『壹』 中了_desktop.ini病毒怎麼辦!
分類: 電腦/網路 >> 反病毒
問題描述:
我們單位區域網好多機子中了威金病毒,如何清除!
要真正能解決的辦法!
解析:
如果你有瑞星殺毒,並已把瑞星升級到最新版本,所以你不愁殺不掉這種病毒!
所謂魔高一尺,道高一丈!
防病毒,首先得從你的系統著手:
關鍵是,你必須馬上打好XP的補丁,這倒是真的.要不,你下次還會中此病毒的.
建議用360安全衛士來幫你打全補丁.(下載的地方多的是)
360安全衛士->診斷及修復->漏洞修復->下載並修復 , 就OK!
一、該病毒特點:
名 稱:威金(Worm.Viking)
處理時間:2006-06-01 威脅級別:
病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒為Windows平台下集成可執行文件感染、網路感染、下載網路木馬或其它病毒的復合型病毒,病毒運行後將自身偽裝成系統正常文件,以迷惑用戶,通過修改注冊表項使病毒開機時可以自動運行,同時病毒通過線程注入技術繞過防火牆的監視,連接到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉內網的所有可用共享,並嘗試通過弱口令方式連接感染目標計算機。
運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行後將自身復制到Windows文件夾下,文件名為:
%SystemRoot%\rundl132.exe
2、運行被感染的文件後,病毒將病毒體復制到為以下文件:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通過添加如下注冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Sofare\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。
8、枚舉以下殺毒軟體進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:
stop "Kingsoft AntiVirus Service"
10、發送ICMP探測數據"Hello,World",判斷網路狀態,網路可用時,
枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網路感染。
11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Inter Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並運行相關程序:
17**/gua/zt.txt 保存為:c:\1.txt
17**/gua/wow.txt 保存為:c:\1.txt
17**/gua/mx.txt 保存為:c:\1.txt
17**/gua/zt.exe 保存為:%SystemRoot%Sy.exe
17**/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
17**/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
註:三個程序都為木馬程序
14、病毒會將下載後的"1.txt"的內容添加到以下相關注冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" "
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /"
二、專殺工具
it.rising/service/technology/RavVikiing
三、刪除_desktop.ini
該病毒會在每個文件夾中生成一個名為_desktop.ini的文件,一個個去刪除,顯然太費勁,(我的機器的操作系統因安裝在NTFS格式下,所以系統盤下的文件夾中沒有這個文件,另外盤下的文件夾無一倖免),因此在這里介紹給大家一個批處理命令 del d:\_desktop.ini /f/s/q/a,該命令的作用是:
強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除
/f 強制刪除只讀文件
/q 指定靜音狀態。不提示您確認刪除。
/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
/a的意思是按照屬性來刪除了
這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini文件用的
使用方法是開始--所有程序--附件--命令提示符,鍵入上述命令(也可復制粘貼),首先刪除D盤中的_desktop.ini,然後依此刪除另外盤中的_desktop.ini。
