删除_desktop.ini

最新推荐文章于 2022-06-13 20:03:36 发布
最新推荐文章于 2022-06-13 20:03:36 发布
阅读量1.1w 收藏 4
点赞数
分类专栏: 存在 文章标签: system windows 开发工具 c 网络 dos
本文提供了一种清除_viking_病毒的方法,并介绍了如何使用DOS命令批量删除病毒留下的_desktop.ini文件。此外,还详细列举了病毒的行为特征及手动清除步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这几天被病毒害苦了,到处都是_desktop.ini
  
 网上搜了一下。。基本搞定, 下面这个方法不错。

 批量删除_desktop.ini的命令 

  这几天来,中了不少病毒,重装系统两次,留下了无数个尸体,_desktop.ini文件,网上查到说是一种叫欢乐时光的病毒,现在使用DOS命令批量删除_desktop.ini,如下: 

  del d:/_desktop.ini /f/s/q/a 

  强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除 

  /f 强制删除只读文件 

  /q 指定静音状态。不提示您确认删除。 

  /s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。 

  /a的意思是按照属性来删除了 

  这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的 


手动清除方案:

1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用“进程管理”关闭病毒进程
(2) 删除病毒文件

%WINDDIR%/rundl132.exe
%Program Files%/_desktop.ini
桌面/viDll.dll
系统根目录/_desktop.ini
系统根目录/1.txt
系统根目录/MH_FILE/MH_DLL.dll
系统根目录/TODAYZTKING/TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
%WINDDIR%/0sy.exe
%WINDDIR%/1sy.exe
%WINDDIR%/2sy.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_CURRENT_USER/Software/Microsoft/Windows NT
/CurrentVersion/Windows
键值: 字串: "load "="C:/WINDOWS/rundl132.exe"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: "ver_down0"="0.859: Source:C:/WINDOWS/system32/_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: " ver_down2"="0.859: Source:C:/WINDOWS/system32/_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW/
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW/auto
键值: 字串: "1"







下面是病毒的详细资料:
病毒名称: Worm.Win32.Viking.p
病毒类型: 蠕虫
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公开范围: 完全公开
危害等级: 中
文件长度: 1,025,308 字节
感染系统: windows98以上版本
开发工具: Borland Delphi V3.0
加壳类型: Upack 2.4 - 2.9 beta
命名对照: Symentec[W32.Looked.P]
      Mcafee[无]

  该病毒属蠕虫类,病毒运行后释放病毒文件%WINDDIR%/rundl132.exe、系统盘根目录/_desktop.ini、% Program Files%/_desktop.ini、桌面/viDll.dll,会在大量文件夹中释放文件_desktop.ini;连接网络,开 启端口,下载病毒文件%WINDDIR%/0sy.exe、%WINDDIR%/1sy.exe、%WINDDIR%/2sy.exe;开启进程 conime.exe及其自身,注入到进程explorer.exe中,修改注册表,添加启动项,以达到随机启动的目的;感染大部分非系统文件;病毒把自 身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程 序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后释放病毒文件:

%WINDDIR%/rundl132.exe
%Program Files%/_desktop.ini
桌面/viDll.dll
系统根目录/_desktop.ini
系统根目录/1.txt
系统根目录/MH_FILE/MH_DLL.dll
系统根目录/TODAYZTKING/TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini

2、连接网络,开启端口,下载病毒文件:
协议:TCP
IP:61.152.116.22
本地端口:随机开启本地1024以上端口,如:1156
下载病毒文件:
路径名:
%WINDDIR%/0sy.exe
%WINDDIR%/1sy.exe
%WINDDIR%/2sy.exe    
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs


3、开启进程conime.exe及其自身,注入到进程explorer.exe中。

4、修改注册表,添加启动项,以达到随机启动的目的:

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows
键值: 字串: "load "="C:/WINDOWS/rundl132.exe"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: "ver_down0"="0.859: Source:C:/WINDOWS/system32/_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
键值: 字串: " ver_down2"="0.859: Source:C:/WINDOWS/system32/_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW/
HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW/auto
键值: 字串: "1"

5、感染大部分非系统文件,不感染下列文件夹中的文件:

system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information

6、病毒尝试终止相关杀病毒软件。

7、病毒把自己身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行
一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序。

