『壹』 中了_desktop.ini病毒怎么办!
分类: 电脑/网络 >> 反病毒
问题描述:
我们单位局域网好多机子中了威金病毒,如何清除!
要真正能解决的办法!
解析:
如果你有瑞星杀毒,并已把瑞星升级到最新版本,所以你不愁杀不掉这种病毒!
所谓魔高一尺,道高一丈!
防病毒,首先得从你的系统着手:
关键是,你必须马上打好XP的补丁,这倒是真的.要不,你下次还会中此病毒的.
建议用360安全卫士来帮你打全补丁.(下载的地方多的是)
360安全卫士->诊断及修复->漏洞修复->下载并修复 , 就OK!
一、该病毒特点:
名 称:威金(Worm.Viking)
处理时间:2006-06-01 威胁级别:
病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Sofare\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Inter Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
17**/gua/zt.txt 保存为:c:\1.txt
17**/gua/wow.txt 保存为:c:\1.txt
17**/gua/mx.txt 保存为:c:\1.txt
17**/gua/zt.exe 保存为:%SystemRoot%Sy.exe
17**/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
17**/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" "
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /"
二、专杀工具
it.rising/service/technology/RavVikiing
三、删除_desktop.ini
该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统盘下的文件夹中没有这个文件,另外盘下的文件夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a,该命令的作用是:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
使用方法是开始--所有程序--附件--命令提示符,键入上述命令(也可复制粘贴),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。
至此,该病毒对机器造成的影响全部消除。
觉得有用的朋友们拿去试试吧
以下是我自己处理的方法:
(1)先下载好瑞星威金病毒专杀工具;
it.rising/service/technology/RavVikiing
(2)断开网络;
(3)处理C盘:能系统还原的就系统还原,这样节省时间,不行的就重装系统;
(4)再在安全模式下用刚才下的专杀工具清除掉C盘以外的其它盘的病毒;
(5)用全盘搜索功能(记得在高级选项里把搜索隐藏文件的选项勾上),搜索名为“_desktop.ini”的文件,搜索好后,凡是符合要求的全部删除;
(6)清除完后重启机器即可。
『贰』 Desktop_.ini 是什么病毒用什么杀毒软件杀拜托了各位 谢谢
desktop.ini是文件夹及桌面配置文件 但你的多了一个1条下划线,类似这个东西我中过着, 当时我中毒的情况是这样的: 病毒文件是:“RUND1132.EXE”“RUNDL132.EXE”“logo_1.exe”“logo1_.exe”还会下载些:2Sy.exe、3Sy.exe、4Sy.exe、5Sy.exe …… 注意区分“L”和“1”,别把“RUNDLL32.EXE”删了! “_desktop.ini”是它的残留文件,打开后显示的是年月日,格式为:“2007/02/24” 你发的是“desktop__.ini”看来确是那病毒的升级版, 你去检查一下是否存在我所提到的那些文件, 检查所有启动项,包括注册表里的, 我以前中的是:“RUNDL132.EXE” 近期发现的:“RUND1132.EXE” 还好我发现的及时,及时处理了,我用的是江民,但它没查出,我把样本发给江民后已得到处理。 删除“desktop_.ini”的方法(我的2块硬盘共8个分区,写到哪视你的硬盘分区有多少): 1、建立一个记事本文档 2、加入以下内容后保存(你的硬盘分区有多少就写到哪) @echo off del c:\desktop_.ini /f/s/q/a del d:\desktop_.ini /f/s/q/a del e:\desktop_.ini /f/s/q/a del f:\desktop_.ini /f/s/q/a del g:\desktop_.ini /f/s/q/a del h:\desktop_.ini /f/s/q/a del i:\desktop_.ini /f/s/q/a del j:\desktop_.ini /f/s/q/a exit 3、更改扩展名为“.bat” 4、运行 还有个熊猫烧香专杀工具杀,这个工具是病毒作者自己在看守所写的; http://active.zol.com.cn/news/Worm_Nimaya_xt110.rar
『叁』 请问-desktop.ini是什么病毒症状是每一个文件夹都会带一个!该怎么杀啊
分类: 电脑/网络 >> 反病毒
解析:
“新欢乐时光”病毒是今年上半年出现的较为厉害的一个脚本病毒,目前仍在互联网上蔓延。阅读此文你会对它有比较清楚的了解……
1、新欢乐时光是怎么样的一个病毒?
