刪除威金病毒殘留的_desktop.ini檔案(轉貼)

yinyongliang發表於2006-11-10
最近幾天常常碰到名為“_desktop.ini”的一個隱藏檔案。經查是一種叫做威金的蠕蟲病毒。它的症狀是感染10MB以下的可執行程式,表現為改變程式的圖示,並且導致可執行程式不能被執行。計算機反應變慢,斷網等現象。通過網上下載的專殺工具試圖驅逐無果,刪是刪不掉的,它從你的計算機的最後一個盤向上不停的複製。似乎只有通從新分割槽後再做重做系統才會徹底。但是這樣,就丟了計算機上很多寶貴的東東。
這幾天被病毒害苦了,到處都是_desktop.ini

 批量刪除_desktop.ini的命令

現在使用DOS命令批量刪除_desktop.ini,如下:

  del d:\_desktop.ini /f/s/q/a

  強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini檔案並且不提示是否刪除

  /f 強制刪除只讀檔案

  /q 指定靜音狀態。不提示您確認刪除。

  /s 從當前目錄及其所有子目錄中刪除指定檔案。顯示正在被刪除的檔名。

  /a的意思是按照屬性來刪除了

  這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini檔案用的

手動清除方案:

1、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。

(1) 使用“程式管理”關閉病毒程式
(2) 刪除病毒檔案

%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統根目錄\_desktop.ini
系統根目錄\1.txt
系統根目錄\MH_FILE\MH_DLL.dll
系統根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量資料夾中釋放檔案_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe

(3) 恢復病毒修改的登錄檔專案,刪除病毒新增的登錄檔項

HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"

下面是病毒的詳細資料:
病毒名稱: Worm.Win32.Viking.p
病毒型別: 蠕蟲
檔案 MD5: E939658C090087B08A1CD498F2DB59B3
公開範圍: 完全公開
危害等級: 中
檔案長度: 1,025,308 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi V3.0
加殼型別: Upack 2.4 - 2.9 beta
命名對照: Symentec[W32.Looked.P]
      Mcafee[無]

該病毒屬蠕蟲類,病毒執行後釋放病毒檔案%WINDDIR%\rundl132.exe、系統盤根目錄\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,會在大量資料夾中釋放檔案_desktop.ini;連線網路,開啟埠,下載病毒檔案%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;開啟程式conime.exe及其自身,注入到程式explorer.exe中,修改登錄檔,新增啟動項,以達到隨機啟動的目的;感染大部分非系統檔案;病毒把自身加入到要感染的程式,在被感染的程式執行時,病毒也同時執行,但在執行一次後自動釋放病毒體,被感染檔案也恢復正常,隔段時間後病毒會再次感染此應用程式;病毒嘗試終止相關殺病毒軟體;病毒主要通過共享目錄、檔案捆綁、執行被感染病毒的程式、可帶病毒的郵件附件等方式進行傳播。

1、病毒執行後釋放病毒檔案:

%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統根目錄\_desktop.ini
系統根目錄\1.txt
系統根目錄\MH_FILE\MH_DLL.dll
系統根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量資料夾中釋放檔案_desktop.ini

2、連線網路,開啟埠,下載病毒檔案:
協議:TCP
IP:61.152.116.22
本地埠:隨機開啟本地1024以上埠,如:1156
下載病毒檔案:
路徑名:
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs

3、開啟程式conime.exe及其自身,注入到程式explorer.exe中。

4、修改登錄檔,新增啟動項,以達到隨機啟動的目的:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"

5、感染大部分非系統檔案,不感染下列資料夾中的檔案:

system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information

6、病毒嘗試終止相關殺病毒軟體。

7、病毒把自己身加入到要感染的程式,在被感染的程式執行時,病毒也同時執行,但在執行
一次後自動釋放病毒體,被感染檔案也恢復正常,隔段時間後病毒會再次感染此應用程式。

8、病毒主要通過共享目錄、檔案捆綁、執行被感染病毒的程式、可帶病毒的郵件附件等方式進行傳播。
注:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中預設的安裝路徑是C:\Winnt\System32,windows95/98/me中預設的安裝路徑是C:\Windows\System,windowsXP中預設的安裝路徑是C:\Windows\System32。

大家平時注意保護登錄檔一般都不會有什麼事的,有毒防毒無毒健體~~.大家有什麼更好的辦法也共享出來吧,中毒真的很慘,有時真的不得不屈服於防毒軟體商,一些新出的病毒中了想屈服都沒用,多瞭解多交流讓未中毒的兄弟防患於未然嘛.

相關文章