8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注: % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:/ Winnt/System32,windows95/98/me中默认的安装路径是C:/Windows/System,windowsXP中默认的安装 路径是C:/Windows/System32。

桌面的计算机 管理可以删除吗,desktop.ini是什么文件/可以删除desktop.ini删除方法图解...
weixin_42494891的博客
06-27 2372
许多用户朋友都会发现突然desktop.ini在桌面,而不知道desktop.ini是什么文件,不知道这个desktop.ini文件是不是病毒文件,而desktop.ini怎么隐藏又是一个大问题,许多朋友都很关心desktop.ini可以删除吗,一起来看看desktop.ini文件详情吧。desktop.ini 是什么文件?desktop.ini是系统正常文件,用于配置你桌面信息、资源管理器的,在...
desktop.ini病毒清除方法
03-31
NULL 博文链接:https://412599526-qq-com.iteye.com/blog/1345059
如何删除_desktop.ini文件
泡菜
09-21 8530
今天发现Myeclipse的项目里面的每个目录下面都多了一个_desktop.ini文件,网上查一下,结果发现是种病毒后留下来的。网上找了杀毒软件杀不了,还是会有。折磨了半天终于找到了解决的办法使用DOS命令批量删除 _desktop.ini,如下:  del d:/_desktop.ini /f/s/q/a  
快捷删除_desktop.ini文件
hongweigg的专栏
09-28 2754
_desktop.ini经常被用来伪装威金病毒,一个个删除太麻烦,下面有一个快捷的删除方法: 如删除C,D,E盘的_desktop.ini文件的命令如下: del c:\_desktop.ini /f/s/q/a    del d:\_desktop.ini /f/
cmd-bat-批处理-脚本-全盘删除所有文件夹下的_desktop.ini.zip
05-20
在本例中,我们关注的是一条特定的批处理命令,它的作用是删除电脑全盘下所有文件夹中的_desktop.ini文件。 首先,我们需要了解_desktop.ini文件的作用。这是一个系统文件,通常用于存储文件夹的自定义视图设置,...
cmd脚本-bat批处理-全盘删除所有文件夹下的_desktop.ini.zip
05-20
本文讨论的是一个具体的批处理脚本示例,该脚本的主要功能是删除全盘中所有文件夹下的_desktop.ini.zip文件。_desktop.ini文件是Windows操作系统中用于存储文件夹的视图设置,如图标、缩略图设置、文件夹选项等。...
BAT批处理脚本-文件相关操作-全盘删除所有文件夹下的_desktop.ini.bat.zip
12-26
标题"BAT批处理脚本-文件相关操作-全盘删除所有文件夹下的_desktop.ini.bat.zip"表明这是一个使用批处理(Batch Script)技术编写的脚本,其主要任务是针对计算机全盘中的所有文件夹,查找并删除名为"_desktop.ini"的...
_desktop.ini.BAT
05-10
_desktop.ini删除工具,好不好,用了就知道。
desktop.ini是病毒文件吗?.docx
09-26
Desktop.ini 文件可以删除,但删除后可能会导致文件夹恢复到默认设置。如果用户设置了文件夹的属性,那么删除 desktop.ini 文件将导致这些设置失效。需要注意的是,desktop.ini 文件并不是病毒文件,但是一些病毒...
Desktop.ini
11-28
xp系统 我的文档 图片收藏的 Desktop.ini
desktop_1.ini desktop_2.ini 删除工具
12-31
顽固的病毒生成文件 desktop_1.ini desktop_2.ini,自己写的一个P处理
批量删除_desktop.ini
地狱城市的专栏
05-25 1673
常常碰到名为“_desktop.ini”的一个隐藏文件。经查是一种叫做威金的蠕虫病毒。它的症状是感染10MB以下的可执行程序,表现为改变程序的图标,并且导致可执行程序不能被执行。计算机反应变慢,断网等现象。通过网上下载的专杀工具试图驱逐无果,删是删不掉的,它从你的计算机的最后一个盘向上不停的复制。似乎只有通从新分区后再做重做系统才会彻底。但是这样,就丢了计算机上很多宝贵的东东。这几天被病毒害苦了,
批量删除 desktop_.ini 文件
getdate的专栏
08-20 1610
