컴퓨터 응용 프로그램 및 폴더를 열 수 없습니다.

이 바이러스는 이제 그것을 이길 수 있는 방법이 생겼다. 너는 인터넷에 가서 마이크로골드에 관한 바이러스 백신 소프트웨어를 검색해 봐. 다운받으세요. 안전 모드에서 완료합니다. 관련 자료는 다음과 같습니다.

첫째, 바이러스 특성:

이름: 벌레. 바이킹

처리 시간: 2006 년 6 월 -0 1 위협 수준: ★★

바이러스 유형: 웜 영향 시스템: Win9x/Me, Win2000/NT, WinXP, Win2003.

바이러스 동작:

이 바이러스는 Windows 플랫폼에서 실행 파일 감염, 네트워크 감염, 트로이 목마 다운로드 또는 기타 바이러스를 하나로 통합한 복합바이러스입니다. 바이러스가 실행된 후 시스템의 정상적인 파일로 위장하여 사용자를 현혹시킨다. 레지스트리 항목을 수정하면 전원이 켜질 때 바이러스가 자동으로 실행됩니다. 한편 이 바이러스는 스레드 주입 기술을 통해 방화벽 모니터링을 무시하고 바이러스 작성자가 지정한 웹 사이트에 연결하여 특정 트로이 목마나 기타 바이러스를 다운로드합니다. 또한 바이러스가 실행되면 인트라넷에서 사용 가능한 모든 * * * 공유를 열거하고 약한 암호를 통해 감염된 대상 컴퓨터에 연결하려고 시도합니다.

사용자 컴퓨터의 실행 파일이 실행 중에 감염되어 사용자 시스템의 실행 속도가 느려지고 사용자 시스템의 실행 파일이 손상되어 사용자 보안이 위태로워집니다.

바이러스는 주로 * * * 공유 디렉터리, 파일 번들, 감염된 프로그램 실행, 바이러스가 있는 메시지 첨부 파일 등을 통해 전파됩니다.

1. 바이러스가 실행되면 파일 이름:

% systemroot% \ rundl132.exe

2. 감염된 파일을 실행하면 바이러스가 바이러스를 다음 파일로 복사합니다.

%SystemRoot%\logo_ 1.exe

3. 또한 바이러스는 바이러스 폴더에 생성됩니다.

바이러스 디렉터리 \vdll.dll

4. 이 바이러스는 z 디스크부터 시작하여 사용 가능한 모든 파티션에서 exe 파일을 검색한 다음 크기가 27kb- 10mb 인 모든 실행 파일을 감염시킨 후 감염된 폴더에 생성됩니다.

_desktop.ini (파일 속성: system, hidden. ) 을 참조하십시오

5. 바이러스는% sysroot% \ system32 \ drivers \ etc \ hosts 파일을 수정하려고 시도합니다.

6, 이 바이러스는 다음 레지스트리 항목을 추가하여 바이러스 부팅을 자동화합니다.

[HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run]

"load" = "c: \ \ winnt \ \ rundl132.exe"

[HKEY _ 현재 사용자 \ 소프트웨어 \ Microsoft \ Windows NT \ 현재 버전 \Windows]

"load" = "c: \ \ winnt \ \ rundl132.exe"

7. 바이러스가 실행 중일 때' RavMonClass' 라는 프로그램을 찾아 양식을 찾은 후 메시지 닫기 프로그램을 보내려고 합니다.

8. 다음 안티바이러스 소프트웨어 프로세스 이름을 열거하여 해당 프로세스를 찾은 후 종료합니다.

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9. 또한 이 바이러스는 다음 명령을 사용하여 관련 안티바이러스 소프트웨어를 종료하려고 합니다.

인터넷은' 금산독패 서비스' 를 중단했다

10. ICMP 프로브 데이터' Hello, World' 를 보내 네트워크 상태를 판단합니다. 네트워크를 사용할 수 있을 때

인트라넷의 모든 * * * 공유 호스트를 열거하고 약한 암호로 \\IPC$, \admin$ 등 * * * 공유 디렉토리에 연결하려고 합니다. 연결에 성공하면 인터넷 감염이 발생할 수 있다.

