删除威金病毒残留的_desktop.ini文件(转贴)
最近几天常常碰到名为“_desktop.ini”的一个隐藏文件。经查是一种叫做威金的蠕虫病毒。它的症状是感染10MB以下的可执行程序,表现为改变程序的图标,并且导致可执行程序不能被执行。计算机反应变慢,断网等现象。通过网上下载的专杀工具试图驱逐无果,删是删不掉的,它从你的计算机的最后一个盘向上不停的复制。似乎只有通从新分区后再做重做系统才会彻底。但是这样,就丢了计算机上很多宝贵的东东。
这几天被病毒害苦了,到处都是_desktop.ini
批量删除_desktop.ini的命令
现在使用DOS命令批量删除_desktop.ini,如下:
del d:\_desktop.ini /f/s/q/a
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
手动清除方案:
1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"
下面是病毒的详细资料:
病毒名称: Worm.Win32.Viking.p
病毒类型: 蠕虫
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公开范围: 完全公开
危害等级: 中
文件长度: 1,025,308 字节
感染系统: windows98以上版本
开发工具: Borland Delphi V3.0
加壳类型: Upack 2.4 - 2.9 beta
命名对照: Symentec[W32.Looked.P]
Mcafee[无]
该病毒属蠕虫类,病毒运行后释放病毒文件%WINDDIR%\rundl132.exe、系统盘根目录\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,会在大量文件夹中释放文件_desktop.ini;连接网络,开启端口,下载病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;开启进程conime.exe及其自身,注入到进程explorer.exe中,修改注册表,添加启动项,以达到随机启动的目的;感染大部分非系统文件;病毒把自身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后释放病毒文件:
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
2、连接网络,开启端口,下载病毒文件:
协议:TCP
IP:61.152.116.22
本地端口:随机开启本地1024以上端口,如:1156
下载病毒文件:
路径名:
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs
3、开启进程conime.exe及其自身,注入到进程explorer.exe中。
4、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"
5、感染大部分非系统文件,不感染下列文件夹中的文件:
system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
6、病毒尝试终止相关杀病毒软件。
7、病毒把自己身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行
一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序。
8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
大家平时注意保护注册表一般都不会有什么事的,有毒杀毒无毒健体~~.大家有什么更好的办法也共享出来吧,中毒真的很惨,有时真的不得不屈服于杀毒软件商,一些新出的病毒中了想屈服都没用,多了解多交流让未中毒的兄弟防患于未然嘛.
删除威金病毒残留的_desktop.ini文件(转贴)相关推荐
- 威金病毒、维金病毒、Viking、logo1_.exe专杀 vdll.dll、logo1_.exe、rundl132.exe、_desktop.ini、、0Sy.exe、图标变花...
威金病毒.维金病毒.Viking.logo1_.exe专杀 vdll.dll.logo1_.exe.rundl132.exe._desktop.ini..0Sy.exe.图标变花 Windows目录下 ...
- 【转载】CAD卸载重新安装方法,使用清理卸载工具完全彻底删除干净CAD各种残留注册表和文件。
CAD没有按照正确方式卸载,导致CAD安装失败.现在虽然360或者其他一些卸载软件提供了强力卸载清理CAD的工具,可以将CAD注册表和一些CAD目录的CAD残留信息删除干净,但仍不能确保将CAD所有相 ...
- 熊猫烧香.威金.落雪.SXS.ARP.网络执法管.AUTORUN.INF等高危病毒清除
将下面的内容复制到记事本,保存为.reg文件.双击运行,以下操作最好是在安全模式下进行,如果系统无法进入安全模式,请参考本站内,关于如何恢复被病毒破坏的安全模式的文章. *************** ...
- 如何用DOS命令批量删除文件?(_desktop.ini 或 thumbs.db)
如何用DOS命令批量删除文件?比如viking蠕虫病毒会在系统里产生大量的"_desktop.ini"文件,虽然杀毒后系统无问题了,但看着总归不爽.我们可使用DOS命令批量删除&q ...
- maya2020卸载不干净_MAYA 卸载不干净,怎么完全彻底删除清理干净MAYA各种残留注册表和文件?...
MAYA卸载工具,完全彻底删除干净MAYA各种残留注册表和文件.MAYA安装失败,怎么完全彻底删除清理干净MAYA各种残留注册表和文件呢?有些同学想把MAYA重新安装,但是MAYA安装失败显示失败,有 ...
- axure 彻底删除lib_【AutoCAD 卸载工具,完全彻底删除清理干净AutoCAD各种残留注册表和文件】...
AutoCAD卸载工具,完全彻底删除干净AutoCAD各种残留注册表和文件.AutoCAD安装失败,怎么完全彻底删除清理干净AutoCAD各种残留注册表和文件呢?有些同学想把AutoCAD重新安装,但 ...
- maya2020卸载不干净_maya怎样卸载干净,如何完全彻底删除清理干净MAYA各种残留注册表和文件?...
MAYA卸载工具,完全彻底删除干净MAYA各种残留注册表和文件.MAYA安装失败,怎么完全彻底删除清理干净MAYA各种残留注册表和文件呢?有些同学想把MAYA重新安装,但是MAYA安装失败显示失败,有 ...
- maya2020卸载不干净安装不了_maya2020卸载不干净_maya怎样卸载干净,如何完全彻底删除清理干净MAYA各种残留注册表和文件?......
MAYA卸载工具,完全彻底删除干净MAYA各种残留注册表和文件.MAYA安装失败,怎么完全彻底删除清理干净MAYA各种残留注册表和文件呢?有些同学想把MAYA重新安装,但是MAYA安装失败显示失败,有 ...
- 【转载】solidworks卸载方法,怎么完全彻底卸载删除清理干净solidworks各种残留注册表和文件?
solidworks卸载工具,完全彻底删除干净solidworks各种残留注册表和文件.solidworks安装失败,怎么完全彻底删除清理干净solidworks各种残留注册表和文件呢?有些同学想把s ...
- 关于维金病毒和几个维金病毒防治的辅助工具
恶性病毒变种!维金"(Worm.Viking.m)病毒专题及解决方案 本病毒疑为前期穿透还原的恶性病毒变种!请大家提高警惕!已经可以再windows全部环境下传播!但是似乎目前这个版本没有能 ...
最新文章
- 南京大学人工智能学院院长周志华:培养有源头创新力的人才!
- 为 MySQL/MariaDB 开启 Binlog 功能
- nginx+fastcgi+c/c++搭建高性能Web框架
- 少儿编程150讲轻松学Scratch(十二)-Scratch编程算法练习-选择排序
- cad和python哪个好学_cad制图工资一般多少 就业前景好不好
- 如何更新Word文档的附图或附表序号
- Docker安装QuestDB教程
- 第 2 章 类加载子系统
- Introduction to Chinese natural language processing
- 已有记录表添加特定排序主键ID
- 计算机与软件水平考试中级,2020年计算机软件水平考试可以直接考中级吗
- 云优CMS批量翻译插件
- Ubuntu系统安装Ghostscript
- bitmap 设置图片尺寸,避免 内存溢出 OutOfMemoryError的优化方法
- 自己的网站被劫持跳转时该怎么解决?
- python pip 连接超时,使用国内源下载
- 51单片机实战教程之C语言基础(一 创建Keil Project)
- C++超级计算器-课题作业
- vue 四级联动 地址联动 vue级联选择
- 端口映射工具 – portmi