至此,該病毒對機器造成的影響全部消除。
覺得有用的朋友們拿去試試吧
以下是我自己處理的方法:
(1)先下載好瑞星威金病毒專殺工具;
it.rising/service/technology/RavVikiing
(2)斷開網路;
(3)處理C盤:能系統還原的就系統還原,這樣節省時間,不行的就重裝系統;
(4)再在安全模式下用剛才下的專殺工具清除掉C盤以外的其它盤的病毒;
(5)用全盤搜索功能(記得在高級選項里把搜索隱藏文件的選項勾上),搜索名為「_desktop.ini」的文件,搜索好後,凡是符合要求的全部刪除;
(6)清除完後重啟機器即可。
『貳』 Desktop_.ini 是什麼病毒用什麼殺毒軟體殺拜託了各位 謝謝
desktop.ini是文件夾及桌面配置文件 但你的多了一個1條下劃線,類似這個東西我中過著, 當時我中毒的情況是這樣的: 病毒文件是:「RUND1132.EXE」「RUNDL132.EXE」「logo_1.exe」「logo1_.exe」還會下載些:2Sy.exe、3Sy.exe、4Sy.exe、5Sy.exe …… 注意區分「L」和「1」,別把「RUNDLL32.EXE」刪了! 「_desktop.ini」是它的殘留文件,打開後顯示的是年月日,格式為:「2007/02/24」 你發的是「desktop__.ini」看來確是那病毒的升級版, 你去檢查一下是否存在我所提到的那些文件, 檢查所有啟動項,包括注冊表裡的, 我以前中的是:「RUNDL132.EXE」 近期發現的:「RUND1132.EXE」 還好我發現的及時,及時處理了,我用的是江民,但它沒查出,我把樣本發給江民後已得到處理。 刪除「desktop_.ini」的方法(我的2塊硬碟共8個分區,寫到哪視你的硬碟分區有多少): 1、建立一個記事本文檔 2、加入以下內容後保存(你的硬碟分區有多少就寫到哪) @echo off del c:\desktop_.ini /f/s/q/a del d:\desktop_.ini /f/s/q/a del e:\desktop_.ini /f/s/q/a del f:\desktop_.ini /f/s/q/a del g:\desktop_.ini /f/s/q/a del h:\desktop_.ini /f/s/q/a del i:\desktop_.ini /f/s/q/a del j:\desktop_.ini /f/s/q/a exit 3、更改擴展名為「.bat」 4、運行 還有個熊貓燒香專殺工具殺,這個工具是病毒作者自己在看守所寫的; http://active.zol.com.cn/news/Worm_Nimaya_xt110.rar
『叄』 請問-desktop.ini是什麼病毒症狀是每一個文件夾都會帶一個!該怎麼殺啊
分類: 電腦/網路 >> 反病毒
解析:
「新歡樂時光」病毒是今年上半年出現的較為厲害的一個腳本病毒,目前仍在互聯網上蔓延。閱讀此文你會對它有比較清楚的了解……
1、新歡樂時光是怎麼樣的一個病毒?
答:新歡樂時光是該病毒的中文名,其英文名包括(方括弧中是相對應的各個廠家):HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。
這個病毒是用VBS編寫的多變形、加密病毒,感染擴展名為, , .sap, .php, .jsp, .htt和.vbs文件,同時該病毒會大量生成folder.htt和desktop.ini,並在%windir%System中生成一個名字叫Kernel.dll的文件(Windows 9x/Me)或kernel32.dll(Windows NT/2000),修改.dll文件的打開方式,感染Outlook的信紙文件。(註:%windir%指的是Windows的目錄,對於Win9x/Me系統來說,這個目錄通常是Windows,對於Windows NT/2000來說,這個目錄通常是WinNT。
感染這個病毒後有兩個明顯的表現:
a.在每個目錄中都會生成folder.htt(帶毒文件)和desktop.ini(目錄配置文件);
b.電腦運行速度明顯變慢,在任務列表中可以看到有大量的Wscript.exe程序在運行。
2、如何徹底清除這個病毒?需要注意什麼問題?
答:清除這個病毒可以在安全模式或者純DOS下清除,需要注意以下幾個問題:
a.建議在安全模式或純DOS中清除。在正常模式清除需要對Windows系統非常深入地了解,一般用戶是很難干凈地清除病毒的;推薦使用專殺工具在安全模式下進行殺毒,並且,在確認清除完成之前不要使用「Web視圖」顯示任何文件夾,比較穩妥的做法是在進入安全模式之前將所有的Web視圖文件夾改為傳統Windows風格。
b.在檢查病毒的時候,建議同時檢查平時常用的移動儲存介質,如光碟、軟盤、移動硬碟等,因為這是病毒重復感染的隱患。
c.對於聯網的計算機,殺毒之前建議取消所有的共享目錄。
3、為什麼建議在安全模式下清除這個病毒?如何進入安全模式?
