desktopini病毒清除方法

desktop.ini病毒去除方法威金Worm.Vikin〕-專殺及_desktop.ini刪除很麻煩的威金Worm.Viking_desktop.ini的文件,才知道中了名為威金〔Worm.Viking〕的病毒,而安裝的江民殺毒軟件竟然殺不了,沒(méi)方法了,只好上網(wǎng)查找解決方法,還真讓我給找到了,問(wèn)題解決了,方法不敢獨(dú)享,介紹給機(jī)器出了同樣問(wèn)題的人.一、desktop.ini病毒特點(diǎn):處理時(shí)間：2023-06-01威逼級(jí)別：★★病毒類型：蠕蟲(chóng)影響系統(tǒng)：Win9x/ME,Win2023/NT,WinXP,Win2023病毒行為:該病毒為Windows平臺(tái)下集成可執(zhí)行文件感染、網(wǎng)絡(luò)感染、下載網(wǎng)絡(luò)木馬或其它病毒的復(fù)合型病毒，病毒運(yùn)行后將自身偽裝成系統(tǒng)正常文件，以迷惑用戶，通過(guò)修改注冊(cè)表項(xiàng)使病毒開(kāi)機(jī)時(shí)可染目標(biāo)計(jì)算機(jī)。文件，給用戶安全性構(gòu)成危害。病毒主要通過(guò)共享名目、文件捆綁、運(yùn)行被感染病毒的程序、可帶病毒的郵件附件等方式進(jìn)展傳播。1、病毒運(yùn)行后將自身復(fù)制到Windows文件夾下,文件名為:%SystemRoot%\rundl132.exe2、運(yùn)行被感染的文件后，病毒將病毒體復(fù)制到為以下文件:%SystemRoot%\logo_1.exe3、同時(shí)病毒會(huì)在病毒文件夾下生成:病毒名目\vdll.dll4、病毒從Z盤開(kāi)頭向前搜尋全部可用分區(qū)中的exe文件，然后感染全部大小27kb-10mb的可執(zhí)行文件，感染完畢在被感染的文件夾中生成:_desktop.ini文件屬性:系統(tǒng)、隱蔽。)5、病毒會(huì)嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通過(guò)添加如下注冊(cè)表項(xiàng)實(shí)現(xiàn)病毒開(kāi)機(jī)自動(dòng)運(yùn)行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“l(fā)oad“=“C:\\WINNT\\rundl132.exe“[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“l(fā)oad“=“C:\\WINNT\\rundl132.exe“7、病毒運(yùn)行時(shí)嘗試查找窗體名為:“RavMonClass“的程序，查找到窗體后發(fā)送消息關(guān)閉該程序。8、枚舉以下殺毒軟件進(jìn)程名，查找到后終止其進(jìn)程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同時(shí)病毒嘗試?yán)靡韵旅罱K止相關(guān)殺病毒軟件：netstop“KingsoftAntiVirusService“10、發(fā)送ICMP探測(cè)數(shù)據(jù)“Hello,World“，推斷網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)可用時(shí)，枚舉內(nèi)網(wǎng)全部共享主機(jī)，并嘗試用弱口令連接\\IPC$、\admin$等共享名目，連接成功后進(jìn)展網(wǎng)絡(luò)感染。11、感染用戶機(jī)器上的exe文件，但不感染以下文件夾中的文件:systemsystem32windowsdocumentsandsettingsRecycledwinntProgramFilesWindowsNTWindowsUpdateWindowsMediaPlayerOutlookExpressInternetExplorerComPlusApplicationsNetMeetingCommonFilesMessengerOfficeInstallShieldInstallationInformationMSNFrontMovieMakerMSNGamingZone12、枚舉系統(tǒng)進(jìn)程，嘗試將病毒dll(vdll.dll)選擇性注入以下進(jìn)程名對(duì)應(yīng)的進(jìn)程:ExplorerIexplore找到符合條件的進(jìn)程后隨機(jī)注入以上兩個(gè)進(jìn)程中的其中一個(gè)。