删除_desktop.ini

本文提供了一种清除_viking_病毒的方法,并介绍了如何使用DOS命令批量删除病毒留下的_desktop.ini文件。此外,还详细列举了病毒的行为特征及手动清除步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这几天被病毒害苦了,到处都是_desktop.ini
  
 网上搜了一下。。基本搞定, 下面这个方法不错。

 批量删除_desktop.ini的命令 

  这几天来,中了不少病毒,重装系统两次,留下了无数个尸体,_desktop.ini文件,网上查到说是一种叫欢乐时光的病毒,现在使用DOS命令批量删除_desktop.ini,如下: 

  del d:/_desktop.ini /f/s/q/a 

  强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除 

  /f 强制删除只读文件 

  /q 指定静音状态。不提示您确认删除。 

  /s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。 

  /a的意思是按照属性来删除了 

  这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的 


手动清除方案:

1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用“进程管理”关闭病毒进程
(2) 删除病毒文件

%WINDDIR%/rundl132.exe
%Program Files%/_desktop.ini
桌面/viDll.dll
系统根目录/_desktop.ini
系统根目录/1.txt
系统根目录/MH_FILE/MH_DLL.dll
系统根目录/TODAYZTKING/TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
%WINDDIR%/0sy.exe
%WINDDIR%/1sy.exe
%WINDDIR%/2sy.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_CURRENT_USER/Software/Microsoft/Windows NT
/CurrentVersion/Windows
键值: 字串: "load "="C:/WINDOWS/rundl132.exe"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: "ver_down0"="0.859: Source:C:/WINDOWS/system32/_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: " ver_down2"="0.859: Source:C:/WINDOWS/system32/_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW/
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW/auto
键值: 字串: "1"







下面是病毒的详细资料:
病毒名称: Worm.Win32.Viking.p
病毒类型: 蠕虫
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公开范围: 完全公开
危害等级: 中
文件长度: 1,025,308 字节
感染系统: windows98以上版本
开发工具: Borland Delphi V3.0
加壳类型: Upack 2.4 - 2.9 beta
命名对照: Symentec[W32.Looked.P]
      Mcafee[无]

  该病毒属蠕虫类,病毒运行后释放病毒文件%WINDDIR%/rundl132.exe、系统盘根目录/_desktop.ini、% Program Files%/_desktop.ini、桌面/viDll.dll,会在大量文件夹中释放文件_desktop.ini;连接网络,开 启端口,下载病毒文件%WINDDIR%/0sy.exe、%WINDDIR%/1sy.exe、%WINDDIR%/2sy.exe;开启进程 conime.exe及其自身,注入到进程explorer.exe中,修改注册表,添加启动项,以达到随机启动的目的;感染大部分非系统文件;病毒把自 身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程 序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后释放病毒文件:

%WINDDIR%/rundl132.exe
%Program Files%/_desktop.ini
桌面/viDll.dll
系统根目录/_desktop.ini
系统根目录/1.txt
系统根目录/MH_FILE/MH_DLL.dll
系统根目录/TODAYZTKING/TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini

2、连接网络,开启端口,下载病毒文件:
协议:TCP
IP:61.152.116.22
本地端口:随机开启本地1024以上端口,如:1156
下载病毒文件:
路径名:
%WINDDIR%/0sy.exe
%WINDDIR%/1sy.exe
%WINDDIR%/2sy.exe    
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs


3、开启进程conime.exe及其自身,注入到进程explorer.exe中。

4、修改注册表,添加启动项,以达到随机启动的目的:

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows
键值: 字串: "load "="C:/WINDOWS/rundl132.exe"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: "ver_down0"="0.859: Source:C:/WINDOWS/system32/_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: " ver_down2"="0.859: Source:C:/WINDOWS/system32/_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW/
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW/auto
键值: 字串: "1"

5、感染大部分非系统文件,不感染下列文件夹中的文件:

system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information

6、病毒尝试终止相关杀病毒软件。

7、病毒把自己身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行
一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序。

8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注: % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:/ Winnt/System32,windows95/98/me中默认的安装路径是C:/Windows/System,windowsXP中默认的安装 路径是C:/Windows/System32。