1 1. 사용자 컴퓨터의 exe 파일을 감염시키지만 다음 폴더의 파일은 감염되지 않습니다.

시스템

시스템 32

창문

문서 및 설정

시스템 볼륨 정보

재사용

Winnt

프로그램 파일

Windows 운영 체제

WindowsUpdate

윈도 미디어 플레이어

Outlook Express

마이크로소프트가 제작한 웹 브라우저

ComPlus 응용 프로그램

웹 회의 시스템

공용 문서

메신저; 통신원

마이크로소프트 오피스

InstallShield 설치 정보

마이크로소프트 네트워크

Microsoft Frontpage

영화 제작자

MSN 게임 영역

12. 시스템 프로세스를 열거하고 바이러스 dll(vdll.dll) 을 다음 프로세스 이름에 해당하는 프로세스에 선택적으로 주입하려고 합니다.

탐험가

마이크로소프트의 인터넷 브라우저 소프트웨어

적합한 프로세스를 찾은 후 위 두 프로세스 중 하나를 무작위로 주입합니다.

13. 외부 네트워크를 사용할 수 있을 때 주입된 dll 파일은 다음 웹 사이트에 연결하여 관련 프로그램을 다운로드하고 실행하려고 시도합니다.

/service/technology/ravviking.htm

세 번째로 _ desktop.ini 를 삭제합니다.

바이러스는 각 폴더에 _desktop.ini 라는 파일을 생성합니다. 한 개 삭제하는 것은 분명히 너무 힘듭니다. (내 컴퓨터의 운영 체제가 NTFS 형식을 설치했기 때문에 시스템 디스크 아래의 폴더에는 이 파일이 없고 디스크 아래의 폴더에도 스페어가 없습니다. ) 그래서 여기에 배치 명령 del d:\_desktop.ini /f/s/q/a 를 소개하겠습니다.

삭제 여부를 묻는 메시지를 표시하지 않고 드라이브 d 아래의 모든 디렉토리에서 _desktop.ini 파일 (드라이브 d 자체 포함) 을 강제로 삭제합니다.

/f 읽기 전용 파일 강제 삭제

/q 음소거 상태를 지정합니다. 삭제를 확인하는 메시지가 표시되지 않습니다.

/s 현재 디렉토리와 모든 하위 디렉토리에서 지정된 파일을 제거합니다. 삭제 중인 파일 이름을 표시합니다.

/a 는 속성별로 제거됨을 나타냅니다.

이 명령은 바이킹 바이러스를 조사한 후 시스템에서 residual _desktop.ini 파일을 정리하는 데 사용됩니다.

사용 방법은 시작-모든 프로그램-액세서리-명령 프롬프트에서 위 명령을 입력하거나 복사하여 붙여넣고, 먼저 d 드라이브의 _desktop.ini 를 삭제한 다음 다른 디스크의 _desktop.ini 를 적절하게 삭제하는 것입니다.

이 시점에서 바이러스가 기계에 미치는 영향은 완전히 제거되었습니다.

유용하다고 생각되는 친구가 가져가서 시험해 보세요.

저는 이렇게 했습니다.

(1) 먼저 서성 마이크로골드 바이러스 검사 도구를 다운로드하십시오.

/service/technology/ravviking.htm

(2) 네트워크 연결 해제

(3) CD 처리: 가능하다면 시스템 복원, 시간 절약 그렇지 않은 경우 시스템을 다시 설치합니다.

(4) 안전 모드에서 방금 사용한 전용 살인 도구를 사용하여 CD 를 제외한 다른 디스크의 바이러스를 제거한다.

(5) 전체 검색 기능을 사용하여 "_desktop.ini" 라는 파일을 검색하고 (고급 옵션에서 숨겨진 파일 검색 옵션을 선택해야 함) 검색 후 요구 사항을 충족하는 모든 파일을 삭제합니다.

(6) 청소 후 기계를 다시 시작하십시오.

만약 이렇게 하면 안 된다면, 너는 시스템을 다시 설치할 수 있다. 반드시 믿을 만한 웹사이트를 찾아 다운로드하는 것에 주의해야 한다. 그렇지 않으면 다른 바이러스 ~ ~ ~ ~ ~ ~ ~