desktopini病毒清除方法

desktop.ini病毒去除方法威金Worm.Vikin〕-专杀及_desktop.ini删除很麻烦的威金Worm.Viking_desktop.ini的文件,才知道中了名为威金〔Worm.Viking〕的病毒,而安装的江民杀毒软件竟然杀不了,没方法了,只好上网查找解决方法,还真让我给找到了,问题解决了,方法不敢独享,介绍给机器出了同样问题的人.一、desktop.ini病毒特点:处理时间：2023-06-01威逼级别：★★病毒类型：蠕虫影响系统：Win9x/ME,Win2023/NT,WinXP,Win2023病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可染目标计算机。文件，给用户安全性构成危害。病毒主要通过共享名目、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进展传播。1、病毒运行后将自身复制到Windows文件夹下,文件名为:%SystemRoot%\rundl132.exe2、运行被感染的文件后，病毒将病毒体复制到为以下文件:%SystemRoot%\logo_1.exe3、同时病毒会在病毒文件夹下生成:病毒名目\vdll.dll4、病毒从Z盘开头向前搜寻全部可用分区中的exe文件，然后感染全部大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:_desktop.ini文件属性:系统、隐蔽。)5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“load“=“C:\\WINNT\\rundl132.exe“[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“load“=“C:\\WINNT\\rundl132.exe“7、病毒运行时尝试查找窗体名为:“RavMonClass“的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同时病毒尝试利用以下命令终止相关杀病毒软件：netstop“KingsoftAntiVirusService“10、发送ICMP探测数据“Hello,World“，推断网络状态，网络可用时，枚举内网全部共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享名目，连接成功后进展网络感染。11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:systemsystem32windowsdocumentsandsettingsRecycledwinntProgramFilesWindowsNTWindowsUpdateWindowsMediaPlayerOutlookExpressInternetExplorerComPlusApplicationsNetMeetingCommonFilesMessengerOfficeInstallShieldInstallationInformationMSNFrontMovieMakerMSNGamingZone12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:ExplorerIexplore找到符合条件的进程后随机注入以上两个进程中的其中一个。13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:://17**/gua/zt.txt保存为:c:\1.txt://17**/gua/wow.txt保存为:c:\1.txt://17**/gua/mx.txt保存为:c:\1.txt://17**/gua/zt.exe保存为:%SystemRoot%Sy.exe://17**/gua/wow.exe保存为:%SystemRoot%\1Sy.exe://17**/gua/mx.exe保存为:%SystemRoot%\2Sy.exe注：三个程序都为木马程序14、病毒会将下载后的“1.txt“的内容添加到以下相关注册表项：[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto“=“1“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]“ver_down0“=“[bootloader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++““ver_down1“=“[bootloader]timeout=30[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“////““ver_down2“=“default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“/////“二、desktop.ini毒删除方法该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，明显太费力〔机器的操作系统因安装在NTFS件夹无一幸免，因此在这里介绍给大家一个批处理命令deld:\_desktop.ini/f/s/q/a，该命令的作用是：强制删除d盘下所知名目内〔包括d盘本身〕的_desktop.ini文件并且不提示是否删除/f强制删除只读文件/q指定静音状态。不提示您确认删除。/s从当前名目及其全部子名目中删除指定文件。显示正在被删除的文件名。/a的意思是依据属性来删除了这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的使用方法是开头全部程序附件命令提示符，键入上述命令〔也可复制粘贴，首先删除D中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。至此，该病毒对机器造成的影响全部消退。Desktop.ini文件详解由于有局部病毒会在文件夹下创立desktop.ini对该文件产生了错误的生疏，认为是病毒文件。其实这是错误的，desktop.ini与病毒并没有多深的渊源，desktop.ini是系统可识别的一个文件，作用是存储用户对文件夹的共性设置；而病毒所创立的desktop.ini则不同〔内容依病毒的不同而异，可以是感染日期或其它的有意无意字符〔串。下面介绍desktop.ini〔desktop.ini还有一个特别的CLSI发消息到百度知道id：ziyouzhuiqiu200分〕一、文件夹图标[.ShellClassInfo]InfoTip=注释IconFile=图标文件的路径IconIndex=选择要使用文件中的第几个图标自定义图标文件，其扩展名可以是.exe、.dll、.ico等。