答:清除這個病毒我建議是在安全模式下清除,這是因為:
a.病毒在安全模式下不會被激活,所以可以放心在安全模式下殺毒;
b.由於殺毒軟體和專門清除工具在正常模式下都不能幹凈清除病毒,所以一般要在安全模式或純DOS下殺毒,雖然兩種方式都可以干凈清除病毒,但在安全模式下由於系統使用了更多的緩存機制,因此要比在純DOS下殺毒速度要快;
c.專門清除工具只能在Windows環境下運行,不過專門清除工具可以修復病毒修改的注冊表,而一般殺毒軟體做不到;
4、如何預防這個病毒?對於預防這個病毒,有什麼建議嗎?
答:殺毒後建議立即進行以下操作進行預防病毒:
a.請瀏覽以下網址為系統打上必要的補丁:
windowsupdate'>[url=windowsupdate]windowsupdate
或
microsoft/tech/security/bulletin/MS00-075.sap'>[url=microsoft/tech/security/bulletin/MS00-075.sap]microsoft/tech/security/bulletin/MS00-075.sap
b.請安裝反病毒軟體,並升級到最新的病毒庫,堅持打開實時防病毒監控程序和及時升級病毒庫;
c.刪除信箱中可疑的電子郵件,建議盡量不要使用信紙;
d.對於Windows 9x/Me,建議取消共享,如果必須設置共享的話,建議設置為只讀或者設置密碼;對於Windows NT/2000,應為文件夾配置適當的許可權,在有域的網路中,所有用戶,特別是管理員級用戶必須保證自己不感染病毒。
e.在使用移動儲存介質之前,如光碟、軟盤、移動硬碟等,建議先防病毒軟體檢查一遍是否存在病毒,如果光碟有病毒的話,建議不要再使用該光碟;如果不具備這個條件,關閉Web視圖可以部分地防止這個病毒,但對於被感染的等文件,則這個方法可能無法奏效。
f.特別地:利用這個病毒的設計缺陷,可以在%windir%System創建名為kernel.dll(Win9x/ME系統)或kernel32.dll(WinNT/2000系統)的目錄,這樣可以在一定程度上阻止病毒的傳染。特別注意:在不同的系統中創建的目錄名稱是不同的,應根據不同的系統來創建對應的目錄。如果提示不能創建文件夾,請在殺毒後再創建。
g.對於一些熟練操作計算機的用戶來說,可以通過編輯原正常的folder.htt,在文件頭加上< BODY KJ_start()>這一句話,可以預防病毒的傳染;
h.還有一些情況是某些防病毒程序並不能有效地防止病毒的傳播,遇到這種情況的時候建議換一個防病毒軟體
5、這個病毒對計算機會有什麼影響?我怎麼知道我的計算機感染了這個病毒?
答:這個病毒對計算機產生的比較明顯的影響是嚴重影響計算機的正常使用,嚴重減慢計算機的運行速度,經常出現諸如「資源不足」的提示。這是因為這個病毒會大量生成folder.htt和desktop.ini,每以Web視圖打開一個文件夾或打開資源管理器的時候都會激活病毒一次,從而導致計算機資源的嚴重下降,影響正常的使用。
而感染這個病毒後很容易發現計算機突然出現很多的folder.htt和desktop.ini文件(文件是隱藏的,默認情況下看不到),幾乎是每個目錄下都會有,同時連軟盤、移動硬碟等都可能會被感染,可以據此確認感染了病毒。不過,計算機上存在這兩個文件並不代表一定染毒了,如何判斷folder.htt和desktop.ini文件是不是病毒將會在下面的問題中討論到。
6、這個病毒是如何傳播的?通過什麼途徑進行傳播?
