“威金【wēi jīn】🕑（Worm.Viking）”病毒【bìng dú】特🛸点🥏-专杀及_desktop.ini删除【chú】🏺 
 
很麻烦🍢的【de】🌖威金【wēi jīn】🕑Worm.Viking病毒【bìng dú】❔，今天发【jīn tiān fā】现电脑【xiàn diàn nǎo】中出现🔈了【le】_desktop.ini的文件【de wén jiàn】🈹,才知道中了【le】名为【míng wéi】📪威金【wēi jīn】🕑（Worm.Viking）的【de】🌖病毒【bìng dú】❔,而安装【ér ān zhuāng】📕的【de】🌖江民杀毒软件【jiàn】🐝竟然杀不了【le】,没办法了【le】,只好上网查找【wǎng chá zhǎo】解决方法,还真让我给找到了【le】,问题解决了【le】,方法不敢独享,介绍给【jiè shào gěi】机【jī】器出🛰了同样【le tóng yàng】问题的【de】🎷人【rén】.

一、desktop.ini病毒【bìng dú】特🛸点🥏:

处理时间👋：2025-07-05 威胁级【wēi xié jí】别🈶：★★ 
病毒【bìng dú】❔类型😹：蠕虫 影响系🚜统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 
病毒【bìng dú】❔行为【háng wéi】📪: 
该病毒【gāi bìng dú】🎶为📪Windows平台下集成【chéng】可执【zhí】行文件【háng wén jiàn】🏓感染【gǎn rǎn】🥝、网络感🤺染【rǎn】🏏、下载网【xià zǎi wǎng】络木马或其🕥它病毒【tā bìng dú】❔的【de】🌖复合型【fù hé xíng】😹病毒【bìng dú】❔，病毒【bìng dú】❔运行后【yùn háng hòu】将自身伪装成【chéng】系统正常文件【wén jiàn】，以迷惑用户【hù】😸，通过修【tōng guò xiū】改注【gǎi zhù】🎢册表项【cè biǎo xiàng】使病毒【bìng dú】开👩机【jī】🤸时可以自动【zì dòng】🖱运行【yùn háng】，同时病【tóng shí bìng】🍃毒通过【guò】线程注【xiàn chéng zhù】🎢入技术绕过防【rào guò fáng】火墙的【de】🕗监视【jiān shì】，连接到【lián jiē dào】病毒【bìng dú】❔作者指【zuò zhě zhǐ】定【dìng】💴的【de】🌖网站下【wǎng zhàn xià】载特定【zǎi tè dìng】的【de】🌖木马或其🕥它病毒【tā bìng dú】❔，同时病【tóng shí bìng】🍃毒运行【yùn háng】🆑后枚举🌀内【nèi】🚯网的【de】🌖所有可用共享，并尝试【bìng cháng shì】通过【guò】弱🤱口令方🍔式连接【shì lián jiē】感染【gǎn rǎn】🥝目标计算机【jī】🤸。
运行过【yùn háng guò】程过【guò】感染【gǎn rǎn】🥝用户【hù】😸机器上【jī qì shàng】🍣的可执【de kě zhí】🌅行文件【háng wén jiàn】🏓，造成用【zào chéng yòng】户【hù】😸机【jī】🤸器运行【qì yùn háng】速度变慢【màn】，破坏用户【hù】😸机【jī】🤸器的可【qì de kě】执【zhí】🌅行文件【háng wén jiàn】🏓，给用户【gěi yòng hù】🐄安全性构成【chéng】危害。
病毒【bìng dú】❔主要通【zhǔ yào tōng】过【guò】🚥共享目录【mù lù】🔳、文件【wén jiàn】捆🏪绑、运行【yùn háng】被🤯感染【gǎn rǎn】🥝病毒【bìng dú】❔的【de】程序🥁、可带病🍽毒的【de】🌖邮件附【yóu jiàn fù】件【jiàn】♉等方式【děng fāng shì】进行传播【bō】⬇。

