|
|
电脑桌面图标不能调用的原因及解决办法
最近不少电脑在打开时有蓝天白云青青草地,可是没有桌面图标。在任务管理器“文件”—“新任务”中运行explorer.exe桌面图标又出来了。检查可发现多了logo1_.exe,rundl132.exe和9Sy.exe等多个文件。
关于rundl132.exe和9Sy.exe
rundl132(注意与rundll32区别开来)等是Worm.Viking病毒的祸害。dll.dll注入explorer.exe,由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe等。
而9Sy.exe是Trojan-PSW.Win32.Agent.al木马相关程序。
病毒描述:
该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。
修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
病毒运行后将自身伪装成系统正常文件,通过修改用户系统注册表项使病毒开机时即刻自动运行;同时,该病毒利用“线程注入技术”绕过网络防火墙的监视,连接到病毒作者指定的网站,下载特定的木马或其它病毒。感染该病毒后,病毒会从Z盘开始向前搜索所有可用分区中的.exe文件,然后感染所有大小27KB-10MB的可执行文件,感染完毕,会在被感染的文件夹中生成一个处于隐藏状态的系统文件:_desktop.ini,如果您的系统中发现此文件,表明您的系统可能已感染此病毒。
Worm.Viking病毒自出现,就登上了病毒排行榜席位,到现在已出现很多变种,其病毒发作特征也层出不穷,如往共享打印机狂塞打印任务(打印当天日期),感染磁盘上所有exe 可执行文件,传播速度快,等等。防病毒厂商们也相对应的编译专杀工具,网上也有相关的清除方法,但对于没有安装杀毒软件及exe文件被病毒感染无法修复的用户,另外,大部分防病毒软件会在清除被威金病毒感染的exe文件的时候,是将这些exe文件删除,这样就会造成很多应用程序不能正常使用,最好是能完全清除此病毒,并修复被病毒感染的文件。
此病毒会生成的病毒文件及其路径:
$:\Program Files\svhost32.exe
$:\Program Files\micorsoft\svhost32.exe
$:\windows\explorer.exe
$:\windows\logo1_exe
$:\windows\rundll32.exe
$:\windows\rundl132.exe
$:\windows\intel\rundl132.exe
$:\windows\dll.dll
_desktop.ini
解决方法:
手动查杀文件
1.在任务管理器中把rundl132.exe,logo1_.exe,9Sy.exe等结束掉,删除C盘内的logo1_.exel和rundl132.exe和9Sy.exe。
2.因为DLL.dll模块被写入到explorer中,所以删除不掉.可以在任务管理把进程中的explorer.exe结束掉,再选中任务管理器的“文件”—“新任务”然后运行explorer.exe,桌面就又出来了!接着把在C:盘下的DLL.dll删除掉。
3.在注册表中查找键值:[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找注册表键值rundl132.exe和9Sy.exe及在这项中的所有键值将其删除
4.打开我的电脑搜索_desktop.ini,把找到的所有_desktop.ini删除(删除后图标还显示在那里,别管它,关掉后再查一次看看是否还有)
5.该病毒会感染到exe应用程序中如QQ、Office系列、千千静听、RealPlayer,一般图标变色的为被感染了,要重装程序。再打开程序,如没有出现_desktop.ini就说明大功告成了。
6.在注册表全面搜索 Rundl132.exe、9sy.exe和Logo1_.exe 并删除。
|
|
发表于 2007-4-28 18:49
提升卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
IP卡
