Trao đổi với tôi

http://www.buidao.com

12/24/09

[Virus] Deleting RECYCLER folder with the jwgkvsq.vmx virus file

Benina tổng hợp


File jwgkvsq.vmx là một loại virus nằm trong thư mục RECYCLER của ổ đĩa USB. Virus này cũng tạo ra một file autorun.inf trong ổ đĩa USB. Nó được biết đến với các tên như sau:

  • W32/Confi
  • W32/Conficker.worm!inf
  • Win32/Conficker.B – CA

Nhưng nếu chúng ta xóa file virus jwgkvsq.vmx và file autorun.inf như file bình thường thì không được. Sau đây là một số cách xóa mà tôi tổng hợp trên NET cho các bạn

1/. Dùng tool: Removal Tool For Recycler\S-5-3-42-

Tool này tôi chưa check mong các bạn thông cảm

http://it.web44.net/VirusDetails/jwgkvsq.vmx.Recover.report.php

2/.Dùng Tool : Moso Anti-Malware Force Delete Ultility

Dùng tool Moso Anti-Malware Force Delete Ultility trong bộ công cụ MoSo Anti-Malware 2008 4.0. Tool này tôi đã check rất good.

Download tool: http://www.fileguru.com/MoSo-Anti-Malware-2008/download

Đây là video về cách xóa file jwgkvsq.vmx trong thư mục RECYCLER http://www.youtube.com/watch?v=_Tzsrvq21Dw

3/ Diệt virus conflicker(jwgkvsq.vmx worm)

Bài này các bạn tham khảo thêm

Ref Link: http://www.computerbasis.uni.cc/2009/04/diet-virus-conflickerjwgkvsqvmx-worm.html

Vài đặc điểm:
- Không xem được các file ẩn trong ô cứng và usb
- Trong usb xuất hiện file autorun.inf và thư mục ẩn RECYCLER (bên trong thư mục này có chứa file jwgkvsq.vmx)


Đây là 1 số phần mềm để diệt con worm này:
1. Để xóa 2 file trên trong usb:
a) Hiện file ẩn trong usb:
Download file registry(http://www.mediafire.com/?yodiwqmgjwd) và chạy nó
Hoặc copy đoạn mã này vào notepad và lưu lại với tên showall.reg và chạy nó
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
b)Xóa:
Vào usb xóa file autorun.inf và thư mục RECYCLER

2. Tải một trong các phần mềm:
- cfremover : http://www.mediafire.com/?1ydazytjenn
- fixdownadup (symatec): http://www.mediafire.com/?nmkm3jdjwzn
- Anti-downadup (BitDefender): http://www.mediafire.com/?oxw2lwwyocy
- KidoKiller (Kaspersky Lab): https://www.box.net/shared/inf414y0e4
3. Tắt kết nối mạng và chạy phần mềm để tiến hành tìm và diệt virus
4. Sau khi chương trình diệt xong, khởi động lại máy tính.
5. Cập nhật bản vá của Microsoft tại: http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

4/. Diệt con virus jwgkvsq.vmx

Các bạn tham khảo thêm bài sau:

RefLink: http://svkinhbac.com/showthread.php?t=4158


Một thư mục lạ bỗng nhiên xuất hiện trong thẻ nhớ của mình:




Không thể xóa được :



Mở ra xem thử, thì ra còn file này không thể xóa được nên không thể xóa thư mục:




Thì ra vẫn chính là con virus trên máy bạn mình lây lại =.=' Giờ thì biết cách thịt nó trên Win7 rồi, sẵn tiện luôn win7 thịt luôn :
Muốn diệt được thì đầu tiên tài khoản đăng nhập của bạn phải có quyền Admin.

Bấm chuột phải vào nó, chọn Properties




Click Advanced khi cửa sổ mới hiện ra:




Trong cửa sổ Advanced Security chọn thẻ Owner, Click vào nút Edit




Bấm chọn tài khoản Admin của bạn trong khung dưới




Nhấn OK, 1 thông báo hiện ra, OK tiếp :




Giờ thì bạn đã thấy ô Current Owner hiện tên tài khoản mà bạn đang sử dụng:




Nhấn OK để đóng hết các hộp thoại. Xong rồi, giờ có thể delete con virus này một cách dễ dàng.