二、文件夹背景[ExtShellFolderViews]{BE098140-A513-11D0-A3A4-00C04FD706EC}={BE098140-A513-11D0-A3A4-00C04FD706EC}[{BE098140-A513-11D0-A3A4-00C04FD706EC}]Attributes=1IconArea_Image=11.jpg[.ShellClassInfo]ConfirmFileOp=50其中11.jpgdesktop.ini，和背景图片一起放在要转变背景的文件夹内。为了防止误删，可以把desktop.ini和图片设为隐蔽属性。三、标示特别文件夹系统中有一些特别的文件夹，如回收站、我的电脑、我的文档、网上邻居等。这些文件夹的标示有两种方法：直接在文件夹名后续上一个“.“在加对应的CLSID如：把一个文件夹取名为：建文件夹.{20D04FE0-3AEA-1069-A2D8-08002B30309D}〔留意：建文件夹后面有一个半角的句号〕那么这个文件夹的图标将变为我的电脑的图标，并且在双击该文件夹时将翻开我的电脑。在下面查看CLSID在注册表中开放HKEY_CLASSES_ROOT\CLSID\CLSID分支下面就可以看到很多ID，这些ID对应的都是系统里面不同的程序，文件，系统组件等常见组件类对应的CLSID:我的文档：450D8FBA-AD25-11D0-98A8-0800361B1103我的电脑：20D04FE0-3AEA-1069-A2D8-08002B30309D网上邻居：208D2C60-3AEA-1069-A2D7-08002B30309D回收站：645FF040-5081-101B-9F08-00AA002F954EInternetExplorer：871C5380-42A0-1069-A2EA-08002B30309D把握面板：21EC2023-3AEA-1069-A2DD-08002B30309D拨号网络/网络连接:992CFFA0-F557-101A-88EC-00DD010CCC48任务打算:D6277990-4C6A-11CF-8D87-00AA0060F5BF打印机(和):2227A280-3AEA-1069-A2DE-08002B30309D历史文件夹:7BD29E00-76C1-11CF-9DD0-00A0C9034933ActiveX缓存文件夹:88C6C381-2E85-11D0-94DE-444553540000公文包:85BBD920-42A0-1069-A2E4-08002B30309D其次种是通过一个desktop.ini文件还以我的电脑为例:建一个文件夹,名字任凭,然后在其下边建立desktop.ini文件,内容如下:[.ShellClassInfo]CLSID={相应的ID}注:有局部病毒会建立这样的文件夹以到达隐蔽自身的目的.另外这也是一种我们隐蔽小隐秘的方法.四、标示文件夹全部者这通常见于我的文档等如我的文档里就有这样一个文件，内容如下：[DeleteOnCopy]Owner=AdministratorPersonalized=5PersonalizedName=MyDocuments五、转变文件夹颜色关于这项功能的实现需要注册一个.dll文件ColorFolder.dll。具体状况本人由于未曾尝试，故不能供给相应内容，以下是本人在网上搜到的以供参考。转变文件夹颜色[.ShellClassInfo]IconFile=ColorFolder.dllIconIndex=0保存为deskto.ini文件，连同ColorFolder.dll文件〔Mikebox网盘里有下载〕假设想同时添加背景图片及转变文件夹内文件名颜色！[ExtShellFolderViews]IconArea_Text=0x000000FFAttributes=1IconArea_Image=bg04.jpg[.ShellClassInfo]ConfirmFileOp=0把名字为bg04.jpg的图片也放到同一个文件夹里以转变文件夹的背景图片了！更换bg04.jpg图片，并修改红色位置的名称〔bg04.jpg〕为更〔jpg格式的0x000000FF就可以变文件颜色为你想要的颜色！0x000000FF为红色，0x00008000为绿色，0x00FF00000x00FFFFFF〔转变颜色也要有动态链接库文件的支持〕注册动态链接库：请在开头“regsvr32ColorFolder.dll“〔不包括引号，regsvr32和ColorFolder.dll〕注册动态链接库到系统即可！修改完desktop.ini〔attrib+s相应文件夹的路径[编辑本段]Desktop.ini病毒的介绍该病毒为Windows平台下集成可执行文件感染、网络感内网的全部可用共享，并尝试通过弱口令方式连接感染目标计算机。的可执行文件，给用户安全性构成危害。式进展传播。1、病毒运行后将自身复制到Windows文件夹下,文件名为:%SystemRoot%\rundl132.exe2、运行被感染的文件后，病毒将病毒体复制到为以下文件:%SystemRoot%\logo_1.exe3、同时病毒会在病毒文件夹下生成:病毒名目\vdll.dll4Z盘开头向前搜寻全部可用分区中的exe文件27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:_desktop.ini(文件属性:系统、隐蔽。)5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“load“=“C:\\WINNT\\rundl132.exe“[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“load“=“C:\\WINNT\\rundl132.exe“7、病毒运行时尝试查找窗体名为:“RavMonClass“的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同时病毒尝试利用以下命令终止相关杀病毒软件：netstop“KingsoftAntiVirusService“10ICMP探测数据“Hello,World“，推断网络状态，网络可用时，\\IPC$、\admin$等共享名目，连接成功后进展网络感染。11exe文件，但不感染以下文件夹中的文件:systemsystem32windowsDocumentsandsettingssystemVolumeInformationRecycledwinntProgramFilesWindowsNTWindowsUpdateWindowsMediaPlayerOutlookExpressInternetExplorerComPlusApplicationsNetMeetingCommonFilesMessengerMicrosoftOfficeInstallShieldInstallationInformationMSNMicrosoftFrontMovieMakerMSNGamingZone12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:ExplorerIexplore找到符合条件的进程后随机注入以上两个进程中的其中一个。