13、當(dāng)外網(wǎng)可用時(shí)，被注入的dll文件嘗試連接以下網(wǎng)站下載并運(yùn)行相關(guān)程序:://17**/gua/zt.txt保存為:c:\1.txt://17**/gua/wow.txt保存為:c:\1.txt://17**/gua/mx.txt保存為:c:\1.txt://17**/gua/zt.exe保存為:%SystemRoot%Sy.exe://17**/gua/wow.exe保存為:%SystemRoot%\1Sy.exe://17**/gua/mx.exe保存為:%SystemRoot%\2Sy.exe注：三個(gè)程序都為木馬程序14、病毒會(huì)將下載后的“1.txt“的內(nèi)容添加到以下相關(guān)注冊(cè)表項(xiàng)：[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto“=“1“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]“ver_down0“=“[bootloader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++““ver_down1“=“[bootloader]timeout=30[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“////““ver_down2“=“default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“/////“二、desktop.ini毒刪除方法該病毒會(huì)在每個(gè)文件夾中生成一個(gè)名為_(kāi)desktop.ini的文件，一個(gè)個(gè)去刪除，明顯太費(fèi)力〔機(jī)器的操作系統(tǒng)因安裝在NTFS件夾無(wú)一幸免，因此在這里介紹給大家一個(gè)批處理命令deld:\_desktop.ini/f/s/q/a，該命令的作用是：強(qiáng)制刪除d盤下所知名目?jī)?nèi)〔包括d盤本身〕的_desktop.ini文件并且不提示是否刪除/f強(qiáng)制刪除只讀文件/q指定靜音狀態(tài)。不提示您確認(rèn)刪除。/s從當(dāng)前名目及其全部子名目中刪除指定文件。顯示正在被刪除的文件名。/a的意思是依據(jù)屬性來(lái)刪除了這個(gè)命令的作用是在殺掉viking病毒之后清理系統(tǒng)內(nèi)殘留的_desktop.ini文件用的使用方法是開(kāi)頭全部程序附件命令提示符，鍵入上述命令〔也可復(fù)制粘貼，首先刪除D中的_desktop.ini，然后依此刪除另外盤中的_desktop.ini。至此，該病毒對(duì)機(jī)器造成的影響全部消退。Desktop.ini文件詳解由于有局部病毒會(huì)在文件夾下創(chuàng)立desktop.ini對(duì)該文件產(chǎn)生了錯(cuò)誤的生疏，認(rèn)為是病毒文件。其實(shí)這是錯(cuò)誤的，desktop.ini與病毒并沒(méi)有多深的淵源，desktop.ini是系統(tǒng)可識(shí)別的一個(gè)文件，作用是存儲(chǔ)用戶對(duì)文件夾的共性設(shè)置；而病毒所創(chuàng)立的desktop.ini則不同〔內(nèi)容依病毒的不同而異，可以是感染日期或其它的有意無(wú)意字符〔串。下面介紹desktop.ini〔desktop.ini還有一個(gè)特別的CLSI發(fā)消息到百度知道id：ziyouzhuiqiu200分〕一、文件夾圖標(biāo)[.ShellClassInfo]InfoTip=注釋IconFile=圖標(biāo)文件的路徑IconIndex=選擇要使用文件中的第幾個(gè)圖標(biāo)自定義圖標(biāo)文件，其擴(kuò)展名可以是.exe、.dll、.ico等。二、文件夾背景[ExtShellFolderViews]{BE098140-A513-11D0-A3A4-00C04FD706EC}={BE098140-A513-11D0-A3A4-00C04FD706EC}[{BE098140-A513-11D0-A3A4-00C04FD706EC}]Attributes=1IconArea_Image=11.jpg[.ShellClassInfo]ConfirmFileOp=50其中11.jpgdesktop.ini，和背景圖片一起放在要轉(zhuǎn)變背景的文件夾內(nèi)。為了防止誤刪，可以把desktop.ini和圖片設(shè)為隱蔽屬性。三、標(biāo)示特別文件夾系統(tǒng)中有一些特別的文件夾，如回收站、我的電腦、我的文檔、網(wǎng)上鄰居等。這些文件夾的標(biāo)示有兩種方法：直接在文件夾名后續(xù)上一個(gè)“.“在加對(duì)應(yīng)的CLSID如：把一個(gè)文件夾取名為：建文件夾.{20D04FE0-3AEA-1069-A2D8-08002B30309D}〔留意：建文件夾后面有一個(gè)半角的句號(hào)〕那么這個(gè)文件夾的圖標(biāo)將變?yōu)槲业碾娔X的圖標(biāo)，并且在雙擊該文件夾時(shí)將翻開(kāi)我的電腦。