desktopini病毒清除方法.docVIP

  1. 1、本文档共11页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
desktopini病毒清除方法

desktop.ini病毒清除方法威金(Worm.Viking)”病毒特点-专杀及_desktop.ini删除? ? 很麻烦的威金Worm.Viking病毒,今天发现电脑中出现了_desktop.ini的文件,才知道中了名为威金(Worm.Viking)的病毒,而安装的江民杀毒软件竟然杀不了,没办法了,只好上网查找解决方法,还真让我给找到了,问题解决了,方法不敢独享,介绍给机器出了同样问题的人. 一、desktop.ini病毒特点: 处理时间:2006-06-01?威胁级别:? 病毒类型:蠕虫?影响系统:Win?9x/ME,Win?2000/NT,Win?XP,Win?2003? 病毒行为:? 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。 运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、病毒运行后将自身复制到Windows文件夹下,文件名为:   %SystemRoot%\rundl132.exe 2、运行被感染的文件后,病毒将病毒体复制到为以下文件: %SystemRoot%\logo_1.exe 3、同时病毒会在病毒文件夹下生成: 病毒目录\vdll.dll 4、病毒从Z盘开始向前有哪些信誉好的足球投注网站所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成: _desktop.ini?(文件属性:系统、隐藏。) 5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。 6、病毒通过添加如下注册表项实现病毒开机自动运行: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] load=C:\\WINNT\\rundl132.exe [HKEY_CURRENT_USER\Software\Microsoft\Windows?NT\CurrentVersion\Windows] load=C:\\WINNT\\rundl132.exe 7、病毒运行时尝试查找窗体名为:RavMonClass的程序,查找到窗体后发送消息关闭该程序。 8、枚举以下杀毒软件进程名,查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe 9、同时病毒尝试利用以下命令终止相关杀病毒软件: net?stop?Kingsoft?AntiVirus?Service 10、发送ICMP探测数据Hello,World,判断网络状态,网络可用时, 枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。 11、感染用户机器上的exe文件,但不感染以下文件夹中的文件: system system32 windows documents?and?settings system?Volume?Information Recycled winnt Program?Files Windows?NT WindowsUpdate Windows?Media?Player Outlook?Express Internet?Explorer ComPlus?Applications NetMeeting Common?Files Messenger Microsoft?Office InstallShield?Installation?Information MSN Microsoft?Frontpage Movie?Maker MSN?Gaming?Zone 12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程: Explorer? Iexplore 找到符合条件的进程后随机注入以上两个进程中的其中一个。 13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序: http://www.17**.com/gua/zt.txt?保存为:c:\1.txt http://www.17**.com/gua/wow.txt?保存为:c:\1.txt h

文档评论(0)

cuotian + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档