1、病毒【bìng dú】❔运行后【yùn háng hòu】将自身复制到【fù zhì dào】🎵Windows文件【wén jiàn】夹🐤下,文件名【wén jiàn míng】🔇为📪:
　　%SystemRoot%\rundl132.exe

2、运行【yùn háng】被🤯感染【gǎn rǎn】🥝的文件【de wén jiàn】🈹后，病毒【bìng dú】❔将病毒【bìng dú】体【tǐ】😡复制到【fù zhì dào】🎵为以下🤲文件【wén jiàn】:
%SystemRoot%\logo_1.exe

3、同时病【tóng shí bìng】🍃毒会在病毒【bìng dú】❔文件【wén jiàn】夹🐤下生成【xià shēng chéng】:
病毒【bìng dú】❔目录【mù lù】🔳\vdll.dll

4、病毒【bìng dú】❔从【cóng】Z盘开始【pán kāi shǐ】向前搜索所有【suǒ suǒ yǒu】可用分【kě yòng fèn】区中的【zhōng de】🌖exe文件【wén jiàn】，然后感染【gǎn rǎn】🥝所有大【suǒ yǒu dà】小27kb-10mb的可执【de kě zhí】🌅行文件【háng wén jiàn】🏓，感染【gǎn rǎn】🥝完毕在被🚓感染【gǎn rǎn】🥝的文件【de wén jiàn】🈹夹中生【jiá zhōng shēng】💐成【chéng】:
_desktop.ini (文件【wén jiàn】属性:系统、隐藏【yǐn cáng】🕞。)

5、病毒【bìng dú】❔会尝试修改%SysRoot%\system32\drivers\etc\hosts文件【wén jiàn】。

6、病毒【bìng dú】通👐过添加【guò tiān jiā】如下注【zhù】🗝册表项【cè biǎo xiàng】实现病【shí xiàn bìng】毒开【dú kāi】👩机【jī】🤸自动【zì dòng】运😝行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒【bìng dú】❔运行【yùn háng】时尝试查找窗体【zhǎo chuāng tǐ】名为【míng wéi】📪:"RavMonClass"的【de】程序🥁，查找到🥨窗体【tǐ】后发送消息关闭该程序💾。

8、枚举以🤝下杀毒软件【jiàn】🐝进程名【jìn chéng míng】🆙，查找到🥨后终止其进程🏯:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病【tóng shí bìng】🍃毒尝试【dú cháng shì】利用以【lì yòng yǐ】下命令终止相【xiàng】关杀病毒【bìng dú】❔软件【jiàn】：
net stop "Kingsoft AntiVirus Service"


10、发送ICMP探测数据"Hello,World"，判断网【pàn duàn wǎng】络状态【luò zhuàng tài】，网络可【wǎng luò kě】用时🏁，
枚举内【nèi】🚯网所有【wǎng suǒ yǒu】⚪共享主机【jī】🤸，并尝试【bìng cháng shì】用弱口🌟令连接【lìng lián jiē】\\IPC$、\admin$等共享❔目录【mù lù】🔳，连接成【chéng】功后进行网络【háng wǎng luò】🐶感染【gǎn rǎn】🥝。

11、感染【gǎn rǎn】🥝用户【hù】😸机器上【jī qì shàng】🍣的【de】🌖exe文件【wén jiàn】，但不感👳染【rǎn】🏏以下文【yǐ xià wén】件夹【jiàn jiá】🐤中的【zhōng de】文件【wén jiàn】🈹:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程，尝试将病毒【bìng dú】❔dll(vdll.dll)选择性注【zhù】🎢入以下【rù yǐ xià】进程名【jìn chéng míng】🆙对应的【de】进程🗺:
Explorer 
Iexplore
找到符合条件【jiàn】的【de】进程🗺后随机【jī】🆙注【zhù】🎢入以上两个进程中的【zhōng de】其中🐐一个。