在下面查看CLSID在注冊(cè)表中開(kāi)放HKEY_CLASSES_ROOT\CLSID\CLSID分支下面就可以看到很多ID，這些ID對(duì)應(yīng)的都是系統(tǒng)里面不同的程序，文件，系統(tǒng)組件等常見(jiàn)組件類對(duì)應(yīng)的CLSID:我的文檔：450D8FBA-AD25-11D0-98A8-0800361B1103我的電腦：20D04FE0-3AEA-1069-A2D8-08002B30309D網(wǎng)上鄰居：208D2C60-3AEA-1069-A2D7-08002B30309D回收站：645FF040-5081-101B-9F08-00AA002F954EInternetExplorer：871C5380-42A0-1069-A2EA-08002B30309D把握面板：21EC2023-3AEA-1069-A2DD-08002B30309D撥號(hào)網(wǎng)絡(luò)/網(wǎng)絡(luò)連接:992CFFA0-F557-101A-88EC-00DD010CCC48任務(wù)打算:D6277990-4C6A-11CF-8D87-00AA0060F5BF打印機(jī)(和):2227A280-3AEA-1069-A2DE-08002B30309D歷史文件夾:7BD29E00-76C1-11CF-9DD0-00A0C9034933ActiveX緩存文件夾:88C6C381-2E85-11D0-94DE-444553540000公文包:85BBD920-42A0-1069-A2E4-08002B30309D其次種是通過(guò)一個(gè)desktop.ini文件還以我的電腦為例:建一個(gè)文件夾,名字任憑,然后在其下邊建立desktop.ini文件,內(nèi)容如下:[.ShellClassInfo]CLSID={相應(yīng)的ID}注:有局部病毒會(huì)建立這樣的文件夾以到達(dá)隱蔽自身的目的.另外這也是一種我們隱蔽小隱秘的方法.四、標(biāo)示文件夾全部者這通常見(jiàn)于我的文檔等如我的文檔里就有這樣一個(gè)文件，內(nèi)容如下：[DeleteOnCopy]Owner=AdministratorPersonalized=5PersonalizedName=MyDocuments五、轉(zhuǎn)變文件夾顏色關(guān)于這項(xiàng)功能的實(shí)現(xiàn)需要注冊(cè)一個(gè).dll文件ColorFolder.dll。具體狀況本人由于未曾嘗試，故不能供給相應(yīng)內(nèi)容，以下是本人在網(wǎng)上搜到的以供參考。轉(zhuǎn)變文件夾顏色[.ShellClassInfo]IconFile=ColorFolder.dllIconIndex=0保存為deskto.ini文件，連同ColorFolder.dll文件〔Mikebox網(wǎng)盤里有下載〕假設(shè)想同時(shí)添加背景圖片及轉(zhuǎn)變文件夾內(nèi)文件名顏色！[ExtShellFolderViews]IconArea_Text=0x000000FFAttributes=1IconArea_Image=bg04.jpg[.ShellClassInfo]ConfirmFileOp=0把名字為bg04.jpg的圖片也放到同一個(gè)文件夾里以轉(zhuǎn)變文件夾的背景圖片了！更換bg04.jpg圖片，并修改紅色位置的名稱〔bg04.jpg〕為更〔jpg格式的0x000000FF就可以變文件顏色為你想要的顏色！0x000000FF為紅色，0x00008000為綠色，0x00FF00000x00FFFFFF〔轉(zhuǎn)變顏色也要有動(dòng)態(tài)鏈接庫(kù)文件的支持〕注冊(cè)動(dòng)態(tài)鏈接庫(kù)：請(qǐng)?jiān)陂_(kāi)頭“regsvr32ColorFolder.dll“〔不包括引號(hào)，regsvr32和ColorFolder.dll〕注冊(cè)動(dòng)態(tài)鏈接庫(kù)到系統(tǒng)即可！修改完desktop.ini〔attrib+s相應(yīng)文件夾的路徑[編輯本段]Desktop.ini病毒的介紹該病毒為Windows平臺(tái)下集成可執(zhí)行文件感染、網(wǎng)絡(luò)感內(nèi)網(wǎng)的全部可用共享，并嘗試通過(guò)弱口令方式連接感染目標(biāo)計(jì)算機(jī)。的可執(zhí)行文件，給用戶安全性構(gòu)成危害。式進(jìn)展傳播。1、病毒運(yùn)行后將自身復(fù)制到Windows文件夾下,文件名為:%SystemRoot%\rundl132.exe2、運(yùn)行被感染的文件后，病毒將病毒體復(fù)制到為以下文件:%SystemRoot%\logo_1.exe3、同時(shí)病毒會(huì)在病毒文件夾下生成:病毒名目\vdll.dll4Z盤開(kāi)頭向前搜尋全部可用分區(qū)中的exe文件27kb-10mb的可執(zhí)行文件，感染完畢在被感染的文件夾中生成:_desktop.ini(文件屬性:系統(tǒng)、隱蔽。)