彻底清除_esktopini.docVIP

彻底清除_Desktopini 如何彻底清除_Desktop.ini 悬赏分：30 - 解决时间：2007-2-24 21:30 最近局域网服务器中了此招，里面有大量的_Desktop.ini文件（请注意产生的文件是_Desktop.ini而非Desktop.ini），通过手动全部删除后，过几十分钟，又会出现。 在打印机闲置时它会自已打印，而且只打印一个日期。都已经有两天了。 请教高手，如何彻底清除此病毒。不要告诉我重做系统，这电脑为公司主域服务器，不能重做的。 问题补充：我在瑞星网站上下载了威金专杀工具(V1.2)，我都已经看到，可那个专杀软件却不知道。全部过了一篇所有文件，一个病毒都没有监测出来。 你们说的那些什么rundl132.exe文件我没有找到.无此文件.今天已经进入第四天了,_Desktop.ini还是在不断产生. 2006.11.4 目前问题还是没有解决呀，手动删除还有会产生，过几秒钟就又产生了。不可能一直去点那个批处理文件呀。而且这样子电脑的性能也在急剧下降。有没有别的方法根治哦！ 提问者： shamohai629 - 试用期 一级 最佳答案 一、该病毒特点: 处理时间：2006-06-01 威胁级别：★★ 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。 运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、病毒运行后将自身复制到Windows文件夹下,文件名为: %SystemRoot%\rundl132.exe 2、运行被感染的文件后，病毒将病毒体复制到为以下文件: %SystemRoot%\logo_1.exe 3、同时病毒会在病毒文件夹下生成: 病毒目录\vdll.dll 4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成: _desktop.ini (文件属性:系统、隐藏。) 5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。 6、病毒通过添加如下注册表项实现病毒开机自动运行: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] load=C:\\WINNT\\rundl132.exe [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] load=C:\\WINNT\\rundl132.exe 7、病毒运行时尝试查找窗体名为:RavMonClass的程序，查找到窗体后发送消息关闭该程序。 8、枚举以下杀毒软件进程名，查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe 9、同时病毒尝试利用以下命令终止相关杀病毒软件： net stop Kingsoft AntiVirus Service 10、发送ICMP探测数据Hello,World，判断网络状态，网络可用时， 枚举内网所有共享主机，并尝试用弱口令连接[url=file://\\IPC$]\\IPC$[/url]、\admin$等共享目录，连接成功后进行网络感染。 11、感染用户机器上的exe文件，但不感染以下文件夹中的文件: system system32 windows documents and settings system Volume Information Recycled winnt Program Files Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer ComPlus Applications NetMeeting Common