<think>好的,用户现在遇到了问题,运行代码后显示“successful��C:\Users\12150185\Downloads\desktop.ini”,但没有下载到目标文件。我需要分析可能的原因并给出解决方法。 首先,用户提到的输出中包含“desktop.ini”,这是Windows系统用于存储文件夹显示属性的隐藏文件,通常不是用户主动下载的文件。这可能意味着代码在检查下载目录时错误地将desktop.ini识别为下载文件。 接下来,我需要考虑几个可能的原因: 1. **下载路径配置错误**:用户设置的下载目录可能不正确,导致文件实际下载到了其他位置。需要确认`download.default_directory`是否正确设置,并且程序有权限写入该目录。 2. **下载未完成或未触发**:可能目标URL无法正确触发下载,或者网站有反爬机制(如需要登录、Cookies验证等),导致实际未下载文件。需要检查URL是否直接指向可下载的EXE文件,或者是否需要处理重定向。 3. **文件检查逻辑问题**:代码中检查下载文件的逻辑可能有误。当前代码通过`os.listdir(download_dir)`获取文件,并排除`.crdownload`临时文件,但可能忽略了其他情况,比如下载的文件名与desktop.ini混淆,或者下载的文件被系统隐藏。 4. **下载被浏览器安全设置拦截**:即使禁用了下载弹窗,Edge的安全设置(如“安全浏览”)可能会阻止下载,导致文件被隔离或删除。需要检查浏览器的下载历史或“下载内容”文件夹,查看是否有被拦截的文件。 5. **路径编码问题**:输出中的“��”可能是编码问题,导致路径显示乱码。需要确认Python脚本的编码(如使用UTF-8),以及系统语言设置是否影响路径显示。 针对这些可能的原因,解决步骤可能包括: - 检查下载目录的实际内容,确认文件是否真的未下载,或者是否被隐藏/移动。 - 验证目标URL是否有效,直接在浏览器中访问该URL看是否能正常下载。 - 修改文件检查逻辑,排除系统生成的文件(如desktop.ini、Thumbs.db等),只检查用户下载的文件类型(如.EXE)。 - 检查Edge的下载设置和安全策略,确保无头模式下的下载未被阻止。 - 调试代码,输出下载目录中的所有文件,查看是否有目标文件被错误忽略。 此外,用户提到的“successful”可能是代码中打印的提示,但实际检查到的文件是desktop.ini,说明文件检查逻辑需要优化,比如根据文件类型或预期文件名过滤,避免误判。 </think>你遇到的问题是由于代码在判断下载完成时,误将系统生成的`desktop.ini`文件识别为下载文件导致的。`desktop.ini`是Windows系统用于存储文件夹显示属性的隐藏文件(如图标、背景等),并非你目标下载的EXE文件。以下是具体原因分析和解决方法: ### 原因分析 1. **文件检查逻辑不严谨**:当前代码通过`os.listdir(download_dir)`获取目录下所有文件,并排除`.crdownload`临时文件,但未过滤系统自动生成的隐藏文件(如`desktop.ini`),导致误判下载完成。 2. **目标文件未实际下载**:可能由于下载链接失效、网站反爬限制(如需要登录/Cookies)、浏览器安全拦截(如“安全浏览”阻止危险文件下载)等原因,导致EXE文件未成功下载。 ### 解决方法 #### 1. 优化文件检查逻辑(关键) 修改文件筛选条件,仅检查目标类型文件(如`.exe`),并排除系统隐藏文件: ```python # 替换原下载完成检查逻辑 downloaded_files = [] for f in os.listdir(download_dir): # 排除临时下载文件(.crdownload)和系统隐藏文件(如desktop.ini) if not f.endswith('.crdownload') and not f.startswith('.') and f.lower().endswith('.exe'): downloaded_files.append(f) ``` #### 2. 验证下载链接有效性 直接在浏览器中访问`download_url`,确认是否能正常触发EXE文件下载(而非跳转到其他页面或提示登录)。若链接需要身份验证(如Cookies),需在Selenium中添加登录或携带Cookies的逻辑。 #### 3. 检查浏览器安全设置 无头模式下,Edge的“安全浏览”功能可能拦截EXE文件下载(视为危险文件)。可通过以下配置关闭安全浏览: ```python edge_options.add_experimental_option("prefs", { # 其他配置... "safebrowsing.enabled": False # 关闭安全浏览(可选,根据需求) }) ``` #### 4. 查看实际下载路径 确认代码中设置的`download.default_directory`是否与实际路径一致(可能因权限问题导致文件被下载到默认路径)。可手动检查以下位置: - 代码指定的`download_directory`目录 - Edge浏览器默认下载路径(通常为`C:\Users\<用户名>\Downloads`) - 浏览器“下载内容”页面(`edge://downloads/`)查看是否有被拦截的文件。 #### 5. 调试输出目录内容(排查工具) 在代码中添加调试打印,输出下载目录的所有文件,确认是否有目标文件: ```python # 在下载完成检查前添加 print("下载目录中的文件:", os.listdir(download_dir)) ``` ### 示例修复代码(关键部分) ```python # 修改下载完成检查逻辑 while (time.time() - start_time) < max_wait: # 获取下载目录中的所有文件,过滤临时文件和非EXE文件 valid_files = [] for f in os.listdir(download_dir): file_path = os.path.join(download_dir, f) # 排除临时下载文件、隐藏文件(如desktop.ini),仅保留EXE if (not f.endswith('.crdownload') and not f.startswith('.') # 排除Linux隐藏文件(跨平台兼容) and f.lower().endswith('.exe') and os.path.isfile(file_path)): # 确保是文件而非目录 valid_files.append(f) if valid_files: target_file = os.path.join(download_dir, valid_files[-1]) # 进一步验证文件大小(避免空文件) if os.path.getsize(target_file) > 0: file_downloaded = True break time.sleep(1) ``` ### 总结 核心问题是文件检查逻辑未过滤系统文件,且可能存在下载未成功的情况。通过优化筛选条件、验证链接有效性、检查安全设置,可解决此问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值