¿Por qué los iconos de mi escritorio se convierten en copos de nieve?
Categoría: Computadora/Red
Descripción del problema:
El ícono se volvió borroso y adoptó la forma de un copo de nieve. Una vez lo eliminé y restauré el ícono original. Pero pronto volvió a tener forma de copo de nieve. No sé qué pasó. ¿Alguien puede decirme? ¿Hay alguna manera de evitar que se convierta en copos de nieve? /¡Gracias! ! ! !
Análisis:
1. Características del virus:
Nombre: Worm.Viking
Tiempo de procesamiento: 2006- 06-01 Nivel de amenaza:
Tipo de virus: Gusano Sistemas afectados: Win 9x/ME, Win 2000/NT, Win XP, Win 2003
Comportamiento del virus:
Este El virus es un virus compuesto que integra infección de archivos ejecutables, infección de red, descarga de troyanos de red u otros virus en la plataforma Windows. Después de ejecutarse, el virus se disfraza de un archivo normal en el sistema para confundir al usuario. , el virus Puede ejecutarse automáticamente al iniciar. Al mismo tiempo, el virus utiliza tecnología de inyección de subprocesos para evitar el monitoreo del firewall y conectarse al sitio web designado por el autor del virus para descargar troyanos específicos u otros virus. , después de que se ejecuta el virus, enumera todos los recursos compartidos de VPN disponibles en la intranet e intenta conectarse a la computadora de destino infectada a través de una contraseña débil.
El proceso en ejecución infecta los archivos ejecutables en la máquina del usuario, lo que hace que la máquina del usuario funcione más lento, destruye los archivos ejecutables en la máquina del usuario y representa un peligro para la seguridad del usuario.
Los virus se propagan principalmente a través de directorios compartidos, paquetes de archivos, programas en ejecución infectados y archivos adjuntos de correo electrónico que contienen virus.
1. Una vez que el virus se ejecuta, se copia a sí mismo en la carpeta de Windows. El nombre del archivo es:
%SystemRoot%\rundl132.exe
2. Ejecute Después de infectar el archivo, el virus copia el cuerpo del virus en el siguiente archivo:
%SystemRoot%\logo_1.exe
3. Al mismo tiempo, el virus será generado en la carpeta del virus:
p>
Directorio de virus\vdll.dll
4. El virus busca archivos exe en todas las particiones disponibles comenzando desde el disco Z y luego infecta todos los archivos ejecutables con un tamaño de 27kb-10mb. La infección se completa. Generada en la carpeta infectada:
_desktop.ini (Atributos del archivo: sistema, oculto.)
5. El virus intentará modificar el archivo %SysRoot%\system32\drivers\etc \hosts.
6. El virus puede ejecutarse automáticamente en el arranque agregando la siguiente clave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Sofare\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C : \\WINNT\\rundl132.exe"
7. Cuando el virus se está ejecutando, intenta encontrar un programa con el nombre del formulario: "RavMonClass". Después de encontrar el formulario, envía un mensaje a cerrar el programa.
8. Enumere los siguientes nombres de procesos de software antivirus y finalice el proceso después de encontrarlo:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9. Al mismo tiempo, el virus intenta terminar usando el siguiente comando Software antivirus relacionado:
detener "Kingsoft AntiVirus Service"
10. Envíe datos de detección ICMP "Hola, mundo" para determinar la red estado Cuando la red esté disponible,
Enumere todos los hosts privados en la intranet e intente usar contraseñas débiles para conectarse a directorios privados como \\IPC$ y \admin$. Si tiene éxito, la red está infectada.