答:新欢乐时光是该病毒的中文名,其英文名包括(方括号中是相对应的各个厂家):HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。
这个病毒是用VBS编写的多变形、加密病毒,感染扩展名为, , .sap, .php, .jsp, .htt和.vbs文件,同时该病毒会大量生成folder.htt和desktop.ini,并在%windir%System中生成一个名字叫Kernel.dll的文件(Windows 9x/Me)或kernel32.dll(Windows NT/2000),修改.dll文件的打开方式,感染Outlook的信纸文件。(注:%windir%指的是Windows的目录,对于Win9x/Me系统来说,这个目录通常是Windows,对于Windows NT/2000来说,这个目录通常是WinNT。
感染这个病毒后有两个明显的表现:
a.在每个目录中都会生成folder.htt(带毒文件)和desktop.ini(目录配置文件);
b.电脑运行速度明显变慢,在任务列表中可以看到有大量的Wscript.exe程序在运行。
2、如何彻底清除这个病毒?需要注意什么问题?
答:清除这个病毒可以在安全模式或者纯DOS下清除,需要注意以下几个问题:
a.建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解,一般用户是很难干净地清除病毒的;推荐使用专杀工具在安全模式下进行杀毒,并且,在确认清除完成之前不要使用“Web视图”显示任何文件夹,比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
b.在检查病毒的时候,建议同时检查平时常用的移动储存介质,如光盘、软盘、移动硬盘等,因为这是病毒重复感染的隐患。
c.对于联网的计算机,杀毒之前建议取消所有的共享目录。
3、为什么建议在安全模式下清除这个病毒?如何进入安全模式?
答:清除这个病毒我建议是在安全模式下清除,这是因为:
a.病毒在安全模式下不会被激活,所以可以放心在安全模式下杀毒;
b.由于杀毒软件和专门清除工具在正常模式下都不能干净清除病毒,所以一般要在安全模式或纯DOS下杀毒,虽然两种方式都可以干净清除病毒,但在安全模式下由于系统使用了更多的缓存机制,因此要比在纯DOS下杀毒速度要快;
c.专门清除工具只能在Windows环境下运行,不过专门清除工具可以修复病毒修改的注册表,而一般杀毒软件做不到;
4、如何预防这个病毒?对于预防这个病毒,有什么建议吗?
答:杀毒后建议立即进行以下操作进行预防病毒:
a.请浏览以下网址为系统打上必要的补丁:
windowsupdate'>[url=windowsupdate]windowsupdate
或
microsoft/tech/security/bulletin/MS00-075.sap'>[url=microsoft/tech/security/bulletin/MS00-075.sap]microsoft/tech/security/bulletin/MS00-075.sap
b.请安装反病毒软件,并升级到最新的病毒库,坚持打开实时防病毒监控程序和及时升级病毒库;
c.删除信箱中可疑的电子邮件,建议尽量不要使用信纸;
d.对于Windows 9x/Me,建议取消共享,如果必须设置共享的话,建议设置为只读或者设置密码;对于Windows NT/2000,应为文件夹配置适当的权限,在有域的网络中,所有用户,特别是管理员级用户必须保证自己不感染病毒。
e.在使用移动储存介质之前,如光盘、软盘、移动硬盘等,建议先防病毒软件检查一遍是否存在病毒,如果光盘有病毒的话,建议不要再使用该光盘;如果不具备这个条件,关闭Web视图可以部分地防止这个病毒,但对于被感染的等文件,则这个方法可能无法奏效。
f.特别地:利用这个病毒的设计缺陷,可以在%windir%System创建名为kernel.dll(Win9x/ME系统)或kernel32.dll(WinNT/2000系统)的目录,这样可以在一定程度上阻止病毒的传染。特别注意:在不同的系统中创建的目录名称是不同的,应根据不同的系统来创建对应的目录。如果提示不能创建文件夹,请在杀毒后再创建。
g.对于一些熟练操作计算机的用户来说,可以通过编辑原正常的folder.htt,在文件头加上< BODY KJ_start()>这一句话,可以预防病毒的传染;
h.还有一些情况是某些防病毒程序并不能有效地防止病毒的传播,遇到这种情况的时候建议换一个防病毒软件
5、这个病毒对计算机会有什么影响?我怎么知道我的计算机感染了这个病毒?
