[病毒门诊]_desktop.ini病毒解决方法_电脑维修知识网,中国最专业的电脑维修网站！

网站首页维修网点 QQ专家在线电脑保修工具软件在线查毒电脑问题搜索 官方论坛 站点地图友情链接

XML

RSS 2.0

联盟点：北京上海深圳广州南京杭州成都西安厦门武汉重庆天津 更多城市

加入收藏夹 设为主页

认识电脑

电脑优化

电脑保养

故障症状

学习维修

维修资料

病毒门诊

数据恢复

使用技巧

电脑常识

笔记本

安全技术

系统漏洞

专题导读： 操作系统　 Windows Vista系统故障　 Windows Xp系统故障　 Windows 2003系统故障　 Windows 2000系统故障　 Windows 98系统故障　 软件使用　 网络配置　 网络攻击　病毒　木马　主板　 CPU　内存　硬盘　键盘　显卡　声卡　鼠标　 显示器　音箱　 刻录机　 光驱、光盘　 电源、UPS　 网络设备　 扫描仪　 打印机　 其它硬件　 服务器　 游戏平台　 手机/MP3　 相机/摄像头　 USB　 无线应用教程　 软件漏洞　 硬件漏洞　


您的位置：	网站首页 >> 病毒门诊 >>_desktop.ini病毒解决方法

_desktop.ini病毒解决方法

发布日期: 2007-4-11 14:26:09 查看数:

批量删除_desktop.ini的命令

　　这几天来，中了不少病毒，重装系统两次，留下了无数个尸体，_desktop.ini文件，网上查到说是一种叫欢乐时光的病毒，现在使用DOS命令批量删除_desktop.ini，如下：

　　del d:\_desktop.ini /f/s/q/a

　　强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

　　/f 强制删除只读文件

　　/q 指定静音状态。不提示您确认删除。

　　/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

　　/a的意思是按照属性来删除了

　　这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的

手动清除方案：

１、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用“进程管理”关闭病毒进程
(2) 删除病毒文件

%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"

下面是病毒的详细资料：
病毒名称： Worm.Win32.Viking.p
病毒类型：蠕虫
文件 MD5： E939658C090087B08A1CD498F2DB59B3
公开范围：完全公开
危害等级：中
文件长度： 1,025,308 字节
感染系统： windows98以上版本
开发工具： Borland Delphi V3.0
加壳类型： Upack 2.4 - 2.9 beta
命名对照： Symentec[W32.Looked.P]
　　　　　 Mcafee[无]

该病毒属蠕虫类，病毒运行后释放病毒文件%WINDDIR%\rundl132.exe、系统盘根目录\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll，会在大量文件夹中释放文件_desktop.ini；连接网络，开启端口，下载病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe；开启进程conime.exe及其自身，注入到进程explorer.exe中，修改注册表，添加启动项，以达到随机启动的目的；感染大部分非系统文件；病毒把自身加入到要感染的程序，在被感染的程序运行时，病毒也同时运行，但在运行一次后自动释放病毒体，被感染文件也恢复正常，隔段时间后病毒会再次感染此应用程序；病毒尝试终止相关杀病毒软件；病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后释放病毒文件：

%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini

2、连接网络，开启端口，下载病毒文件：
协议：TCP
IP：61.152.116.22
本地端口：随机开启本地1024以上端口，如：1156
下载病毒文件：
路径名：
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名：
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs

3、开启进程conime.exe及其自身，注入到进程explorer.exe中。

4、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"

5、感染大部分非系统文件，不感染下列文件夹中的文件：

system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information

6、病毒尝试终止相关杀病毒软件。

7、病毒把自己身加入到要感染的程序，在被感染的程序运行时，病毒也同时运行，但在运行
一次后自动释放病毒体，被感染文件也恢复正常，隔段时间后病毒会再次感染此应用程序。

8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

上下页导航

上一页：Auto病毒专杀工具，删除方法，U盘Auto病毒查杀

下一页：机箱前置音频接线正确连接方法

【打印】字体【大】【中】【小】【关闭】

	彻底解决Trojan.PSW.QQPass病毒
	Trojan-psw.win32.online Games.es 病毒清除办法
	auto.exe和autorun.inf查杀方法
	有争议的conime.exe
	sxs.dll sxs.exe病毒专杀工具及sxs.exe病毒手动删除方法
	清除pctools.dll 新萌科技(上海)有限公司-垃圾广告
	copy.exe病毒硬盘双击打不开了
	清除Svchost.exe
	手工删除update.exe病毒
	lsass.exe病毒的查杀方法,附专杀工具
	ARP病毒临时解决方法
	八步轻松清除desktop.ini病毒
	~my1.tmp清除的最佳方法(cnwin和pctools)
	autorun.inf、servet.exe和ie777.exe木马的手工杀毒方法
	1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 7.exe 8.exe病毒
	解决EXE文件打不开的问题（4种方法）
	感染型病毒Trojan-Downloader.Win32.Delf.axl专杀修复工具
	TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)
	SVCHOST.EXE应用程序错误解决方法
	威金蠕虫：所有的exe图标都变色变模糊

	如何映像劫持杀毒软件
	关于病毒主动防御的新见解
	木马容易盯上的注册表位置
	彻底清除无法显示隐藏文件的病毒
	Flash特务（Orz病毒）分析报告
	利用FLASH漏洞传播的对抗型“特务病毒”出现
	如何预防ARP病毒以及做好个人电脑病毒防护
	用最简单的方法摆脱病毒的纠缠
	提升权限把无法删除病毒扫地出门
	Troj.6to4ex恶意软件的清除
	Adobe flash漏洞,请尽快将Flash Player升级到9.0.124
	不同情况下病毒查杀技巧
	在系统里对U盘写保护防毒
	win32.virut病毒的清除方法
	当病毒囚禁了输入法
	教你识别危险进程
	完美解决双击无法打开C、D、E、F盘等Autorun病毒
	MIDI机器狗

站务联系:XBell@163.com 在线QQ：573861490

备案序号:粤ICP备06093858号