desktopini病毒清除方法

desktop.ini病毒去除方法威金Worm.Vikin〕-專殺及_desktop.ini刪除很麻煩的威金Worm.Viking_desktop.ini的文件,才知道中了名為威金〔Worm.Viking〕的病毒,而安裝的江民殺毒軟件竟然殺不了,沒方法了,只好上網(wǎng)查找解決方法,還真讓我給找到了,問題解決了,方法不敢獨享,介紹給機器出了同樣問題的人.一、desktop.ini病毒特點:處理時間：2023-06-01威逼級別：★★病毒類型：蠕蟲影響系統(tǒng)：Win9x/ME,Win2023/NT,WinXP,Win2023病毒行為:該病毒為Windows平臺下集成可執(zhí)行文件感染、網(wǎng)絡(luò)感染、下載網(wǎng)絡(luò)木馬或其它病毒的復(fù)合型病毒，病毒運行后將自身偽裝成系統(tǒng)正常文件，以迷惑用戶，通過修改注冊表項使病毒開機時可染目標(biāo)計算機。文件，給用戶安全性構(gòu)成危害。病毒主要通過共享名目、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進展傳播。1、病毒運行后將自身復(fù)制到Windows文件夾下,文件名為:%SystemRoot%\rundl132.exe2、運行被感染的文件后，病毒將病毒體復(fù)制到為以下文件:%SystemRoot%\logo_1.exe3、同時病毒會在病毒文件夾下生成:病毒名目\vdll.dll4、病毒從Z盤開頭向前搜尋全部可用分區(qū)中的exe文件，然后感染全部大小27kb-10mb的可執(zhí)行文件，感染完畢在被感染的文件夾中生成:_desktop.ini文件屬性:系統(tǒng)、隱蔽。)5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通過添加如下注冊表項實現(xiàn)病毒開機自動運行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“l(fā)oad“=“C:\\WINNT\\rundl132.exe“[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“l(fā)oad“=“C:\\WINNT\\rundl132.exe“7、病毒運行時嘗試查找窗體名為:“RavMonClass“的程序，查找到窗體后發(fā)送消息關(guān)閉該程序。8、枚舉以下殺毒軟件進程名，查找到后終止其進程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同時病毒嘗試利用以下命令終止相關(guān)殺病毒軟件：netstop“KingsoftAntiVirusService“10、發(fā)送ICMP探測數(shù)據(jù)“Hello,World“，推斷網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)可用時，枚舉內(nèi)網(wǎng)全部共享主機，并嘗試用弱口令連接\\IPC$、\admin$等共享名目，連接成功后進展網(wǎng)絡(luò)感染。11、感染用戶機器上的exe文件，但不感染以下文件夾中的文件:systemsystem32windowsdocumentsandsettingsRecycledwinntProgramFilesWindowsNTWindowsUpdateWindowsMediaPlayerOutlookExpressInternetExplorerComPlusApplicationsNetMeetingCommonFilesMessengerOfficeInstallShieldInstallationInformationMSNFrontMovieMakerMSNGamingZone12、枚舉系統(tǒng)進程，嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應(yīng)的進程:ExplorerIexplore找到符合條件的進程后隨機注入以上兩個進程中的其中一個。13、當(dāng)外網(wǎng)可用時，被注入的dll文件嘗試連接以下網(wǎng)站下載并運行相關(guān)程序:://17**/gua/zt.txt保存為:c:\1.txt://17**/gua/wow.txt保存為:c:\1.txt://17**/gua/mx.txt保存為:c:\1.txt://17**/gua/zt.exe保存為:%SystemRoot%Sy.exe://17**/gua/wow.exe保存為:%SystemRoot%\1Sy.exe://17**/gua/mx.exe保存為:%SystemRoot%\2Sy.exe注：三個程序都為木馬程序14、病毒會將下載后的“1.txt“的內(nèi)容添加到以下相關(guān)注冊表項：[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto“=“1“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]“ver_down0“=“[bootloader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++““ver_down1“=“[bootloader]timeout=30[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“////““ver_down2“=“default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“/////“二、desktop.ini毒刪除方法該病毒會在每個文件夾中生成一個名為_desktop.ini的文件，一個個去刪除，明顯太費力〔機器的操作系統(tǒng)因安裝在NTFS件夾無一幸免，因此在這里介紹給大家一個批處理命令deld:\_desktop.ini/f/s/q/a，該命令的作用是：強制刪除d盤下所知名目內(nèi)〔包括d盤本身〕的_desktop.ini文件并且不提示是否刪除/f強制刪除只讀文件/q指定靜音狀態(tài)。