1.我的U盘中有一个RECYCLER的文件夹,是不是?
2.U盘出现RECYCLER和新建文件夹删不掉
3.今天插上U盘,电脑所有盘里面多了两个文件夹《RECYCLER和System Volume Information》
4.我U盘里有RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx这个文件
怀疑电脑有毒
查杀一下
如果没有,那就在u盘 自己新建一个文件夹 名字改成 “autorun.inf”
(先把原来那个autorun删掉)
这样可以预防那种自动运行的侵入
我的U盘中有一个RECYCLER的文件夹,是不是?
autorun.inf.bak这个文件的作用是自动运行U盘里面的指定程序,本身是无害的,但是极易呗感染,许多杀毒软件直接把他列入,不用管它。recycler文件夹是一个类似回收站的东西(我记得好像是隐藏文件夹),删除的东西被暂时放在那里。两个都可以删,不过很快会被创建回来,没必要
U盘出现RECYCLER和新建文件夹删不掉
RECYCLER 是NT格式磁盘必有得一个文件,如果你的U盘式FAT32格式的话,恭喜您的U盘中毒了。
其实很简单,你的电脑中毒了,杀这个的方法有点麻烦,我是手动杀的,反正要删除注册表呀,启动项呀等等等等,真的不好说,自己找下资料吧。网络上很多。U盘没什么可怕的,就是麻烦。主要是你电脑中毒了。
今天插上U盘,电脑所有盘里面多了两个文件夹《RECYCLER和System Volume Information》
帅哥 你不要再删了这个是系统文件 之所以你看的见可能你的系统文件显示出来了 你可以把他隐藏掉 你不信 你把你的其他盘看看 也有这个文件 但是要把隐藏系统文件的勾勾去掉才看的见
我U盘里有RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx这个文件
这2个文件夹是系统格式化后产生的。RECYCLER是回收站的文件夹。System Volume Information 是系统还原之类的文件夹。
如果系统正常。不用在意这个。我的电脑 工具 文件夹选项 里边 隐藏系统保护的文件文件夹 打上对勾 就看不到这2个文件夹了。
呵呵,楼主中了和我前两天中的一样的,这是一个U盘,主要症状是将你系统中的"查看所有文件"屏掉了,也就是把显示所有文件选上了,但还是不能看隐藏文件,现在的卡巴类的杀毒软件都能杀这个,从你的提示来看,文件VMX是没有了的,只是在你的U盘下应该有一个AUTORUN的文件,这个文件指向VMX而vmx没有,所以出现你的提示;
解决方法为,改注册表里的一个键值,然后就会看到AUTORUN文件,删除它,然后下一个安全补丁,以后就不会再中这个了,
具体步骤我给你转过来:
使用U盘我是相当谨慎的,但是即便这样,我还是中毒了。
中毒以后的症状是这样的:
在移动U盘或者移动硬盘上,会形成以下两个隐藏而且是只读文件:
1.autorun.inf文件,打开后全是乱码,但是在文件的后半部分发现了一些可疑的信息,那就是shelLExECUte =RuNdLl32.EXE
.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
2.RECYCLER文件夹,它和硬盘上的回收站的文件名只差一个字母,那就是最后一个不是D而是R。在这个文件夹里面还有一个文件夹,名字是
S-5-3-42-2819952290-8240758988-879315005-3665,再里面是一个关键性的文件:jwgkvsq.vmx,我从网上查了一下,没有太多的信息,模
模糊糊知道是一个文件。
中毒以后的症状是这样:无法查看隐藏文件,即使在管理器的“文件夹选项”-“查看”中,选中“查看所有文件”,也会自动恢复到
不显示隐藏文件,修改注册表后,能够显示所有文件,就会在移动U盘上看到这两个隐藏文件和文件夹。即便删除,那么在下次插上U盘时还
会出现这两个文件,很明显,电脑本身已经中毒了。
中毒之后的症状还有:
一、无法给自己的杀毒软件升级。提示网络设置有错,其实是搞的鬼;
二、无法连接到杀毒网站;
三、无法使用“冰刃”这款进程查看和终止软件,一旦启动冰刃电脑立刻重启。
在百度上搜索了一下,没有找到手工杀灭的方法,尤其头疼的是,我单位的电脑上有很多重要的数据,我暂时不想重装系统。但是几乎所有
的杀毒软件,如果单独对jwgkvsq.vmx杀毒,都提示无毒,我曾经把带毒的U盘(有autorun.inf、RECYCLER文件夹的已经激活了了U盘)
插上我的电脑,结果瑞星闪了一下表明有,但是紧接着就提示“不处理”,造成我家中的电脑也中毒了。
请教版内懂行的兄弟这是什么,还是木马,怎么这么厉害!!
===========================================================================================================================
事实上,NOD32、AVAST都可以查到这个,只是由于该增加了自我保护机制,使得NOD32、AVAST等杀毒软件都无法清除这个。启动的方式主要有几种方式:1)通过加载到系统启动项,使用户在登录系统时,自动运行该;2)通过修改系统文件,使系统启动时,自动加载;3)将加载为驱动程序,让系统在启动时加载并运行该。4)将注册为系统服务,让系统在启动时加载并运行。这几种方法中,以第三、四中方法较为隐蔽,也较难处理。
进入安全模式,进入注册表,搜索jwgkvsq.vmx,不果。证明该并非通过加载到系统启动项的方式调用执行的。同时发现,在安全模式下,删除U盘里的autorun.inf和RECYCLER文件后,会被立即重写入U盘。因此判断该在安全模式下仍然处于启动状态。由于windows安全模式下,系统只启动必须的服务,对于外加的服务、驱动程序都不加载,但尽管如此,仍然启动,初步推断,该修改了系统文件达到自动加载的目的。但是利用syscheck对系统进行扫描后,并未发现有系统文件被修改,说明该使用的是我以前未见过的方式进行加载的。虽然如此,但的加载肯定是有迹可寻的,关键在于我们能否想到。Hook?RootKid?还是其他手段?看着这个,突然间想起,既然这个是伪装成回收站进行藏身,那么调用它,必须就要找到这个伪装的回收站。于是从这个回收站着手查找。在注册表里查找的蛛丝马迹,忽然在一个地方发现该回收站的SID(HKLM_Software_Microsoft_Windows_CurrentVersion\Installer\UserData\),里面有一项值,写着c:\windows\system32\mmutspxi.dll,乍一看以为是mmutilse.dll(Microsoft 多媒体控件工具集)。回收站里怎么调用多媒体控件的?跟着进入C盘,发现了一个mmutspxi.dll的隐藏文件,而旁边就是mmutilse.dll。那么可见这个文件非常可以。查看文件属性,被设置为系统文件,无法被删除。利用命令attrib将该文件属性去掉,备份好,删除源文件,并将注册表中相关的信息全部删除。重启计算机。进入正常模式后,用NOD32对mmutspxi.dll进行扫描,扫描结果判断为Conficker。由于该加载项被清除,已经无法进行启动加载,此时,清除各盘中的RECYCLER及autorun.inf后,不会被重写入U盘,接着在利用NOD32对系统进行全盘扫描,没发现文件。初步判断,该被成功清除。