5、病毒會(huì)嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通過(guò)添加如下注冊(cè)表項(xiàng)實(shí)現(xiàn)病毒開(kāi)機(jī)自動(dòng)運(yùn)行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“l(fā)oad“=“C:\\WINNT\\rundl132.exe“[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“l(fā)oad“=“C:\\WINNT\\rundl132.exe“7、病毒運(yùn)行時(shí)嘗試查找窗體名為:“RavMonClass“的程序，查找到窗體后發(fā)送消息關(guān)閉該程序。8、枚舉以下殺毒軟件進(jìn)程名，查找到后終止其進(jìn)程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同時(shí)病毒嘗試?yán)靡韵旅罱K止相關(guān)殺病毒軟件：netstop“KingsoftAntiVirusService“10ICMP探測(cè)數(shù)據(jù)“Hello,World“，推斷網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)可用時(shí)，\\IPC$、\admin$等共享名目，連接成功后進(jìn)展網(wǎng)絡(luò)感染。11exe文件，但不感染以下文件夾中的文件:systemsystem32windowsDocumentsandsettingssystemVolumeInformationRecycledwinntProgramFilesWindowsNTWindowsUpdateWindowsMediaPlayerOutlookExpressInternetExplorerComPlusApplicationsNetMeetingCommonFilesMessengerMicrosoftOfficeInstallShieldInstallationInformationMSNMicrosoftFrontMovieMakerMSNGamingZone12、枚舉系統(tǒng)進(jìn)程，嘗試將病毒dll(vdll.dll)選擇性注入以下進(jìn)程名對(duì)應(yīng)的進(jìn)程:ExplorerIexplore找到符合條件的進(jìn)程后隨機(jī)注入以上兩個(gè)進(jìn)程中的其中一個(gè)。13、當(dāng)外網(wǎng)可用時(shí)，被注入的dll文件嘗試連接一些網(wǎng)站下載并運(yùn)行相關(guān)程序，位置具體為：c:\1.txt、:%SystemRoot%\0Sy.exe、:%SystemRoot%\1Sy.exe、:%SystemRoot%\2Sy.exe14、病毒會(huì)將下載后的“1.txt“的內(nèi)容添加到以下相關(guān)注冊(cè)表項(xiàng)：[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto“=“1“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]“ver_down0“=“[bootloader]\\\\\\\\\\\\\\\\““ver_down1“=“[bootloader]timeout=30[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“////“

“ver_down2“=“default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“/////“

DESKTOP病毒的去除方法C:\WINDOWS\rundl132.exeC:\WINDOWS\logo_1.exe病毒所在名目\vidll.dll2、添加注冊(cè)表信息[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“l(fā)oad”“C:\WINDOWS\rundl132.exe”[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“l(fā)oad”“C:\WINDOWS\rundl132.exe”[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto”=“1”3、感染局部exe文件，并在被感染exe文件所在名目釋放_(tái)desktop.ini4hosts文件C:\WINDOWS\system32\drivers\etc\hosts5、vidll.dllexplorer.exeiexplore.exe6、停掉局部安全軟件的進(jìn)程解決過(guò)程：1rundl132.exe的進(jìn)程，并刪除C:\WINDOWS\rundl132.exe2、搜查找到并刪除vidll.dll可以通過(guò)SSM自動(dòng)啟動(dòng)來(lái)禁用vidll.dll，重啟動(dòng)后刪除vidll.