联系站长 加入收藏 设为首页 繁體中文 RSS
  首页 | 生活百科 | 电脑网络 | 高手学堂 | 语录名言 | 读书文学 | 极品软件 | 奇趣图片 | 站长微博  
 您的位置: 精品百字节网 >> 电脑网络 >> 网络安全 >> 病毒木马 >> 正文 当前没有通告!
   □  desktop.ini病毒专杀,维金专杀    3星级
desktop.ini病毒专杀,维金专杀
[ 作者:作者不详     来源:互连网     点击数:     更新时间:2006-11-11     文章录入:Admin
【字体:
[内容提要]
暂无简介

维金专杀:专杀desktop.ini病毒  维金专杀viKingKill.exe 专杀维金

专杀软件下载地址:http://www.100998.com/wenzhang/DownloadShow.asp?ID=42

典型特点:当你的电脑中有大量的desktop.ini,就意味着中了维金病毒。
维金Worm.Viking病毒及_desktop.ini的删除

注意:中毒后不要重启电脑,用以下办法清除、删除病毒后,重启电脑并按F8键选择“最后一次正

确的配置”来修复病毒所带来的负面影响。。。

一、病毒特点:
威胁级别:★★
病毒类型:蠕虫
影响系统:Win 9x/ME Win 2000/NT Win XP Win 2003

病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的

复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机

时可以自动运行,同时/病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下

载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接

感染目标计算机。运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用

户机器的可执行文件,给用户安全性构成危害。

病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播

1、病毒运行后将自身复制到Windows或相关文件夹下,名为rundl132.exe或者rundll32.exe。
2、病毒运行后,将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。
4、病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染,症状就是文件
  图标被修改,在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)。
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "load"="C:\\WINNT\\rundl132.exe"
  [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  "load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
  Ravmon.exe
  Eghost.exe
  Mailmon.exe
  KAVPFW.EXE
  IPARMOR.EXE
  Ravmond.exe
9、病毒尝试利用以下命令终止相关杀病毒软件:
  net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,
  并尝试用弱口令连接IPC$、admin$等共享目录,连接成功后进行网络感染。
11、不感染系统文件夹中的文件,如windows、system、system32、winnt等等。
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序

14、修改注册表将启动文件及内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]目录下的运行

rundll32.exe的值。

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\"

////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\"

/////"

二、清除病毒
    首先结束rundl132.exe、rundll32.exe、logo_1.exe及其他陌生进程,删除注册表启动项里

的病毒键值及相对应文件夹中的病毒文件,再用专杀工具清除病毒,最后就是删除_desktop.ini文

件了。该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,从硬盘分区搜索不到,一个个

文件夹搜索删除又太费劲,因此在这里要用到一个批处理命令del C:\_desktop.ini /f/s/q/a,该

命令的作用是在杀掉viking病毒之后清理系统内残留的文件,命令解释:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名
/a 是按照属性来删除
使用方法是开始/运行/cmd.exe,输入以上命令即可,首先是删除C盘中的_desktop.ini,然后依此

删除另外分区中的_desktop.ini文件

上一篇文章:常见病毒、木马进程速查表 下一篇文章:各类型病毒手工清除方法
发表评论 □告诉好友 □打印此文 □收藏此页 □关闭窗口 □返回顶部
 最新热点文章
 精品医院类网站网址大收集
 如何删除windows 2003或xp系统隐藏的...
 DedeCms管理员后台登陆经常自动退出的...
 知道IP如何用dos命令查出电脑名称
 WORD出错老是要求以安全模式打开文件...
 如何设置首页不显示页眉页脚?
 如何利用inurl命令查询网站外链及栏目...
 
 最新推荐文章
 精品医院类网站网址大收集
 如何利用宽带路由器控制局域网内电脑上...
 CSS圆角代码的实现方法
 带停顿的单行文字滚动代码
 实用的新网站免费收录提交地址精选
 Left join , Right Join, Inner Join用...
 趣话淘宝网衍生的多种新型职业
 
 最新图文
  ◇  网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!)
关于本站 | 免责申明 | 网站地图 | 联系站长 | 友情链接 | 与我同在
冀ICP备06032589号【虚拟化精英群虚拟化精英群续
  Copyright© 2006-2009 100byte.Com All Rights Reserved
网站声明:本网站是公益性质网站,部分内容来源于网络,如有侵犯您权利的地方,请与精品百字节站长联系,尽快修正.
Powered By CreateLive CMS 本站法律顾问:(冀港)武镇海律师
点击这里给我发消息