新建文本文件 里面写入如下内容:   del C:\desktop_.ini /f/s/q/a del D:\desktop_.ini /f/s/q/a del E:\desktop_.ini /f/s/q/a del F:\desktop_.ini /f/s/q/
隐藏电脑桌面desktop.ini文件图标方法
m0_50305149的博客
06-13 2346
隐藏桌面desktop.ini文件方法
desktop.ini文件
lincomin的专栏
11-21 2105
 今天写关于文件夹的程序发现自己文件夹里好像都有_desktop.ini这个文件,根本看不到,但是写的程序通过ActiveXObject("Scripting.FileSystemObject")这个就能找到,很是一个郁闷。上网搜了一下发现以下有用的内容一:是病毒啊desktop.ini是文件夹设置文件。保存的是文件夹的设置信息 _desktop.ini很有可能是病毒造成的,viking病
计算机桌面安装系统怎么办,电脑桌面出现desktop.ini怎么办?删除技巧分享
weixin_30271447的博客
06-21 2926
最近,有些用户在电脑桌面左下角发现了个desktop.ini文件,而自己根本就没建这文件怎么会自动生成呢?那么,desktop.ini文件是什么?如何删除desktop.ini文件呢?下面,小编就来和大家分享电脑桌面出现desktop.ini删除方法。Desktop.ini是什么?Desktop.ini是系统可识别的一个文件,作用是存储用户对文件夹的个性设置(用户更换文件夹图标等等都会生成des...
DESKTOP.INI
wdlhtk的专栏
01-25 883
删除熊猫烧香生成的desktop_.ini文件,批处理删除所有
Alexantao 的专栏
03-19 918
病毒在访问过的目录下生成 desktop_.ini 文件,如果你要一个一个文件地删,显然很麻烦,我们可以使用这个批处理文件:@echo offecho 正在检查c盘:del c:/desktop_.ini /f/s/q/aecho 正在检查d盘:del d:/desktop_.ini /f/s/q/aecho 正在检查e盘:del e:/desktop_.ini /f/s/q/aecho 正在检查
[Running] python -u "z:\my_python_code\edge_test_down.py" successful��C:\Users\12150185\Downloads\desktop.ini 显示这样,是什么意思,没有下载的文件?
最新发布
07-19
<think>好的,用户现在遇到了问题,运行代码后显示“successful��C:\Users\12150185\Downloads\desktop.ini”,但没有下载到目标文件。我需要分析可能的原因并给出解决方法。 首先,用户提到的输出中包含“desktop.ini”,这是Windows系统用于存储文件夹显示属性的隐藏文件,通常不是用户主动下载的文件。这可能意味着代码在检查下载目录时错误地将desktop.ini识别为下载文件。 接下来,我需要考虑几个可能的原因: 1. **下载路径配置错误**:用户设置的下载目录可能不正确,导致文件实际下载到了其他位置。需要确认`download.default_directory`是否正确设置,并且程序有权限写入该目录。 2. **下载未完成或未触发**:可能目标URL无法正确触发下载,或者网站有反爬机制(如需要登录、Cookies验证等),导致实际未下载文件。需要检查URL是否直接指向可下载的EXE文件,或者是否需要处理重定向。 3. **文件检查逻辑问题**:代码中检查下载文件的逻辑可能有误。当前代码通过`os.listdir(download_dir)`获取文件,并排除`.crdownload`临时文件,但可能忽略了其他情况,比如下载的文件名与desktop.ini混淆,或者下载的文件被系统隐藏。 4. **下载被浏览器安全设置拦截**:即使禁用了下载弹窗,Edge的安全设置(如“安全浏览”)可能会阻止下载,导致文件被隔离或删除。需要检查浏览器的下载历史或“下载内容”文件夹,查看是否有被拦截的文件。 5. **路径编码问题**:输出中的“��”可能是编码问题,导致路径显示乱码。需要确认Python脚本的编码(如使用UTF-8),以及系统语言设置是否影响路径显示。 针对这些可能的原因,解决步骤可能包括: - 检查下载目录的实际内容,确认文件是否真的未下载,或者是否被隐藏/移动。 - 验证目标URL是否有效,直接在浏览器中访问该URL看是否能正常下载。 - 修改文件检查逻辑,排除系统生成的文件(如desktop.ini、Thumbs.db等),只检查用户下载的文件类型(如.EXE)。 - 检查Edge的下载设置和安全策略,确保无头模式下的下载未被阻止。 - 调试代码,输出下载目录中的所有文件,查看是否有目标文件被错误忽略。 