dll或停頓其插入的進(jìn)程，再刪除該dll文件，假設(shè)它插入了explorer.exe這個(gè)進(jìn)程，那么翻開(kāi)ALTCTRLDeletexplorer.exevidll.dll文件然后用任務(wù)治理器上面的標(biāo)簽文件＝＝＝建任務(wù)＝＝＝掃瞄，找到并運(yùn)行C:\WINDOWS\Explorer.exe3、刪除其在注冊(cè)表中創(chuàng)立的信息及其他病毒文件_desktop.ini、logo_1.exe4hosts文件，hosts文件用記事本翻開(kāi)C:\WINDOWS\system32\drivers\etc\hostsDESKTOP的去除方式電腦中了desktop.ini病毒之后會(huì)在硬盤全部的分區(qū)內(nèi)創(chuàng)立假設(shè)干個(gè)諸如desktop_1.ini、desktop_2.ini之類的病毒體，一般在系統(tǒng)下刪除這些文件中的任何一個(gè)，病毒馬上就會(huì)建一個(gè)一樣的文件。通常遇到這樣的病毒體，我們可以一次性在DOS下刪除全局部區(qū)的病毒體，這個(gè)就需要借助批處理了。具體做法如下：翻開(kāi)記事本，然后復(fù)制如下代碼進(jìn)去：再改成bat格式cd\c:delDesktop_*.ini/f/s/q/ahcd\d:delDesktop_*.ini/f/s/q/ahcd\e:delDesktop_*.ini/f/s/q/ahcd\f:delDesktop_*.ini/f/s/q/ahcd\g:delDesktop_*.ini/f/s/q/ah然后雙擊運(yùn)行即可刪除全部的病毒體了。一些常見(jiàn)疑問(wèn)：1：治理工具文件夾里面的desktop.ini中[LocalizedFileNames]這個(gè)什么意思？答：[LocalizedFileNames]是“局限性文件名稱”也就是把握文件的標(biāo)識(shí)。2：一個(gè)desktop.ini里面[.shellclassinfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21762這個(gè)起什么作用？前面LocalizedResourceName這個(gè)又是起什么作用？后面-21762這個(gè)又是起什么作用？依據(jù)什么原理？LocalizedResourceName是“局限性資源名稱”后面的是名稱引用的地址，留意SHELL32.DLL動(dòng)態(tài)鏈接庫(kù)中記錄了很多這類的信息ICO-21762是一個(gè)ID，也可以理解成INDEX索引。3：一個(gè)desktop.ini里面InfoTip是指向文件夾時(shí)的說(shuō)明，但是infotip=@Shell32.dll,-12690這個(gè)什么意思infotip是“信息提示”后邊連接還是SHELL32.DLL。后面的-12690也是一個(gè)索引編號(hào)。4：一個(gè)desktop.ini里面IconFile是指圖標(biāo)的文件夾路徑IconFile=%SystemRoot%\system32\SHELL32.dllICONINDEX=-238是指圖表文件名，但是-238是哪個(gè)圖標(biāo)，這些圖標(biāo)放在哪個(gè)文件夾，怎么可以清楚的看到這些圖標(biāo)的列表，以及外面引用的數(shù)字代表的是哪個(gè)圖標(biāo)，比方說(shuō)-238是代表哪個(gè)圖標(biāo)。答：連續(xù)參考前兩個(gè)問(wèn)題的答案，ICONFILE是“ICO圖標(biāo)文件”，后面的我不再多解釋片，然后再比照索引來(lái)定位所指定的圖片。5：一個(gè)desktop.ini里面[DeleteOnCopy]Owner=JedPersonalized=14PersonalizedName=MyVideos這些什么意思？“我的文檔”中“我的視頻”desktop.ini“Owner=Jed”的意思是當(dāng)前文件夾是屬于“Jed”“Personalized=14”的意思是私人使用的私有化屬性，14是什么意思沒(méi)弄明白，“PersonalizedName=MyVideos”的意思是此私有文檔名稱為“MyVideos”。6：一個(gè)desktop.ini里面，開(kāi)頭;==++==;;Copyright(c)MicrosoftCorporation.Allrightsreserved.;;==--==這些是什么意思？是不是跟HTML代碼的<! >中注釋的功能一樣呢？假設(shè)是，那具體的格式是什么？“Microsoft”。這個(gè)很多地方都能看到，比方很多網(wǎng)站下面會(huì)寫明“Copyright(c)某某公司Corporation.Allrightsreserved.”意思就是全部權(quán)歸屬。7：一個(gè)desktop.ini里面[.ShellClassInfo]CLSID=ConfirmFileOp=1InfoTip=Containsapplicati