不提示您確認刪除。/s從當(dāng)前名目及其全部子名目中刪除指定文件。顯示正在被刪除的文件名。/a的意思是依據(jù)屬性來刪除了這個命令的作用是在殺掉viking病毒之后清理系統(tǒng)內(nèi)殘留的_desktop.ini文件用的使用方法是開頭全部程序附件命令提示符，鍵入上述命令〔也可復(fù)制粘貼，首先刪除D中的_desktop.ini，然后依此刪除另外盤中的_desktop.ini。至此，該病毒對機器造成的影響全部消退。Desktop.ini文件詳解由于有局部病毒會在文件夾下創(chuàng)立desktop.ini對該文件產(chǎn)生了錯誤的生疏，認為是病毒文件。其實這是錯誤的，desktop.ini與病毒并沒有多深的淵源，desktop.ini是系統(tǒng)可識別的一個文件，作用是存儲用戶對文件夾的共性設(shè)置；而病毒所創(chuàng)立的desktop.ini則不同〔內(nèi)容依病毒的不同而異，可以是感染日期或其它的有意無意字符〔串。下面介紹desktop.ini〔desktop.ini還有一個特別的CLSI發(fā)消息到百度知道id：ziyouzhuiqiu200分〕一、文件夾圖標(biāo)[.ShellClassInfo]InfoTip=注釋IconFile=圖標(biāo)文件的路徑IconIndex=選擇要使用文件中的第幾個圖標(biāo)自定義圖標(biāo)文件，其擴展名可以是.exe、.dll、.ico等。二、文件夾背景[ExtShellFolderViews]{BE098140-A513-11D0-A3A4-00C04FD706EC}={BE098140-A513-11D0-A3A4-00C04FD706EC}[{BE098140-A513-11D0-A3A4-00C04FD706EC}]Attributes=1IconArea_Image=11.jpg[.ShellClassInfo]ConfirmFileOp=50其中11.jpgdesktop.ini，和背景圖片一起放在要轉(zhuǎn)變背景的文件夾內(nèi)。為了防止誤刪，可以把desktop.ini和圖片設(shè)為隱蔽屬性。三、標(biāo)示特別文件夾系統(tǒng)中有一些特別的文件夾，如回收站、我的電腦、我的文檔、網(wǎng)上鄰居等。這些文件夾的標(biāo)示有兩種方法：直接在文件夾名后續(xù)上一個“.“在加對應(yīng)的CLSID如：把一個文件夾取名為：建文件夾.{20D04FE0-3AEA-1069-A2D8-08002B30309D}〔留意：建文件夾后面有一個半角的句號〕那么這個文件夾的圖標(biāo)將變?yōu)槲业碾娔X的圖標(biāo)，并且在雙擊該文件夾時將翻開我的電腦。在下面查看CLSID在注冊表中開放HKEY_CLASSES_ROOT\CLSID\CLSID分支下面就可以看到很多ID，這些ID對應(yīng)的都是系統(tǒng)里面不同的程序，文件，系統(tǒng)組件等常見組件類對應(yīng)的CLSID:我的文檔：450D8FBA-AD25-11D0-98A8-0800361B1103我的電腦：20D04FE0-3AEA-1069-A2D8-08002B30309D網(wǎng)上鄰居：208D2C60-3AEA-1069-A2D7-08002B30309D回收站：645FF040-5081-101B-9F08-00AA002F954EInternetExplorer：871C5380-42A0-1069-A2EA-08002B30309D把握面板：21EC2023-3AEA-1069-A2DD-08002B30309D撥號網(wǎng)絡(luò)/網(wǎng)絡(luò)連接:992CFFA0-F557-101A-88EC-00DD010CCC48任務(wù)打算:D6277990-4C6A-11CF-8D87-00AA0060F5BF打印機(和):2227A280-3AEA-1069-A2DE-08002B30309D歷史文件夾:7BD29E00-76C1-11CF-9DD0-00A0C9034933ActiveX緩存文件夾:88C6C381-2E85-11D0-94DE-444553540000公文包:85BBD920-42A0-1069-A2E4-08002B30309D其次種是通過一個desktop.ini文件還以我的電腦為例:建一個文件夾,名字任憑,然后在其下邊建立desktop.ini文件,內(nèi)容如下:[.ShellClassInfo]CLSID={相應(yīng)的ID}注:有局部病毒會建立這樣的文件夾以到達隱蔽自身的目的.另外這也是一種我們隱蔽小隱秘的方法.四、標(biāo)示文件夾全部者這通常見于我的文檔等如我的文檔里就有這樣一個文件，內(nèi)容如下：[DeleteOnCopy]Owner=AdministratorPersonalized=5PersonalizedName=MyDocuments五、轉(zhuǎn)變文件夾顏色關(guān)于這項功能的實現(xiàn)需要注冊一個.dll文件ColorFolder.dll。具體狀況本人由于未曾嘗試，故不能供給相應(yīng)內(nèi)容，以下是本人在網(wǎng)上搜到的以供參考。