conficker病毒。由于該病毒加載項被清除，病毒已經無法進行啟動加載，此時，清除各盤中的RECYCLER及autorun.inf后，病毒不會被重寫入U盤,接著在利用NOD32對系統進行全盤掃描，沒發現病毒文件。初步判斷，該病毒被成功清除。

　　合肥科杰在線www.yeewaa.com提示，我們在網絡上還找到了另一個自動清理這個病毒的批處理文件，本來想將代碼直接貼到此文中的，但是在網上看到，很多初級用戶不知道怎么使用這樣的批處理，因此，我們特意將其整理好，做成現成的文件，大家只要點擊這里進行下載，下載回去后直接運行就可以了。

jwgkvsq清理.rar

　　不過這個批處理的效果目前未經驗證，因為在發現這個批處理文件之前，我已經用殺毒軟件直接干掉了 jwgkvsq 文件，因此無法測試，希望有這樣問題的朋友，下載此批處理文件回去測試，看看效果如何，然后在本文的　評論　中發表使用情況，在此先表示感謝！

　　為了更加徹底的解決和避免再次被這個病毒感染，我們需要再做一次 免疫 程序，點擊這里下載，將免疫程序放到想要免疫的分區根目錄下按提示操作即可！

U盤病毒免疫.rar