Red de conocimiento informático - Espacio del host - ¿Por qué los iconos de mi escritorio se convierten en copos de nieve?

¿Por qué los iconos de mi escritorio se convierten en copos de nieve?

Categoría: Computadora/Red

Descripción del problema:

El ícono se volvió borroso y adoptó la forma de un copo de nieve. Una vez lo eliminé y restauré el ícono original. Pero pronto volvió a tener forma de copo de nieve. No sé qué pasó. ¿Alguien puede decirme? ¿Hay alguna manera de evitar que se convierta en copos de nieve? /¡Gracias! ! ! !

Análisis:

1. Características del virus:

Nombre: Worm.Viking

Tiempo de procesamiento: 2006- 06-01 Nivel de amenaza:

Tipo de virus: Gusano Sistemas afectados: Win 9x/ME, Win 2000/NT, Win XP, Win 2003

Comportamiento del virus:

Este El virus es un virus compuesto que integra infección de archivos ejecutables, infección de red, descarga de troyanos de red u otros virus en la plataforma Windows. Después de ejecutarse, el virus se disfraza de un archivo normal en el sistema para confundir al usuario. , el virus Puede ejecutarse automáticamente al iniciar. Al mismo tiempo, el virus utiliza tecnología de inyección de subprocesos para evitar el monitoreo del firewall y conectarse al sitio web designado por el autor del virus para descargar troyanos específicos u otros virus. , después de que se ejecuta el virus, enumera todos los recursos compartidos de VPN disponibles en la intranet e intenta conectarse a la computadora de destino infectada a través de una contraseña débil.

El proceso en ejecución infecta los archivos ejecutables en la máquina del usuario, lo que hace que la máquina del usuario funcione más lento, destruye los archivos ejecutables en la máquina del usuario y representa un peligro para la seguridad del usuario.

Los virus se propagan principalmente a través de directorios compartidos, paquetes de archivos, programas en ejecución infectados y archivos adjuntos de correo electrónico que contienen virus.

1. Una vez que el virus se ejecuta, se copia a sí mismo en la carpeta de Windows. El nombre del archivo es:

%SystemRoot%\rundl132.exe

2. Ejecute Después de infectar el archivo, el virus copia el cuerpo del virus en el siguiente archivo:

%SystemRoot%\logo_1.exe

3. Al mismo tiempo, el virus será generado en la carpeta del virus:

p>

Directorio de virus\vdll.dll

4. El virus busca archivos exe en todas las particiones disponibles comenzando desde el disco Z y luego infecta todos los archivos ejecutables con un tamaño de 27kb-10mb. La infección se completa. Generada en la carpeta infectada:

_desktop.ini (Atributos del archivo: sistema, oculto.)

5. El virus intentará modificar el archivo %SysRoot%\system32\drivers\etc \hosts.

6. El virus puede ejecutarse automáticamente en el arranque agregando la siguiente clave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

" load"="C:\\WINNT\\rundl132.exe"

[HKEY_CURRENT_USER\Sofare\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="C : \\WINNT\\rundl132.exe"

7. Cuando el virus se está ejecutando, intenta encontrar un programa con el nombre del formulario: "RavMonClass". Después de encontrar el formulario, envía un mensaje a cerrar el programa.

8. Enumere los siguientes nombres de procesos de software antivirus y finalice el proceso después de encontrarlo:

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9. Al mismo tiempo, el virus intenta terminar usando el siguiente comando Software antivirus relacionado:

detener "Kingsoft AntiVirus Service"

10. Envíe datos de detección ICMP "Hola, mundo" para determinar la red estado Cuando la red esté disponible,

Enumere todos los hosts privados en la intranet e intente usar contraseñas débiles para conectarse a directorios privados como \\IPC$ y \admin$. Si tiene éxito, la red está infectada.