轉(zhuǎn)變文件夾顏色[.ShellClassInfo]IconFile=ColorFolder.dllIconIndex=0保存為deskto.ini文件，連同ColorFolder.dll文件〔Mikebox網(wǎng)盤里有下載〕假設(shè)想同時添加背景圖片及轉(zhuǎn)變文件夾內(nèi)文件名顏色！[ExtShellFolderViews]IconArea_Text=0x000000FFAttributes=1IconArea_Image=bg04.jpg[.ShellClassInfo]ConfirmFileOp=0把名字為bg04.jpg的圖片也放到同一個文件夾里以轉(zhuǎn)變文件夾的背景圖片了！更換bg04.jpg圖片，并修改紅色位置的名稱〔bg04.jpg〕為更〔jpg格式的0x000000FF就可以變文件顏色為你想要的顏色！0x000000FF為紅色，0x00008000為綠色，0x00FF00000x00FFFFFF〔轉(zhuǎn)變顏色也要有動態(tài)鏈接庫文件的支持〕注冊動態(tài)鏈接庫：請在開頭“regsvr32ColorFolder.dll“〔不包括引號，regsvr32和ColorFolder.dll〕注冊動態(tài)鏈接庫到系統(tǒng)即可！修改完desktop.ini〔attrib+s相應(yīng)文件夾的路徑[編輯本段]Desktop.ini病毒的介紹該病毒為Windows平臺下集成可執(zhí)行文件感染、網(wǎng)絡(luò)感內(nèi)網(wǎng)的全部可用共享，并嘗試通過弱口令方式連接感染目標(biāo)計算機。的可執(zhí)行文件，給用戶安全性構(gòu)成危害。式進展傳播。1、病毒運行后將自身復(fù)制到Windows文件夾下,文件名為:%SystemRoot%\rundl132.exe2、運行被感染的文件后，病毒將病毒體復(fù)制到為以下文件:%SystemRoot%\logo_1.exe3、同時病毒會在病毒文件夾下生成:病毒名目\vdll.dll4Z盤開頭向前搜尋全部可用分區(qū)中的exe文件27kb-10mb的可執(zhí)行文件，感染完畢在被感染的文件夾中生成:_desktop.ini(文件屬性:系統(tǒng)、隱蔽。)5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通過添加如下注冊表項實現(xiàn)病毒開機自動運行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“l(fā)oad“=“C:\\WINNT\\rundl132.exe“[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“l(fā)oad“=“C:\\WINNT\\rundl132.exe“7、病毒運行時嘗試查找窗體名為:“RavMonClass“的程序，查找到窗體后發(fā)送消息關(guān)閉該程序。8、枚舉以下殺毒軟件進程名，查找到后終止其進程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同時病毒嘗試利用以下命令終止相關(guān)殺病毒軟件：netstop“KingsoftAntiVirusService“10ICMP探測數(shù)據(jù)“Hello,World“，推斷網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)可用時，\\IPC$、\admin$等共享名目，連接成功后進展網(wǎng)絡(luò)感染。11exe文件，但不感染以下文件夾中的文件:systemsystem32windowsDocumentsandsettingssystemVolumeInformationRecycledwinntProgramFilesWindowsNTWindowsUpdateWindowsMediaPlayerOutlookExpressInternetExplorerComPlusApplicationsNetMeetingCommonFilesMessengerMicrosoftOfficeInstallShieldInstallationInformationMSNMicrosoftFrontMovieMakerMSNGamingZone12、枚舉系統(tǒng)進程，嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應(yīng)的進程:ExplorerIexplore找到符合條件的進程后隨機注入以上兩個進程中的其中一個。13、當(dāng)外網(wǎng)可用時，被注入的dll文件嘗試連接一些網(wǎng)站下載并運行相關(guān)程序，位置具體為：c:\1.txt、:%SystemRoot%\0Sy.exe、:%SystemRoot%\1Sy.exe、:%SystemRoot%\2Sy.exe14、病毒會將下載后的“1.txt“的內(nèi)容添加到以下相關(guān)注冊表項：[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto“=“1“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]“ver_down0“=“[bootloader]\\\\\\\\\\\\\\\\““ver_down1“=“[bootloader]timeout=30[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“////“

“ver_down2“=“default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“/////“