11. Infectar archivos exe en la máquina del usuario, pero no archivos en las siguientes carpetas:
system
system32
windows
documentos y configuraciones
información del volumen del sistema
reciclado
winnt
archivos de programa
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Inter Explorer
Aplicaciones ComPlus
Inter Explorer
Aplicaciones ComPlus p>
NetMeeting
Archivos comunes
Messenger
Microsoft Office
Información de instalación de InstallShield
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12. Enumere los procesos del sistema e intente eliminar el virus dll (vdll . dll) inyecta selectivamente el proceso correspondiente al siguiente nombre de proceso:
Explorer
Iexplore
Después de encontrar el proceso que cumple con las condiciones, inyecta aleatoriamente el proceso desde Los dos procesos anteriores.
13. Cuando la red externa está disponible, el archivo dll inyectado intenta conectarse al siguiente sitio web para descargar y ejecutar programas relacionados:
17**/gua/zt.txt Guardar como: c :\1.txt
17**/gua/wow.txt Guardar como:c:\1.txt
17**/gua/mx.txt Guardar como:c :\1.txt
17**/gua/zt.exe se guarda como: %SystemRoot%Sy.exe
17**/gua/wow. exe se guarda como: % SystemRoot%\1Sy.exe
17**/gua/mx.exe se guarda como: %SystemRoot%\2Sy.exe
Nota: Los tres son programas troyanos p>
14. El virus agregará el contenido del "1.txt" descargado a las siguientes claves de registro relacionadas:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW ]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[cargador de arranque]\\\ \\\\\\\ \\\\\\++++++++++++++++++++++"
"ver_down1"="[arranque cargador]
tiempo de espera=30
[sistemas operativos]
multi(0)disco(0)rdisco(0)partición(1)\\WINDOWS= \"Microsoft Windows XP Professional \" "
"ver_down2"="default=multi(0)disco(0)rdisk(0)partición(1)\\WINDOWS
[ sistemas operativos]
multi(0)disco(0)rdisk(0)partición(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /"
2. Especial herramienta de eliminación
it.rising/service/technology/RavVikiing
3. Eliminar _desktop.ini
El virus generará un archivo llamado _desktop.ini en cada carpeta Obviamente, es demasiado laborioso eliminar los archivos uno por uno (el sistema operativo de mi máquina está instalado en formato NTFS, por lo que no existe dicho archivo en la carpeta debajo del disco del sistema. Además, ninguna de las carpetas debajo del disco. se salvan.) Por lo tanto, aquí le presentamos un comando por lotes del d:\_desktop.ini /f/s/q/a. La función de este comando es:
Eliminar con fuerza todos los directorios bajo el. unidad d (incluida la propia unidad d) y no pregunta si desea eliminarla
/f Eliminar a la fuerza el archivo de solo lectura
/q Especifica el estado de silencio. No se le pedirá que confirme la eliminación.
/s elimina el archivo especificado del directorio actual y de todos los subdirectorios. Muestra el nombre del archivo que se está eliminando.
/a significa eliminar según los atributos
El propósito de este comando es limpiar el archivo _desktop.ini restante en el sistema después de matar el virus vikingo
El método de uso es Inicio - Todos los programas - Accesorios - Símbolo del sistema, escriba el comando anterior (también puede copiar y pegar), primero elimine _desktop.ini en la unidad D y luego elimine _desktop. ini en la otra unidad en consecuencia.
En este punto, el impacto del virus en la máquina ha sido eliminado.
Los amigos que lo encuentren útil pueden probarlo.
El siguiente es mi propio método para manejarlo:
(1) Primero descargue el virus Rising Wiggin. Herramienta de eliminación
it.rising/service/technology/RavVikiing
(2) Desconectarse de la red
(3) Procesar la unidad C: restaurar el sistema; es posible Si es posible, restaure el sistema para ahorrar tiempo. Si eso no funciona, reinstale el sistema.
(4) Luego use la herramienta de eliminación especial que acaba de descargar en modo seguro para eliminar virus de otros discos. excepto la unidad C;
(5) Utilice la función de búsqueda completa (recuerde marcar la opción para buscar archivos ocultos en las opciones avanzadas) y busque el archivo llamado "_desktop.ini". , elimine todos los archivos que cumplan con los requisitos;
(6) Reinicie la máquina después de borrar.