CHQ1d 发布于2022年11月8日 分享 发布于2022年11月8日 这几天被病毒害苦了,到处都是_desktop.ini 网上搜了一下。。基本搞定, 下面这个方法不错。 批量删除_desktop.ini的命令 这几天来,中了不少病毒,重装系统两次,留下了无数个尸体,_desktop.ini文件,网上查到说是一种叫欢乐时光的病毒,现在使用DOS命令批量删除_desktop.ini,如下: del d:\_desktop.ini /f/s/q/a 强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除 /f 强制删除只读文件 /q 指定静音状态。不提示您确认删除。 /s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。 /a的意思是按照属性来删除了 这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的 手动清除方案:1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。(1) 使用“进程管理”关闭病毒进程(2) 删除病毒文件%WINDDIR%\rundl132.exe%Program Files%\_desktop.ini桌面\viDll.dll系统根目录\_desktop.ini系统根目录\1.txt系统根目录\MH_FILE\MH_DLL.dll系统根目录\TODAYZTKING\TODAYZTKING.dll会在大量文件夹中释放文件_desktop.ini%WINDDIR%\0sy.exe%WINDDIR%\1sy.exe%WINDDIR%\2sy.exe(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows键值: 字串: "load "="C:\WINDOWS\rundl132.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll(3.0.3790.21801)"HKEY_LOCAL_MACHINE\SOFTWARE\Soft\HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto键值: 字串: "1"下面是病毒的详细资料:病毒名称: Worm.Win32.Viking.p病毒类型: 蠕虫文件 MD5: E939658C090087B08A1CD498F2DB59B3公开范围: 完全公开危害等级: 中文件长度: 1,025,308 字节感染系统: windows98以上版本开发工具: Borland Delphi V3.0加壳类型: Upack 2.4 - 2.9 beta命名对照: Symentec[W32.Looked.P] Mcafee[无] 该病毒属蠕虫类,病毒运行后释放病毒文件%WINDDIR%\rundl132.exe、系统盘根目录\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,会在大量文件夹中释放文件_desktop.ini;连接网络,开启端口,下载病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;开启进程conime.exe及其自身,注入到进程explorer.exe中,修改注册表,添加启动项,以达到随机启动的目的;感染大部分非系统文件;病毒把自身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、病毒运行后释放病毒文件:%WINDDIR%\rundl132.exe%Program Files%\_desktop.ini桌面\viDll.dll系统根目录\_desktop.ini系统根目录\1.txt系统根目录\MH_FILE\MH_DLL.dll系统根目录\TODAYZTKING\TODAYZTKING.dll会在大量文件夹中释放文件_desktop.ini2、连接网络,开启端口,下载病毒文件:协议:TCPIP:61.152.116.22本地端口:随机开启本地1024以上端口,如:1156下载病毒文件:路径名:%WINDDIR%\0sy.exe%WINDDIR%\1sy.exe%WINDDIR%\2sy.exe 病毒名:Trojan-PSW.Win32.WOW.ekTrojan-PSW.Win32.WOW.fqTrojan-PSW.Win32.WOW.fs3、开启进程conime.exe及其自身,注入到进程explorer.exe中。4、修改注册表,添加启动项,以达到随机启动的目的:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows键值: 字串: "load "="C:\WINDOWS\rundl132.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"HKEY_LOCAL_MACHINE\SOFTWARE\Soft\HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto键值: 字串: "1"5、感染大部分非系统文件,不感染下列文件夹中的文件:systemsystem32Documents and SettingsSystem Volume InformationRecycledwindorWindows NTWindowsUpdateWindows Media PlayerInternet ExplorerComPlus ApplicationsNetMeetingCommon FilesMessengerMicrosoft OfficeInstallShield Installation Information6、病毒尝试终止相关杀病毒软件。7、病毒把自己身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序。8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。 链接帖子 意见的链接 分享到其他网站 更多分享选项…
推荐的帖子