Đi kèm con này còn có 1 file Autorun ngoài thư mục gốc, thủ thuật xóa cũng làm y hệt như trên


5/How to remove the jwgkvsq.vmx worm virus

Posted by: Ryman in Security

Nếu các bạn biết tiếng Anh thì tham khảo thêm bài viết sau;

RefLink: http://www.techiebubble.com/security/how-to-remove-the-jwgkvsqvmx-worm-virus/

The jwgkvsq.vmx is a worm-type virus, which spreads via USB/portable drives and through the network. It also makes autorun.inf file on your USB device as well as a hidden system folder called RECYCLER which contains the jwgkvsq.vmx file. I’m not sure if this is an old virus, but it seems it’s been spreading a lot lately. And most anti-virus doesn’t detect this, but for those who does, it can’t remove it.

It is also known as:

  • W32/Confi
  • W32/Conficker.worm!inf
  • Win32/Conficker.B – CA

It exploits Microsoft Windows vulnerability:
Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
Published: October 23, 2008

Symptoms:

  • ‘Show hidden files and folders’ doesn’t work. You can check this by going to a folder, then click Tools, then Folder Options, then View tab. Select the ‘Show hidden files and folders’ then click Apply, then Ok. Open Folder Options again, if it reverted back to ‘Do not show hidden files and folders’ then you have this virus.
  • Evey time you plug in a USB device on your computer, it creates an autorun.inf file, and a RECYCLER folder with the jwgkvsq.vmx virus file.
  • You can’t access anti-virus websites an other popular websites like microsoft.com or yahoo.com
  • Windows won’t boot into Safe Mode. This happens on extreme cases. When you try to boot into Safe Mode, your computer restarts/shuts down

Side-effects

  • Since this is a worm, system slowdown may (or may not) happen.
  • Quickly spreads through networked computers and USB devices. Which includes flash drives, portable external hard drives, mobile phones, mp3 players, and anything that can be plugged into a USB port.
  • Won’t let you access some websites.

Now let’s go back to the topic. Remember that this guide will only help you remove the jwgkvsq.vmx virus.

Click through the link to continue…

Here is a quick step to remove this virus from your computer, and from your USB devices.

Preparation:

Now let’s start…

Removing the jwgkvsq.vmx virus from your computer

  1. Disconnect your computer from the network, if it is connected. Removing the network cable from your PC should do the trick.
  2. Just run the FixDownadup.exe we downloaded from Symantec. It should clean the virus of the PC. This works if the infection is in a low-level state. Meaning you have anti-virus software already running and the infection is isolated.
  3. After scanning you should see a report popup, and an option to go to Microsoft website to patch your computer with a critical security update.
  4. Restart your computer. When you’re back on the desktop, check your programs/softwares if it is still running.
  5. Turn of System Restore to delete all entries, which sometimes contains remnants of the virus. To do this:
    1. Right-click My Computer, select Properties.
    2. Click System Restore tab.
    3. Check ‘Turn off System Restore on all drives’. Click Apply, then Ok.
    4. Restart your computer.
    5. Then, uncheck ‘Turn off System Restore on all drives’ to enable it again.

Removing the jwgkvsq.vmx virus from your USB device

  1. First. Start your computer on Safe Mode
    1. Shut down your computer
    2. Turn it back on, before the Windows loading screen comes up, press F8. Or just press it repeatedly after starting your computer
    3. Select Safe Mode on the menu by pressing the arrow keys and hitting Enter.
  2. Plug your USB device. Notice that the autorun.inf won’t run in safe mode.
  3. Enable the ‘Show hidden files and folders’. Instructions are listed on the Symptoms section above.
  4. Delete autorun.inf file. It is usually located on the root of the USB drive.
  5. Delete the hidden/system folder RECYCLER.
    1. If you can’t delete it, you have to disable it’s function (for external/portable hard drives). Right-click on the Recycle Bin icon on your desktop, then select Properties. Select ‘Configure drives independently’. Then tab to the external drive, and check ‘Do not move files to the Recycle Bin.’ Hit Apply, then Ok’
    2. If it is a flash drive or other USB device, use MoSo Force Delete, we’ve downloaded earlier on this guide.

Just in case the virus registered itself on the registry. Open the Run dialog box from the start menu, then type regedit. Then search for the file name jwgkvsq.vmx. If you found an entry, just press DEL to delete it.

If your computer is in a network, better check all the other computers connected to it. Also download and install the automatic update (Microsoft vulnerability) which I’ve posted at the beginning of this post.

In extreme cases, your computer won’t initiate Safe Mode and after using the removal tool above, your system may report a missing .dll file or something.

Credits (and for reference refer) to these two sites:
http://tuxvoid.blogspot.com/
http://arpeex.blogspot.com/

For any additional support or inquiry regarding this problem, just leave a comment here, and I’ll reply as soon as I can.