最近几天常常碰到名为“_desktop.ini”的一个隐藏文件。经查是一种叫做威金的蠕虫病毒。它的症状是感染10MB以下的可执行程序,表现为改变程序的图标,并且导致可执行程序不能被执行。计算机反应变慢,断网等现象。通过网上下载的专杀工具试图驱逐无果,删是删不掉的,它从你的计算机的最后一个盘向上不停的复制。似乎只有通从新分区后再做重做系统才会彻底。但是这样,就丢了计算机上很多宝贵的东东。
这几天被病毒害苦了,到处都是_desktop.ini
批量删除_desktop.ini的命令
现在使用DOS命令批量删除_desktop.ini,如下:
del d:\_desktop.ini /f/s/q/a
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
手动清除方案:
1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"
下面是病毒的详细资料:
病毒名称: Worm.Win32.Viking.p
病毒类型: 蠕虫
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公开范围: 完全公开
危害等级: 中
文件长度: 1,025,308 字节
感染系统: windows98以上版本
开发工具: Borland Delphi V3.0
加壳类型: Upack 2.4 - 2.9 beta
命名对照: Symentec[W32.Looked.P]
Mcafee[无]
该病毒属蠕虫类,病毒运行后释放病毒文件%WINDDIR%\rundl132.exe、系统盘根目录\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,会在大量文件夹中释放文件_desktop.ini;连接网络,开启端口,下载病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;开启进程conime.exe及其自身,注入到进程explorer.exe中,修改注册表,添加启动项,以达到随机启动的目的;感染大部分非系统文件;病毒把自身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后释放病毒文件:
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
2、连接网络,开启端口,下载病毒文件:
协议:TCP
IP:61.152.116.22
本地端口:随机开启本地1024以上端口,如:1156
下载病毒文件:
路径名:
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs
3、开启进程conime.exe及其自身,注入到进程explorer.exe中。
4、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"
5、感染大部分非系统文件,不感染下列文件夹中的文件:
system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
6、病毒尝试终止相关杀病毒软件。
7、病毒把自己身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行
一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序。
8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
大家平时注意保护注册表一般都不会有什么事的,有毒杀毒无毒健体~~.大家有什么更好的办法也共享出来吧,中毒真的很惨,有时真的不得不屈服于杀毒软件商,一些新出的病毒中了想屈服都没用,多了解多交流让未中毒的兄弟防患于未然嘛.
分享到:
相关推荐
全盘删除所有文件夹下的_desktop.ini.bat 这是一个很好的批处理哦!!!
标题 "desktop_1.ini desktop_2.ini 删除工具" 指的是一个专门用来清除名为 "desktop_1.ini" 和 "desktop_2.ini" 的病毒生成文件的实用程序。这两个文件通常是由某些恶意软件或病毒在用户的计算机上创建的,以达到...
DOS(磁盘操作系统)程序可以编写为扫描和删除特定文件类型,例如 "desktop_1.ini" 和 "Thumbs.db",以消除病毒的影响。 然而,手工编写这样的程序需要对DOS命令行和文件系统有深入理解,同时也要谨慎操作,以免...
需要注意的是,desktop.ini 文件并不是病毒文件,但是一些病毒文件可能会伪装成 desktop.ini 文件。 Desktop.ini 文件的大小限制 Desktop.ini 文件的大小限制取决于用户设置的项目数量。如果用户设置了许多项目,...
_desktop.ini删除工具,好不好,用了就知道。
文件相关操作-全盘删除所有文件夹下的_desktop.ini.bat.zip"表明这是一个使用批处理(Batch Script)技术编写的脚本,其主要任务是针对计算机全盘中的所有文件夹,查找并删除名为"_desktop.ini"的文件。批处理是一种在...
强制删除ws2_32.dll、MFC42.dll文件夹与恶意文件 使用方法:删除无法删除的文件夹必须到该文件夹所在目录才可以删除...全盘强制删除_desktop.ini 文件、4.全盘强制删除Thumbs.db文件、5.全盘强制删除autorun.inf文件
在N1和数码视讯Q5上都试过 好用 但是系统是英文的而且默认缺中文字符集。需要手动APT安装。安装后一切OK
当用户运行这个文件时,系统会按照预设步骤进行安装,将中文界面的语言文件和相关配置添加到已经安装的ArcGIS Desktop 10.2中,从而实现软件界面的汉化。 其次,“DesktopChinese_CN1.cab”是一个 cabinet 文件,它...
Microsoft_Remote_Desktop_10.6.7_installer.pkg macos bigsur 11.4 亲测流畅使用
### Desktop.ini 文件详解 在Windows操作系统中,`desktop.ini`是一个非常重要的隐藏文件,它可以用于自定义文件夹的外观和行为。通过修改`desktop.ini`文件中的内容,我们可以实现文件夹图标的更改、背景颜色的...
Microsoft Remote Desktop 是一款由微软公司开发的远程桌面连接软件,它允许用户通过网络从一台计算机访问另一台计算机的桌面环境,实现远程操作和文件共享。这款 Beta 版本是针对 MAC 系统特别优化的,为用户提供了...
desktop.ini 是一种缓存的系统文件。
本文将围绕"Microsoft_Remote_Desktop_10.2.13_installer.pkg.zip"这一文件,详细介绍其相关知识点。 首先,我们来看标题"Microsoft_Remote_Desktop_10.2.13_installer.pkg.zip",这是微软远程桌面的一个特定版本,...
Microsoft_Remote_Desktop_10.3.4 最常用最稳定的Mac远程windows的原件,现在出新版啦~ 最新版免费下载啦~
带桌面的版本,这个没测试过,应该是可以的,不带桌面的只在数码视讯Q5上测试过,一切OK Armbian_20.05.6_Arm-64_focal_current_5.7.2_desktop_20200612.img.xz
_Desktop_1061_163864.exe 1 _Data_Reviewer_for_Server_1061_164014.exe _DataStore_Windows_1061_163980.exe _Data_Reviewer_for_Desktop_1061_163753.exe _Server_Windows_1061_163968.exe _Workflow_Manager...
百问网linux桌面GUI,基于LVGL_8.x。_lv_100ask_linux_desktop
mac下远程控制windows的桌面,功能同微软下的远程桌面工具 这个是最新版的,可以随时添加新的PC,保存登陆的账号密码...连接成功后,若需要从mac传输文件至windows,只需要在mac下command+C 然后在windows下Ctrl+V即可