答:這是個網頁病毒,利用的MS IE的漏洞,通過感染一些, , .sap, .php, .jsp, .htt和.vbs等文件進行傳播。而由於病毒的本身特性,其傳播的途徑也有多種:a.通過網頁傳播。由於病毒會感染網頁文件,如果那些網站站長不小心將帶毒的網頁放到網站上,用戶不了心瀏覽了這些網頁就會被病毒感染了;
b.通過區域網。當本地計算機設有可寫許可權的共享目錄,或者訪問區域網上帶毒的計算機的時候就會感染病毒;對於Windows NT/2000系統,由於存在默認的管理用共享目錄,因此,管理員的疏忽也可能會造成感染。
c.通過電子郵件。如果發件人使用了帶毒的網頁文件作為信紙,或者信件中有帶毒的網頁文件,那麼,只要收件人瀏覽了郵件,也會被感染病毒;
d.通過移動介質,如軟盤、移動硬碟、光碟等。由於病毒會生成folder.htt和desktop.ini,所以在打開移動介質或打開其文件夾的時候,就會激活並感染病毒。
7、為何在正常模式下無法干凈清除這個病毒?
答:在安全模式下無法干凈清除病毒一般是由以下幾個方面的原因造成:
a.感染病毒後,病毒在激活狀態,一般殺毒軟體和專門清除工具都無法清除內存中的病毒,導致殺毒不徹底;
b.區域網上的病毒可能會通過文件夾共享重復感染電腦。
8、什麼樣的folder.htt和desktop.ini才是病毒?
答:並不是所有的folder.htt和desktop.ini都是病毒。一般正常情況下,%windir%, %windir%system, %windir%system32, %windir%web 和 Program Files目錄中都會有這兩個文件。而且,使用記事本打開染毒的folder.htt,可以找到和後面一大段的加密代碼,這是正常文件中沒有的。此外,作為目錄配置文件的desktop.ini並不是病毒體,獨立的這一文件並不會造成任何問題。如果這兩個文件在殺毒後出現損壞,導致文件夾打開不正常,可以從別的干凈的計算機上重新拷貝這兩個文件。
9、我沒有殺毒軟體,哪裡可以下載專門清除這個病毒的工具?
答:點擊這里下載相應的清除工具。
10、這個病毒會感染什麼操作系統?
答:這個病毒主要感染Win9x/Me/NT/2000操作系統,對Windows XP不起作用。
11、病毒生成的KJwall.gif是什麼文件?
答:這個不是病毒文件,病毒運行時會在%windir%web和%windirsystem32目錄下生成這個文件,這兩個文件內容並不一樣,前者是你系統沒有染毒時候的%windir%webFolder.htt的備份文件,後者是%windir%system32desktop.ini的正常文件的備份。
『肆』 desktop_.ini病毒如何查殺,專殺工具哪裡下載
Desktop_.ini 文件是由「尼姆亞(worm.nimaya)」生成的.刪除方法如下:用木馬專殺
新建一個文本文檔,輸入: del c:\Desktop_.ini /f/s/q/a del d:\Desktop_.ini /f/s/q/a del e:\Desktop_.ini /f/s/q/a del f:\Desktop_.ini /f/s/q/a del g:\Desktop_.ini /f/s/q/a 你的電腦有幾個盤就寫幾個.. 保存為刪除.txt ,然後重命名為刪除.bat ,最後雙擊運行它就ok了!
