这几天,经常遇到“_desktop.ini”这个隐藏文件。 经过调查,是一种叫威金的蠕虫。 其症状为感染10MB以下可执行程序,表现为更改程序图标,可执行程序无法执行。 计算机反应迟缓、网络断裂等现象。 如果尝试使用互联网下载的特别杀戮工具驱逐结果,则无法删除。 从计算机的最后一张磁盘开始继续向上复制。 似乎只要创建新分区,然后重新创建系统就足够了。 但就这样,我弄丢了计算机上很多宝贵的东东。
这几天受到病毒的折磨,到处都是_desktop.ini
用于批量删除_desktop.ini的命令
使用DOS命令批量删除_desktop.ini,如下所示:
del d:_desktop.ini /f/s/q/a
强制删除d驱动器下所有目录中的_desktop.ini文件,并且不会询问是否删除
/f强制删除只读文件
指定/q静音状态。 系统不会提示您确认删除。
从/s当前目录及其所有子目录中删除指定的文件。 显示被删除的文件名。
a是根据属性被删除的意思
此命令的作用是在杀死viking病毒后,清理系统中剩余的_desktop.ini文件
要手动清除方案:
1、手动清除请根据行为分析删除对应文件,恢复相关系统设置。
)1)在“进程管理”中关闭病毒进程
)2)删除病毒文件
%WINDDIR%rundl132.exe
%Program Files%_desktop.ini
桌面viDll.dll
系统根目录_desktop.ini
系统根目录1.txt
系统根目录MH_FILEMH_DLL.dll
系统根目录TODAYZTKINGTODAYZTKING.dll
文件_desktop.ini在大量文件夹中释放
%WINDDIR%�sy.exe
%WINDDIR%1sy.exe
%WINDDIR%2sy.exe
)3)恢复病毒修改的注册表条目,删除病毒添加的注册表条目
HKEY _ current _ usersoftwareMicrosoftwindows nt
CurrentVersionWindows
键值:字符串3360 ' load '=' c :windowsrundl 132.exe '
HKEY _ local _ machinesoftwareMicrosoftwindows
键值:字符串3360 ' ver _ down0'=' 0.859: source : c :windowssystem32 _ 0000012 _.tmp.dll (3.0.0 )
HKEY _ local _ machinesoftwareMicrosoftwindows
键值:字符串: ' ver _ down1'=' 0.68733602006/06/1320336052336004.23 s444 (local ) ) )。
HKEY _ local _ machinesoftwareMicrosoftwindows
键值:字符串3360 ' ver _ down2'=' 0.859: source : c :windowssystem32 _ 00006 _.tmp.dll
(3.0.3790.21801 ) '
HKEY _ local _ machinesoftwaresoft
HKEY _ local _ machinesoftwaresoftdownload www
HKEY _ local _ machinesoftwaresoftdownload wwwauto
键值:字符串: '1'
病毒的详细情况如下所示。
病毒名称: Worm.Win32.Viking.p
病毒类型:蠕虫
文件MD5:e 939658 c 090087 b 08 a 1cd 498 f2db 59 b 3
公开范围:完全公开
危害等级:中
文件长度: 1025,308字节
感染系统: windows98或更高版本
开发工具: Borland Delphi V3.0
壳类型: upack 2.4-2.9 beta
命名对照: Symentec[W32.Looked.P]
Mcafee[无]
该病毒是一种蠕虫,在病毒运行后,位于病毒文件%WINDDIR%rundl132.exe、系统磁盘根目录_desktop.ini、% program files % 连接到释放VIDLL .的网络,打开端口,下载病毒文件%WINDDIR%�sy.exe、%WINDDIR%1sy.exe和%WINDDIR%2sy.exe 打开进程conime.exe及其本身,注入进程explorer.exe,修改注册表,添加启动条目以实现随机启动的目的; 感染大多数非系统文件; 将病毒本身添加到受感染的程序中,受感染的程序运行时,病毒也会同时运行,但运行后会自动释放疾病
毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、病毒运行后释放病毒文件:
%WINDDIR%rundl132.exe
%Program Files%_desktop.ini
桌面viDll.dll
系统根目录_desktop.ini
系统根目录1.txt
系统根目录MH_FILEMH_DLL.dll
系统根目录TODAYZTKINGTODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
2、连接网络,开启端口,下载病毒文件:
协议:TCP
IP:61.152.116.22
本地端口:随机开启本地1024以上端口,如:1156
下载病毒文件:
路径名:
%WINDDIR%�sy.exe
%WINDDIR%1sy.exe
%WINDDIR%2sy.exe
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs
3、开启进程conime.exe及其自身,注入到进程explorer.exe中。
4、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
键值: 字串: "load "="C:WINDOWSrundl132.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
键值: 字串: "ver_down0"="0.859: Source:C:WINDOWSsystem32_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
键值: 字串: " ver_down2"="0.859: Source:C:WINDOWSsystem32_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINESOFTWARESoft
HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW
HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWauto
键值: 字串: "1"
5、感染大部分非系统文件,不感染下列文件夹中的文件:
system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
6、病毒尝试终止相关杀病毒软件。
7、病毒把自己身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行
一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序。
8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
大家平时注意保护注册表一般都不会有什么事的,有毒杀毒无毒健体~~.大家有什么更好的办法也共享出来吧,中毒真的很惨,有时真的不得不屈服于杀毒软件商,一些新出的病毒中了想屈服都没用,多了解多交流让未中毒的兄弟防患于未然嘛.