彻底清除_Desktopini

如何彻底清除_Desktop.ini悬赏分：30-解决时间：2007-2-2421:30最近局域网服务器中了此招，里面有大量的_Desktop.ini文件（请注意产生的文件是_Desktop.ini而非Desktop.ini），通过手动全部删除后，过几十分钟，又会出现。在打印机闲置时它会自已打印，而且只打印一个日期。都已经有两天了。请教高手，如何彻底清除此病毒。不要告诉我重做系统，这电脑为公司主域服务器，不能重做的。问题补充：我在瑞星网站上下载了威金专杀工具(V1.2)，我都已经看到，可那个专杀软件却不知道。全部过了一篇所有文件，一个病毒都没有监测出来。--------------------------------------------------你们说的那些什么rundl132.exe文件我没有找到.无此文件.今天已经进入第四天了,_Desktop.ini还是在不断产生.--------------------------------------------------2006.11.4目前问题还是没有解决呀，手动删除还有会产生，过几秒钟就又产生了。不可能一直去点那个批处理文件呀。而且这样子电脑的性能也在急剧下降。有没有别的方法根治哦！提问者：shamohai629-试用期一级最佳答案一、该病毒特点:处理时间：2006-06-01威胁级别：★★病毒类型：蠕虫影响系统：Win9x/ME,Win2000/NT,WinXP,Win2003病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、病毒运行后将自身复制到Windows文件夹下,文件名为:%SystemRoot%\rundl132.exe2、运行被感染的文件后，病毒将病毒体复制到为以下文件:%SystemRoot%\logo_1.exe3、同时病毒会在病毒文件夹下生成:病毒目录\vdll.dll4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:_desktop.ini(文件属性:系统、隐藏。)5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"load"="C:\\WINNT\\rundl132.exe"[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]"load"="C:\\WINNT\\rundl132.exe"7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同时病毒尝试利用以下命令终止相关杀病毒软件：netstop"KingsoftAntiVirusService"10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接[url=file://\\IPC$]\\IPC$[/url]、\admin$等共享目录，连接成功后进行网络感染。11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:systemsystem32windowsdocumentsandsettingssystemVolumeInformationRecycledwinntProgramFilesWindowsNTWindowsUpdateWindowsMediaPlayerOutlookExpressInternetExplorerComPlusApplicationsNetMeetingCommonFilesMessengerMicrosoftOfficeInstallShieldInstallationInformationMSNMicrosoftFrontpageMovieMakerMSNGamingZone12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:ExplorerIexplore找到符合条件的进程后随机注入以上两个进程中的其中一个。13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:**.com/gua/zt.txt保存为:c:\1.txt**.com/gua/wow.txt保存为:c:\1.txt**.com/gua/mx.txt保存为:c:\1.txt**.com/gua/zt.exe保存为:%SystemRoot%Sy.exe**.com/gua/wow.exe保存为:%SystemRoot%\1Sy.exe**.com/gua/mx.exe保存为:%SystemRoot%\2Sy.exe注：三个程序都为木马程序14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\Download]"auto"="1"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]"ver_down0"="[bootloader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++""ver_down1"="[bootloader]timeout=30[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"MicrosoftWindowsXPProfessional\"////""ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"MicrosoftWindowsXPProfessional\"/////"二、专杀工具三、删除_desktop.ini该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费劲，（我的机器的操作系统因安装在NTFS格式下，所以系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个批处理命令deld:\_desktop.ini/f/s/q/a，该命令的作用是：强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除/f强制删除只读文件/q指定静音状态。不提示您确认删除。/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。/a的意思是按照属性来删除了这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。至此，该病毒对机器造成的影响全部消除。========================================================================================>>>>这个存为批处理，可以迅速清理．但是属于治标不治本．碰到一台电脑中了这个病毒，正常的realplayer被替换，偷偷在后台运行病毒，还有word,winrar等常用软件被感染，无法运行．目前没有治愈灵丹，只有重新安装系统@echooffclsdelc:\_desktop.ini/f/s/q/adeld:\_desktop.ini/f/s/q/adele:\_desktop.ini/f/s/q/adelf:\_desktop.ini/f/s/q/adelg:\_desktop.ini/f/s/q/adelh:\_desktop.ini/f/s/q/a====================================================================================>>>>>>免疫批处理echooffclsecho.echologo1_.exe免疫程序请先替换"administrator"为您的当前用户名！再运行该批处理。echoadministrator原创，转载请注册出处bbs.wglm.netpauseechoadministrator>%systemroot%\Logo1_.exeechoadministrator>>%systemroot%\rundl132.exeechoadministrator>>%systemroot%\0Sy.exeechoadministrator>>%systemroot%\vDll.dllechoadministrator>>%systemroot%\1Sy.exeechoadministrator>>%systemroot%\2Sy.exeechoadministrator>>%systemroot%\rundll32.exeechoadministrator>>%systemroot%\3Sy.exeechoadministrator>>%systemroot%\5Sy.exeechoadministrator>>%systemroot%\1.comechoadministrator>>%systemroot%\exerouter.exeechoadministrator>>%systemroot%\EXP10RER.comechoadministrator>>%systemroot%\finders.comechoadministrator>>%systemroot%\Shell.sysechoadministrator>>%systemroot%\smss.exeCacls%systemroot%