DESKTOP病毒的去除方法C:\WINDOWS\rundl132.exeC:\WINDOWS\logo_1.exe病毒所在名目\vidll.dll2、添加注冊表信息[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“l(fā)oad”“C:\WINDOWS\rundl132.exe”[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“l(fā)oad”“C:\WINDOWS\rundl132.exe”[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto”=“1”3、感染局部exe文件，并在被感染exe文件所在名目釋放_desktop.ini4hosts文件C:\WINDOWS\system32\drivers\etc\hosts5、vidll.dllexplorer.exeiexplore.exe6、停掉局部安全軟件的進程解決過程：1rundl132.exe的進程，并刪除C:\WINDOWS\rundl132.exe2、搜查找到并刪除vidll.dll可以通過SSM自動啟動來禁用vidll.dll，重啟動后刪除vidll.dll或停頓其插入的進程，再刪除該dll文件，假設(shè)它插入了explorer.exe這個進程，那么翻開ALTCTRLDeletexplorer.exevidll.dll文件然后用任務(wù)治理器上面的標(biāo)簽文件＝＝＝建任務(wù)＝＝＝掃瞄，找到并運行C:\WINDOWS\Explorer.exe3、刪除其在注冊表中創(chuàng)立的信息及其他病毒文件_desktop.ini、logo_1.exe4hosts文件，hosts文件用記事本翻開C:\WINDOWS\system32\drivers\etc\hostsDESKTOP的去除方式電腦中了desktop.ini病毒之后會在硬盤全部的分區(qū)內(nèi)創(chuàng)立假設(shè)干個諸如desktop_1.ini、desktop_2.ini之類的病毒體，一般在系統(tǒng)下刪除這些文件中的任何一個，病毒馬上就會建一個一樣的文件。通常遇到這樣的病毒體，我們可以一次性在DOS下刪除全局部區(qū)的病毒體，這個就需要借助批處理了。具體做法如下：翻開記事本，然后復(fù)制如下代碼進去：再改成bat格式cd\c:delDesktop_*.ini/f/s/q/ahcd\d:delDesktop_*.ini/f/s/q/ahcd\e:delDesktop_*.ini/f/s/q/ahcd\f:delDesktop_*.ini/f/s/q/ahcd\g:delDesktop_*.ini/f/s/q/ah然后雙擊運行即可刪除全部的病毒體了。一些常見疑問：1：治理工具文件夾里面的desktop.ini中[LocalizedFileNames]這個什么意思？答：[LocalizedFileNames]是“局限性文件名稱”也就是把握文件的標(biāo)識。2：一個desktop.ini里面[.shellclassinfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21762這個起什么作用？前面LocalizedResourceName這個又是起什么作用？后面-21762這個又是起什么作用？依據(jù)什么原理？LocalizedResourceName是“局限性資源名稱”后面的是名稱引用的地址，留意SHELL32.DLL動態(tài)鏈接庫中記錄了很多這類的信息ICO-21762是一個ID，也可以理解成INDEX索引。3：一個desktop.ini里面InfoTip是指向文件夾時的說明，但是infotip=@Shell32.dll,-12690這個什么意思infotip是“信息提示”后邊連接還是SHELL32.DLL。后面的-12690也是一個索引編號。4：一個desktop.ini里面IconFile是指圖標(biāo)的文件夾路徑IconFile=%SystemRoot%\system32\SHELL32.dllICONINDEX=-238是指圖表文件名，但是-238是哪個圖標(biāo)，這些圖標(biāo)放在哪個文件夾，怎么可以清楚的看到這些圖標(biāo)的列表，以及外面引用的數(shù)字代表的是哪個圖標(biāo)，比方說-238是代表哪個圖標(biāo)。答：連續(xù)參考前兩個問題的答案，ICONFILE是“ICO圖標(biāo)文件”，后面的我不再多解釋片，然后再比照索引來定位所指定的圖片。5：一個desktop.ini里面[DeleteOnCopy]Owner=JedPersonalized=14PersonalizedName=MyVideos這些什么意思？“我的文檔”中“我的視頻”desktop.ini“Owner=Jed”的意思是當(dāng)前文件夾是屬于“Jed”“Personalized=14”的意思是私人使用的私有化屬性，14是什么意思沒弄明白，“PersonalizedName=MyVideos”的意思是此私有文檔名稱為“MyVideos”。6：一個desktop.ini里面，開頭;==++==;;Copyright(c)MicrosoftCorporation.Allrightsreserved.;;==--==這些是什么意思？是不是跟HTML代碼的<! >中注釋的功能一樣呢？假設(shè)是，那具體的格式是什么？“Microsoft”。這個很多地方都能看到，比方很多網(wǎng)站下面會寫明“Copyright(c)某某公司Corporation.Allrightsreserved.”意思就是全部權(quán)歸屬。7：一個desktop.ini里面[.ShellClassInfo]CLSID=ConfirmFileOp=1InfoTip=Containsapplicati