11. Infectar archivos exe en la máquina del usuario, pero no archivos en las siguientes carpetas:

system

system32

windows

documentos y configuraciones

información del volumen del sistema

reciclado

winnt

archivos de programa

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Inter Explorer

Aplicaciones ComPlus

Inter Explorer

Aplicaciones ComPlus

NetMeeting

Archivos comunes

Messenger

Microsoft Office

Información de instalación de InstallShield

MSN

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

12. Enumere los procesos del sistema e intente eliminar el virus dll (vdll . dll) inyecta selectivamente el proceso correspondiente al siguiente nombre de proceso:

Explorer

Iexplore

Después de encontrar el proceso que cumple con las condiciones, inyecta aleatoriamente el proceso desde Los dos procesos anteriores.

13. Cuando la red externa está disponible, el archivo dll inyectado intenta conectarse al siguiente sitio web para descargar y ejecutar programas relacionados:

17**/gua/zt.txt Guardar como: c :\1.txt

17**/gua/wow.txt Guardar como:c:\1.txt

17**/gua/mx.txt Guardar como:c :\1.txt

17**/gua/zt.exe se guarda como: %SystemRoot%Sy.exe

17**/gua/wow. exe se guarda como: % SystemRoot%\1Sy.exe

17**/gua/mx.exe se guarda como: %SystemRoot%\2Sy.exe

Nota: Los tres son programas troyanos

14. El virus agregará el contenido del "1.txt" descargado a las siguientes claves de registro relacionadas:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW ]

"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]

"ver_down0"="[cargador de arranque]\\\ \\\\\\\ \\\\\\++++++++++++++++++++++"

"ver_down1"="[arranque cargador]

tiempo de espera=30

[sistemas operativos]

multi(0)disco(0)rdisco(0)partición(1)\\WINDOWS= \"Microsoft Windows XP Professional \" "

"ver_down2"="default=multi(0)disco(0)rdisk(0)partición(1)\\WINDOWS

[ sistemas operativos]

multi(0)disco(0)rdisk(0)partición(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /"

2. Especial herramienta de eliminación

it.rising/service/technology/RavVikiing

3. Eliminar _desktop.ini

El virus generará un archivo llamado _desktop.ini en cada carpeta Obviamente, es demasiado laborioso eliminar los archivos uno por uno (el sistema operativo de mi máquina está instalado en formato NTFS, por lo que no existe dicho archivo en la carpeta debajo del disco del sistema. Además, ninguna de las carpetas debajo del disco. se salvan.) Por lo tanto, aquí le presentamos un comando por lotes del d:\_desktop.ini /f/s/q/a. La función de este comando es:

Eliminar con fuerza todos los directorios bajo el. unidad d (incluida la propia unidad d) y no pregunta si desea eliminarla

/f Eliminar a la fuerza el archivo de solo lectura

/q Especifica el estado de silencio. No se le pedirá que confirme la eliminación.

/s elimina el archivo especificado del directorio actual y de todos los subdirectorios. Muestra el nombre del archivo que se está eliminando.

/a significa eliminar según los atributos

El propósito de este comando es limpiar el archivo _desktop.ini restante en el sistema después de matar el virus vikingo

El método de uso es Inicio - Todos los programas - Accesorios - Símbolo del sistema, escriba el comando anterior (también puede copiar y pegar), primero elimine _desktop.ini en la unidad D y luego elimine _desktop. ini en la otra unidad en consecuencia.

En este punto, el impacto del virus en la máquina ha sido eliminado.

Los amigos que lo encuentren útil pueden probarlo.

El siguiente es mi propio método para manejarlo:

(1) Primero descargue el virus Rising Wiggin. Herramienta de eliminación

it.rising/service/technology/RavVikiing

(2) Desconectarse de la red

(3) Procesar la unidad C: restaurar el sistema; es posible Si es posible, restaure el sistema para ahorrar tiempo. Si eso no funciona, reinstale el sistema.

(4) Luego use la herramienta de eliminación especial que acaba de descargar en modo seguro para eliminar virus de otros discos. excepto la unidad C;

(5) Utilice la función de búsqueda completa (recuerde marcar la opción para buscar archivos ocultos en las opciones avanzadas) y busque el archivo llamado "_desktop.ini". , elimine todos los archivos que cumplan con los requisitos;

(6) Reinicie la máquina después de borrar.