答:这个病毒对计算机产生的比较明显的影响是严重影响计算机的正常使用,严重减慢计算机的运行速度,经常出现诸如“资源不足”的提示。这是因为这个病毒会大量生成folder.htt和desktop.ini,每以Web视图打开一个文件夹或打开资源管理器的时候都会激活病毒一次,从而导致计算机资源的严重下降,影响正常的使用。
而感染这个病毒后很容易发现计算机突然出现很多的folder.htt和desktop.ini文件(文件是隐藏的,默认情况下看不到),几乎是每个目录下都会有,同时连软盘、移动硬盘等都可能会被感染,可以据此确认感染了病毒。不过,计算机上存在这两个文件并不代表一定染毒了,如何判断folder.htt和desktop.ini文件是不是病毒将会在下面的问题中讨论到。
6、这个病毒是如何传播的?通过什么途径进行传播?
答:这是个网页病毒,利用的MS IE的漏洞,通过感染一些, , .sap, .php, .jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性,其传播的途径也有多种:a.通过网页传播。由于病毒会感染网页文件,如果那些网站站长不小心将带毒的网页放到网站上,用户不了心浏览了这些网页就会被病毒感染了;
b.通过局域网。当本地计算机设有可写权限的共享目录,或者访问局域网上带毒的计算机的时候就会感染病毒;对于Windows NT/2000系统,由于存在默认的管理用共享目录,因此,管理员的疏忽也可能会造成感染。
c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸,或者信件中有带毒的网页文件,那么,只要收件人浏览了邮件,也会被感染病毒;
d.通过移动介质,如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini,所以在打开移动介质或打开其文件夹的时候,就会激活并感染病毒。
7、为何在正常模式下无法干净清除这个病毒?
答:在安全模式下无法干净清除病毒一般是由以下几个方面的原因造成:
a.感染病毒后,病毒在激活状态,一般杀毒软件和专门清除工具都无法清除内存中的病毒,导致杀毒不彻底;
b.局域网上的病毒可能会通过文件夹共享重复感染电脑。
8、什么样的folder.htt和desktop.ini才是病毒?
答:并不是所有的folder.htt和desktop.ini都是病毒。一般正常情况下,%windir%, %windir%system, %windir%system32, %windir%web 和 Program Files目录中都会有这两个文件。而且,使用记事本打开染毒的folder.htt,可以找到和后面一大段的加密代码,这是正常文件中没有的。此外,作为目录配置文件的desktop.ini并不是病毒体,独立的这一文件并不会造成任何问题。如果这两个文件在杀毒后出现损坏,导致文件夹打开不正常,可以从别的干净的计算机上重新拷贝这两个文件。
9、我没有杀毒软件,哪里可以下载专门清除这个病毒的工具?
答:点击这里下载相应的清除工具。
10、这个病毒会感染什么操作系统?
答:这个病毒主要感染Win9x/Me/NT/2000操作系统,对Windows XP不起作用。
11、病毒生成的KJwall.gif是什么文件?
答:这个不是病毒文件,病毒运行时会在%windir%web和%windirsystem32目录下生成这个文件,这两个文件内容并不一样,前者是你系统没有染毒时候的%windir%webFolder.htt的备份文件,后者是%windir%system32desktop.ini的正常文件的备份。
『肆』 desktop_.ini病毒如何查杀,专杀工具哪里下载
Desktop_.ini 文件是由“尼姆亚(worm.nimaya)”生成的.删除方法如下:用木马专杀
新建一个文本文档,输入: del c:\Desktop_.ini /f/s/q/a del d:\Desktop_.ini /f/s/q/a del e:\Desktop_.ini /f/s/q/a del f:\Desktop_.ini /f/s/q/a del g:\Desktop_.ini /f/s/q/a 你的电脑有几个盘就写几个.. 保存为删除.txt ,然后重命名为删除.bat ,最后双击运行它就ok了!