13、当外网👧可用时【kě yòng shí】🏁，被注【zhù】入🐝的【de】🌖dll文件【wén jiàn】尝⏩试连接以下网站下【wǎng zhàn xià】载并运行【yùn háng】相【xiàng】关程序👙:
http://www.17**.com/gua/zt.txt 保存为【bǎo cún wéi】📪:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为【bǎo cún wéi】📪:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为【bǎo cún wéi】📪:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为【bǎo cún wéi】📪:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe 保存为【bǎo cún wéi】📪:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为【bǎo cún wéi】📪:%SystemRoot%\2Sy.exe
注【zhù】🎢：三个程【sān gè chéng】序都为👅木马程序👙

14、病毒【bìng dú】❔会将下载后的【zǎi hòu de】🌖"1.txt"的【de】🌖内【nèi】🚯容添加到以下相【xiàng】❤关注【guān zhù】🎢册表项【cè biǎo xiàng】：


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++""ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////""ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

二、desktop.ini病毒【bìng dú】删📦除【chú】🍰方法

该病毒【gāi bìng dú】🎶会在每个文件【gè wén jiàn】😞夹中生【jiá zhōng shēng】💐成【chéng】一个名为【míng wéi】📪_desktop.ini的文件【de wén jiàn】🈹，一个个【yī gè gè】去删除【chú】🔳，显然太🔎费劲💹，（我的【wǒ de】🌖机【jī】🤸器的【de】🌖操作系【cāo zuò xì】统📣因安装📶在NTFS格式下👌，所以系⚾统盘下的文件【de wén jiàn】🈹夹中没🍌有这个🧥文件【wén jiàn】，另外盘【lìng wài pán】🏕下的文件【de wén jiàn】🈹夹无一幸免），因此在【yīn cǐ zài】这里介绍给【jiè shào gěi】大家一个【jiā yī gè】🌐批处理命令 del d:\_desktop.ini /f/s/q/a，该命令🎎的【de】🌖作用是【zuò yòng shì】：
强制删【qiáng zhì shān】🌠除【chú】🍰d盘下所有目录【yǒu mù lù】🔳内【nèi】🚯（包括【bāo kuò】🅾d盘本身📀）的【de】🌖_desktop.ini文件【wén jiàn】并且不提😌示是否删除【chú】🏺 

/f 强制删【qiáng zhì shān】🌠除【chú】🍰只读文件【wén jiàn】 

/q 指定【dìng】静音状态❤。不提示😗您确认删除【chú】🏺。 

/s 从【cóng】当前🐼目录【mù lù】及👾其所有子目录【zǐ mù lù】🔳中删除【chú】🏺指定【dìng】文件【wén jiàn】。显示正在被删除【chú】🏺的文件【de wén jiàn】🈹名。 

/a的【de】意思🆖是按照【shì àn zhào】属性来【shǔ xìng lái】删除【chú】🏺了【le】 
这个命令的【de】🌖作用是【zuò yòng shì】在杀掉😬viking病毒【bìng dú】❔之后清理🌁系统内【nèi】🦗残留的【de】🌖_desktop.ini文件用【wén jiàn yòng】的【de】🌖

使用方😮法是开🦎始--所有程【suǒ yǒu chéng】序👙--附件【jiàn】--命令提示符，键入上述命令👌（也可复【yě kě fù】制粘贴），首先删【shǒu xiān shān】除【chú】🏺D盘中的【zhōng de】🌖_desktop.ini，然后依此删除【cǐ shān chú】🏺另外盘【lìng wài pán】🏕中的【zhōng de】🌖_desktop.ini。

至此，该病毒【gāi bìng dú】🎶对机【jī】🤸器造成【chéng】的【de】🌖影响全【yǐng xiǎng quán】🌍部消除【chú】🍰。