此外,用户提到的“successful”可能是代码中打印的提示,但实际检查到的文件是desktop.ini,说明文件检查逻辑需要优化,比如根据文件类型或预期文件名过滤,避免误判。 </think>你遇到的问题是由于代码在判断下载完成时,误将系统生成的`desktop.ini`文件识别为下载文件导致的。`desktop.ini`是Windows系统用于存储文件夹显示属性的隐藏文件(如图标、背景等),并非你目标下载的EXE文件。以下是具体原因分析和解决方法: ### 原因分析 1. **文件检查逻辑不严谨**:当前代码通过`os.listdir(download_dir)`获取目录下所有文件,并排除`.crdownload`临时文件,但未过滤系统自动生成的隐藏文件(如`desktop.ini`),导致误判下载完成。 2. **目标文件未实际下载**:可能由于下载链接失效、网站反爬限制(如需要登录/Cookies)、浏览器安全拦截(如“安全浏览”阻止危险文件下载)等原因,导致EXE文件未成功下载。 ### 解决方法 #### 1. 优化文件检查逻辑(关键) 修改文件筛选条件,仅检查目标类型文件(如`.exe`),并排除系统隐藏文件: ```python # 替换原下载完成检查逻辑 downloaded_files = [] for f in os.listdir(download_dir): # 排除临时下载文件(.crdownload)和系统隐藏文件(如desktop.ini) if not f.endswith('.crdownload') and not f.startswith('.') and f.lower().endswith('.exe'): downloaded_files.append(f) ``` #### 2. 验证下载链接有效性 直接在浏览器中访问`download_url`,确认是否能正常触发EXE文件下载(而非跳转到其他页面或提示登录)。若链接需要身份验证(如Cookies),需在Selenium中添加登录或携带Cookies的逻辑。 #### 3. 检查浏览器安全设置 无头模式下,Edge的“安全浏览”功能可能拦截EXE文件下载(视为危险文件)。可通过以下配置关闭安全浏览: ```python edge_options.add_experimental_option("prefs", { # 其他配置... "safebrowsing.enabled": False # 关闭安全浏览(可选,根据需求) }) ``` #### 4. 查看实际下载路径 确认代码中设置的`download.default_directory`是否与实际路径一致(可能因权限问题导致文件被下载到默认路径)。可手动检查以下位置: - 代码指定的`download_directory`目录 - Edge浏览器默认下载路径(通常为`C:\Users\<用户名>\Downloads`) - 浏览器“下载内容”页面(`edge://downloads/`)查看是否有被拦截的文件。 #### 5. 调试输出目录内容(排查工具) 在代码中添加调试打印,输出下载目录的所有文件,确认是否有目标文件: ```python # 在下载完成检查前添加 print("下载目录中的文件:", os.listdir(download_dir)) ``` ### 示例修复代码(关键部分) ```python # 修改下载完成检查逻辑 while (time.time() - start_time) < max_wait: # 获取下载目录中的所有文件,过滤临时文件和非EXE文件 valid_files = [] for f in os.listdir(download_dir): file_path = os.path.join(download_dir, f) # 排除临时下载文件、隐藏文件(如desktop.ini),仅保留EXE if (not f.endswith('.crdownload') and not f.startswith('.') # 排除Linux隐藏文件(跨平台兼容) and f.lower().endswith('.exe') and os.path.isfile(file_path)): # 确保是文件而非目录 valid_files.append(f) if valid_files: target_file = os.path.join(download_dir, valid_files[-1]) # 进一步验证文件大小(避免空文件) if os.path.getsize(target_file) > 0: file_downloaded = True break time.sleep(1) ``` ### 总结 核心问题是文件检查逻辑未过滤系统文件,且可能存在下载未成功的情况。通过优化筛选条件、验证链接有效性、检查安全设置,可解决此问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值