13、当外网可用时，被注入的dll文件尝试连接一些网站下载并运行相关程序，位置具体为：c:\1.txt、:%SystemRoot%\0Sy.exe、:%SystemRoot%\1Sy.exe、:%SystemRoot%\2Sy.exe14、病毒会将下载后的“1.txt“的内容添加到以下相关注册表项：[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto“=“1“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]“ver_down0“=“[bootloader]\\\\\\\\\\\\\\\\““ver_down1“=“[bootloader]timeout=30[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“////“

“ver_down2“=“default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\“MicrosoftWindowsXPProfessional\“/////“

DESKTOP病毒的去除方法C:\WINDOWS\rundl132.exeC:\WINDOWS\logo_1.exe病毒所在名目\vidll.dll2、添加注册表信息[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“load”“C:\WINDOWS\rundl132.exe”[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]“load”“C:\WINDOWS\rundl132.exe”[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto”=“1”3、感染局部exe文件，并在被感染exe文件所在名目释放_desktop.ini4hosts文件C:\WINDOWS\system32\drivers\etc\hosts5、vidll.dllexplorer.exeiexplore.exe6、停掉局部安全软件的进程解决过程：1rundl132.exe的进程，并删除C:\WINDOWS\rundl132.exe2、搜查找到并删除vidll.dll可以通过SSM自动启动来禁用vidll.dll，重启动后删除vidll.dll或停顿其插入的进程，再删除该dll文件，假设它插入了explorer.exe这个进程，那么翻开ALTCTRLDeletexplorer.exevidll.dll文件然后用任务治理器上面的标签文件＝＝＝建任务＝＝＝扫瞄，找到并运行C:\WINDOWS\Explorer.exe3、删除其在注册表中创立的信息及其他病毒文件_desktop.ini、logo_1.exe4hosts文件，hosts文件用记事本翻开C:\WINDOWS\system32\drivers\etc\hostsDESKTOP的去除方式电脑中了desktop.ini病毒之后会在硬盘全部的分区内创立假设干个诸如desktop_1.ini、desktop_2.ini之类的病毒体，一般在系统下删除这些文件中的任何一个，病毒马上就会建一个一样的文件。通常遇到这样的病毒体，我们可以一次性在DOS下删除全局部区的病毒体，这个就需要借助批处理了。具体做法如下：翻开记事本，然后复制如下代码进去：再改成bat格式cd\c:delDesktop_*.ini/f/s/q/ahcd\d:delDesktop_*.ini/f/s/q/ahcd\e:delDesktop_*.ini/f/s/q/ahcd\f:delDesktop_*.ini/f/s/q/ahcd\g:delDesktop_*.ini/f/s/q/ah然后双击运行即可删除全部的病毒体了。一些常见疑问：1：治理工具文件夹里面的desktop.ini中[LocalizedFileNames]这个什么意思？答：[LocalizedFileNames]是“局限性文件名称”也就是把握文件的标识。2：一个desktop.ini里面[.shellclassinfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21762这个起什么作用？前面LocalizedResourceName这个又是起什么作用？后面-21762这个又是起什么作用？依据什么原理？LocalizedResourceName是“局限性资源名称”后面的是名称引用的地址，留意SHELL32.DLL动态链接库中记录了很多这类的信息ICO-21762是一个ID，也可以理解成INDEX索引。3：一个desktop.ini里面InfoTip是指向文件夹时的说明，但是infotip=@Shell32.dll,-12690这个什么意思infotip是“信息提示”后边连接还是SHELL32.DLL。后面的-12690也是一个索引编号。4：一个desktop.ini里面IconFile是指图标的文件夹路径IconFile=%SystemRoot%\system32\SHELL32.dllICONINDEX=-238是指图表文件名，但是-238是哪个图标，这些图标放在哪个文件夹，怎么可以清楚的看到这些图标的列表，以及外面引用的数字代表的是哪个图标，比方说-238是代表哪个图标。答：连续参考前两个问题的答案，ICONFILE是“ICO图标文件”，后面的我不再多解释片，然后再比照索引来定位所指定的图片。5：一个desktop.ini里面[DeleteOnCopy]Owner=JedPersonalized=14PersonalizedName=MyVideos这些什么意思？“我的文档”中“我的视频”desktop.ini“Owner=Jed”的意思是当前文件夹是属于“Jed”“Personalized=14”的意思是私人使用的私有化属性，14是什么意思没弄明白，“PersonalizedName=MyVideos”的意思是此私有文档名称为“MyVideos”。6：一个desktop.ini里面，开头;==++==;;Copyright(c)MicrosoftCorporation.Allrightsreserved.;;==--==这些是什么意思？是不是跟HTML代码的<! >中注释的功能一样呢？假设是，那具体的格式是什么？“Microsoft”。这个很多地方都能看到，比方很多网站下面会写明“Copyright(c)某某公司Corporation.Allrightsreserved.”意思就是全部权归属。7：一个desktop.ini里面[.ShellClassInfo]CLSID=ConfirmFileOp=1InfoTip=Containsapplicati