删除_desktop.ini

这几天被病毒害苦了，到处都是_desktop.ini
　　
　网上搜了一下。。基本搞定,　下面这个方法不错。

　批量删除_desktop.ini的命令

　　这几天来，中了不少病毒，重装系统两次，留下了无数个尸体，_desktop.ini文件，网上查到说是一种叫欢乐时光的病毒，现在使用DOS命令批量删除_desktop.ini，如下：

　　deld:\_desktop.ini/f/s/q/a

　　强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

　　/f强制删除只读文件

　　/q指定静音状态。不提示您确认删除。

　　/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

　　/a的意思是按照属性来删除了

　　这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的


手动清除方案：

１、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用“进程管理”关闭病毒进程
(2)删除病毒文件

%WINDDIR%\rundl132.exe
%ProgramFiles%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe

(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT
\CurrentVersion\Windows
键值:字串:"load"="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值:字串:"ver_down0"="0.859:Source:C:\WINDOWS\system32\_0000012_.tmp.dll(3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值:字串:"ver_down1"="0.687:2006/06/1320:52:04.23s444(local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值:字串:"ver_down2"="0.859:Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值:字串:"1"







下面是病毒的详细资料：
病毒名称：Worm.Win32.Viking.p
病毒类型：蠕虫
文件MD5：E939658C090087B08A1CD498F2DB59B3
公开范围：完全公开
危害等级：中
文件长度：1,025,308字节
感染系统：windows98以上版本
开发工具：BorlandDelphiV3.0
加壳类型：Upack2.4-2.9beta
命名对照：Symentec[W32.Looked.P]
　　　　　Mcafee[无]

该病毒属蠕虫类，病毒运行后释放病毒文件%WINDDIR%\rundl132.exe、系统盘根目录\_desktop.ini、% ProgramFiles%\_desktop.ini、桌面\viDll.dll，会在大量文件夹中释放文件_desktop.ini；连接网络，开 启端口，下载病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe；开启进程 conime.exe及其自身，注入到进程explorer.exe中，修改注册表，添加启动项，以达到随机启动的目的；感染大部分非系统文件；病毒把自 身加入到要感染的程序，在被感染的程序运行时，病毒也同时运行，但在运行一次后自动释放病毒体，被感染文件也恢复正常，隔段时间后病毒会再次感染此应用程 序；病毒尝试终止相关杀病毒软件；病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后释放病毒文件：

%WINDDIR%\rundl132.exe
%ProgramFiles%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini

2、连接网络，开启端口，下载病毒文件：
协议：TCP
IP：61.152.116.22
本地端口：随机开启本地1024以上端口，如：1156
下载病毒文件：
路径名：
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名：
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs


3、开启进程conime.exe及其自身，注入到进程explorer.exe中。

4、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
键值:字串:"load"="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值:字串:"ver_down0"="0.859:Source:C:\WINDOWS\system32\_0000012_.tmp.dll(3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值:字串:"ver_down1"="0.687:2006/06/1320:52:04.23s444(local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值:字串:"ver_down2"="0.859:Source:C:\WINDOWS\system32\_000006_.tmp.dll(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值:字串:"1"

5、感染大部分非系统文件，不感染下列文件夹中的文件：

system
system32
DocumentsandSettings
SystemVolumeInformation
Recycled
windor
WindowsNT
WindowsUpdate
WindowsMediaPlayer
InternetExplorer
ComPlusApplications
NetMeeting
CommonFiles
Messenger
MicrosoftOffice
InstallShieldInstallationInformation

6、病毒尝试终止相关杀病毒软件。

7、病毒把自己身加入到要感染的程序，在被感染的程序运行时，病毒也同时运行，但在运行
一次后自动释放病毒体，被感染文件也恢复正常，隔段时间后病毒会再次感染此应用程序。

8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注： %System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\ Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装 路径是C:\Windows\System32。