热点科技

标题: [求助] 电脑里出现很多_desktop.ini [打印本页]

作者: zachary186 时间: 2006-10-14 15:57
标题: [求助] 电脑里出现很多_desktop.ini
电脑里出现很多_desktop.ini
然后标图颜色也变了？？？？软件是不是中毒了？

作者: 40401066 时间: 2006-10-14 15:58
论坛搜索“威金”

作者: litchi 时间: 2006-10-14 15:59
批量删除_desktop.ini的命令

　　这几天来，中了不少病毒，重装系统两次，留下了无数个尸体，_desktop.ini文件，网上查到说是一种叫欢乐时光的病毒，现在使用DOS命令批量删除_desktop.ini，如下：

　　del d:\_desktop.ini /f/s/q/a

　　强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

　　/f 强制删除只读文件

　　/q 指定静音状态。不提示您确认删除。

　　/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

　　/a的意思是按照属性来删除了

　　这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的

手动清除方案：

１、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用“进程管理”关闭病毒进程
(2) 删除病毒文件

%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"

下面是病毒的详细资料：
病毒名称： Worm.Win32.Viking.p
病毒类型：蠕虫
文件 MD5： E939658C090087B08A1CD498F2DB59B3
公开范围：完全公开
危害等级：中
文件长度： 1,025,308 字节
感染系统： windows98以上版本
开发工具： Borland Delphi V3.0
加壳类型： Upack 2.4 - 2.9 beta
命名对照： Symentec[W32.Looked.P]
　　　　　 Mcafee[无]

该病毒属蠕虫类，病毒运行后释放病毒文件%WINDDIR%\rundl132.exe、系统盘根目录\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll，会在大量文件夹中释放文件_desktop.ini；连接网络，开启端口，下载病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe；开启进程conime.exe及其自身，注入到进程explorer.exe中，修改注册表，添加启动项，以达到随机启动的目的；感染大部分非系统文件；病毒把自身加入到要感染的程序，在被感染的程序运行时，病毒也同时运行，但在运行一次后自动释放病毒体，被感染文件也恢复正常，隔段时间后病毒会再次感染此应用程序；病毒尝试终止相关杀病毒软件；病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后释放病毒文件：

%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini

2、连接网络，开启端口，下载病毒文件：
协议：TCP
IP：61.152.116.22
本地端口：随机开启本地1024以上端口，如：1156
下载病毒文件：
路径名：
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名：
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs

3、开启进程conime.exe及其自身，注入到进程explorer.exe中。

4、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"

5、感染大部分非系统文件，不感染下列文件夹中的文件：

system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information

6、病毒尝试终止相关杀病毒软件。

7、病毒把自己身加入到要感染的程序，在被感染的程序运行时，病毒也同时运行，但在运行
一次后自动释放病毒体，被感染文件也恢复正常，隔段时间后病毒会再次感染此应用程序。

8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

作者: 52yaoyao1 时间: 2006-10-14 15:59
还有，都变成这样了，显卡驱动装了也是这样

作者: xiaoliumang 时间: 2006-10-14 16:09
去江明首页，那的专杀可用

作者: mtc 时间: 2006-10-14 16:10
要不用专杀,要不格硬盘,手动清除麻烦..

作者: hao188 时间: 2006-10-14 16:51
中了维金病毒了！
用专杀试试！

作者: daixh 时间: 2006-10-14 17:06
原来这就是威金病毒呀

作者: chenstiger 时间: 2006-10-14 17:10
病毒　防不胜防啊．．．．．．．．．．．．．

作者: hyb521008 时间: 2006-10-14 17:58
今天刚跟那家伙交手。。恨。残念

作者: tmzdxz 时间: 2006-10-14 18:04
江民哪里有专杀工具。公司局域网中了。

作者: ghy1981 时间: 2006-10-14 18:25
ghost=治毒大法，别的一概不用。

作者: liany 时间: 2006-10-14 18:28
是病毒，以前也中过

作者: yz117 时间: 2006-10-14 20:53
.... 这病毒太厉害了, 我中的是变种, 用金山和瑞星的专杀都居然查觉不到它的存在, 先后装上最新的瑞星和卡巴也查觉不到它, 最后只有把硬盘格式化分区, 重新来过. ........ 好阴毒的病毒啊.

作者: xxxxxyyyyy 时间: 2006-10-14 21:04
太难弄了。。这段时间中招的不少

作者: tyrs6688 时间: 2006-10-14 21:09
威金病毒啦

作者: 00891662 时间: 2006-10-14 21:11
这个病毒强

作者: lihejun 时间: 2006-10-15 02:25
我的系统也中了

作者: hujunjie88 时间: 2006-10-15 02:39
完蛋了。。专杀也没有鸟用，GHOST吧

欢迎光临热点科技 (http://www.itheat.com/activity/)