我ＢＸＰ系统好象有desktop.ini这个文件但是不知道是不是病毒
是的话怎样删掉
希望大家帮帮忙

本人能力有限，不过今天中了并毒，去网上查了资料，感觉不错，有在这里看到了这个帖子，发上来跟大家共享！！:em60:
档案编号：CISRT2006014
病毒名称：Worm.Win32.Viking.r（AVP）
病毒别名：
病毒大小：31,215 字节
加壳方式：UPack
样本MD5：5777fc2962e8b608c92572d919d34bea
发现时间：2006.7.24
更新时间：2006.7.25
关联病毒：Trojan.Win32.Delf.rf
　　　　　 Trojan-PSW.Win32.Lineage.acw
　　　　　 Trojan-PSW.Win32.Delf.fz
　　　　　 Trojan-PSW.Win32.Lineage.acw
传播方式：通过QQ、恶意网站甚至感染文件等多种途径传播
　 技术分析
==========

相关文件：
%Windows%\rundl132.exe
%当前目录%\viDll.dll

又是一个Viking，和之前的变种一样，通过QQ、恶意网站、感染文件多种方式进行传播，恶意网站上下载下来的文件名是hou4.exe，恶意代码将其保存为%temp%\g0ld.com，并运行。

hou4.exe运行后复制自身到%Windows%\rundl132.exe，释放viDll.dll到当前目录插入Explorer.exe和iexplore.exe进程。

创建自启动项：


CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windows%\rundl132.exe"
设置注册表信息：


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
并尝试访问网络下载其它木马程序：
http://www.q.q.39com.net/vipmm4/qq4.exe
http://www.m.h.39com.net/vipmm4/mh4.exe
http://www.z.t.39com.net/vipmm4/zt4.exe
http://www.r.h.39com.net/vipmm4/rxjh4.exe
http://www.w.w.39com.net/vipmm4/wow4.exe
这些大多都是盗取网游帐号的木马。

另外，在实际测试过程中未发现感染exe文件的行为。如果感染文件，感染方式应该和之前变种类似，不感染主要系统目录下的exe文件：
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files\
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\ComPlus Applications
Program Files\NetMeeting
Program Files\Common Files
Program Files\Messenger
Program Files\Microsoft Office
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gaming Zone

在被感染过的目录里留下_desktop.ini文件，记录感染日期。

发送ICMP数据包“Hello,World”，尝试通过administrator管理员帐户空密码访问感染局域网内其它计算机：
\ipc$
\admin$


清除步骤
==========

1. 结束病毒进程%Windows%\rundl132.exe

2. 删除文件：
%Windows%\rundl132.exe
viDll.dll（可以用搜索查找，如果无法删除可以重启后再行删除）

3. 删除病毒建立的自启动项和还有其它注册表信息：


CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windows%\rundl132.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]

[ 本帖最后由 天狼星 于 2007-10-16 15:10 编辑 ]

不错 。。希望可以时时更新啊。。。

樓主GOOD

很不幸感染了威金,手动怎么也清不干净 .感觉网上搜到的删除方法都不全或效果不佳, 在此特请教各位!

非常感谢

好东西,收藏了,谢谢版主

网上垃圾怎么清理哦~~~有什么清理哦~~~

哇,太好了,要好好学点了

引用:

原帖由 fujun123 于 2006-11-14 14:55 发表
网上垃圾怎么清理哦~~~有什么清理哦~~~

下面是清理系统中的垃圾文件的一段代码,复制到记事本里,并用.BAT的扩展名来保存,每次使用只要双击即可.
代码如下:
       @echo off

　　echo 正在清除系统垃圾文件，请稍等......

　　del /f /s /q %systemdrive%\*.tmp

　　del /f /s /q %systemdrive%\*._mp

　　del /f /s /q %systemdrive%\*.log

　　del /f /s /q %systemdrive%\*.gid

　　del /f /s /q %systemdrive%\*.chk

　　del /f /s /q %systemdrive%\*.old

　　del /f /s /q %systemdrive%\recycled\*.*

　　del /f /s /q %windir%\*.bak

　　del /f /s /q %windir%\prefetch\*.*

　　rd /s /q %windir%\temp & md %windir%\temp

　　del /f /q %userprofile%\cookies\*.*

　　del /f /q %userprofile%\recent\*.*

　　del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"

　　del /f /s /q "%userprofile%\Local Settings\Temp\*.*"

　　del /f /s /q "%userprofile%\recent\*.*"

　　echo 清除系统LJ完成!

　　echo. & pause