『伍』 Desktop_.ini是什麼電腦里為什麼每個文件夾下都有
1.首先desktop.ini是記錄你的自定義文件夾設置的系統配置文件,你可以打開一個desktop文件,用寫字板打開可以看到裡面的一些配置信息。 (比如你修改過文件夾的圖標,背景等 C:\Documents and Settings\***\Recent或C:\Documents and Settings\***\Favorites等,他們的文件夾圖標與系統默認的是不同的。刪除沒有不良影響,不過該文件夾與其他文件夾外觀一樣) 如果你仔細觀察,會發現,裡面記錄的是一些 當前文件夾內部的一些信息。如當前文件夾採取的背景文件名當前文件夾的什麼等等。 2.Desktop_.ini 文件是由「尼姆亞(worm.nimaya)」病毒生成的,病毒運行後,會自動查找Windows格式的exe可執行文件,並進行感染。由於該病毒編寫存在問題,用戶的一些軟體可能會被其損壞,無法運行。 下載:Worm.Nimaya 專用清除工具_熊貓燒香病毒專殺 V1.3( http://www.xdowns.com/soft/8/19/2006/Soft_34187.html) 下載後查殺。 反病毒專家建議電腦用戶採取以下措施預防該病毒:1、建立良好的安全習慣,不打開可疑郵件和可疑網站;2、很多病毒利用漏洞傳播,一定要及時給系統打補丁;3、安裝專業的防毒軟體升級到最新版本,並打開實時監控程序;4、安裝帶有「木馬牆」功能的個人防火牆軟體,防止密碼丟失。 注意:中毒後exe文件變成熊貓圖像,且自動刪除*.gho文件,用上面的瑞星專殺沒有用,目前用下面這款專殺可以殺掉,請大家小心預防!建議將GHOST備份文件改後綴名,如果有中這種病毒,請在DOS下重命名為正確的GHO,然後還原系統,再用專殺全盤殺毒!
『陸』 _desktop.ini 怎麼才能完全殺干凈
分類: 生活 >> 美容/塑身
問題描述:
這種病毒要怎麼才能殺干凈。。。我按照別人說的
輸入 del d:\_desktop.ini /f/s/q/a 但是重啟之後又會跳出來!
這幾天把我搞暈了! 高手幫幫忙! 謝!!!
解析:
樓主是中 ViKing 病毒了
我和一樣都中了
找了兩個專殺工具都好用 現在OK了
瑞星專殺工具it.rising/Channels/Service/index.s
金山專殺工具tool.ba/zhuansha/
在裡面找ViKing病毒專殺就好了
『柒』 _desktop.ini是什麼病毒殺毒軟體查不出來
你中了威金病毒了
專門針對流行病毒Worm.Viking的專殺工具。
專殺工具只能查殺獨立的文件,不能查殺復合文檔中的病毒,比如郵箱或者壓縮文件,若需要全方位的對您的計算機進行殺毒或者防護,建議您購買並安裝具備立體防毒功能的瑞星殺毒軟體單機版或瑞星殺毒軟體下載版,企業區域網用戶請選用具備全網殺毒,管理方便的瑞星殺毒軟體網路版產品
下載地址:http://it.rising.com.cn/service/technology/RavVikiing.htm
『捌』 desktop.ini 病毒如何徹底刪除
_desktop.ini 是中了威金病毒產生的文件,建議使用江民的威金專殺工具查一下毒
而desktop.ini是一個系統配置文件。裡面記錄的是一些當前文件夾內部的一些信息。例如當前文件夾採取的背景文件名等等,刪除後如果再有設置或是使用,自己會再次生成的,不要擔心!
『玖』 desktop.ini罕見的病毒,怎麼殺
這不是罕見病毒,是"歡樂時光"病毒,用360安全衛士提供的專殺工具很容易清除.
『拾』 _desktop.ini
_desktop.ini這個隱藏文件(別和desktop.ini混淆了),是用專殺工具殺了威金(viking)蠕蟲病毒後留下的。中威金症狀:感染10MB以下的可執行程序(exe),改變程序的圖標,並且導致可執行程序不能被執行;計算機反應變慢,斷網等現象。
解決辦法:_desktop.ini很多,手動刪除麻煩,網上一般介紹的是方法是批量刪除_desktop.ini的命令
現在使用DOS命令批量刪除_desktop.ini,如下:
del d:\_desktop.ini /f/s/q/a
強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除
/f 強制刪除只讀文件
/q 指定靜音狀態。不提示您確認刪除。
/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
/a的意思是按照屬性來刪除了
這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini文件用的