『伍』 Desktop_.ini是什么电脑里为什么每个文件夹下都有
1.首先desktop.ini是记录你的自定义文件夹设置的系统配置文件,你可以打开一个desktop文件,用写字板打开可以看到里面的一些配置信息。 (比如你修改过文件夹的图标,背景等 C:\Documents and Settings\***\Recent或C:\Documents and Settings\***\Favorites等,他们的文件夹图标与系统默认的是不同的。删除没有不良影响,不过该文件夹与其他文件夹外观一样) 如果你仔细观察,会发现,里面记录的是一些 当前文件夹内部的一些信息。如当前文件夹采取的背景文件名当前文件夹的什么等等。 2.Desktop_.ini 文件是由“尼姆亚(worm.nimaya)”病毒生成的,病毒运行后,会自动查找Windows格式的exe可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。 下载:Worm.Nimaya 专用清除工具_熊猫烧香病毒专杀 V1.3( http://www.xdowns.com/soft/8/19/2006/Soft_34187.html) 下载后查杀。 反病毒专家建议电脑用户采取以下措施预防该病毒:1、建立良好的安全习惯,不打开可疑邮件和可疑网站;2、很多病毒利用漏洞传播,一定要及时给系统打补丁;3、安装专业的防毒软件升级到最新版本,并打开实时监控程序;4、安装带有“木马墙”功能的个人防火墙软件,防止密码丢失。 注意:中毒后exe文件变成熊猫图像,且自动删除*.gho文件,用上面的瑞星专杀没有用,目前用下面这款专杀可以杀掉,请大家小心预防!建议将GHOST备份文件改后缀名,如果有中这种病毒,请在DOS下重命名为正确的GHO,然后还原系统,再用专杀全盘杀毒!
『陆』 _desktop.ini 怎么才能完全杀干净
分类: 生活 >> 美容/塑身
问题描述:
这种病毒要怎么才能杀干净。。。我按照别人说的
输入 del d:\_desktop.ini /f/s/q/a 但是重启之后又会跳出来!
这几天把我搞晕了! 高手帮帮忙! 谢!!!
解析:
楼主是中 ViKing 病毒了
我和一样都中了
找了两个专杀工具都好用 现在OK了
瑞星专杀工具it.rising/Channels/Service/index.s
金山专杀工具tool.ba/zhuansha/
在里面找ViKing病毒专杀就好了
『柒』 _desktop.ini是什么病毒杀毒软件查不出来
你中了威金病毒了
专门针对流行病毒Worm.Viking的专杀工具。
专杀工具只能查杀独立的文件,不能查杀复合文档中的病毒,比如邮箱或者压缩文件,若需要全方位的对您的计算机进行杀毒或者防护,建议您购买并安装具备立体防毒功能的瑞星杀毒软件单机版或瑞星杀毒软件下载版,企业局域网用户请选用具备全网杀毒,管理方便的瑞星杀毒软件网络版产品
下载地址:http://it.rising.com.cn/service/technology/RavVikiing.htm
『捌』 desktop.ini 病毒如何彻底删除
_desktop.ini 是中了威金病毒产生的文件,建议使用江民的威金专杀工具查一下毒
而desktop.ini是一个系统配置文件。里面记录的是一些当前文件夹内部的一些信息。例如当前文件夹采取的背景文件名等等,删除后如果再有设置或是使用,自己会再次生成的,不要担心!
『玖』 desktop.ini罕见的病毒,怎么杀
这不是罕见病毒,是"欢乐时光"病毒,用360安全卫士提供的专杀工具很容易清除.
『拾』 _desktop.ini
_desktop.ini这个隐藏文件(别和desktop.ini混淆了),是用专杀工具杀了威金(viking)蠕虫病毒后留下的。中威金症状:感染10MB以下的可执行程序(exe),改变程序的图标,并且导致可执行程序不能被执行;计算机反应变慢,断网等现象。
解决办法:_desktop.ini很多,手动删除麻烦,网上一般介绍的是方法是批量删除_desktop.ini的命令
现在使用DOS命令批量删除_desktop.ini,如下:
del d:\_desktop.ini /f/s/q/a
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的