Haijun's Weblog

主要症状

来历：Desktop_.ini(非_desktop.ini)文件是由”尼姆亚（worm.nimaya）”病毒生成的,病毒运行后,会自动查找Windows格式的exe可执行文件,并进行感染.由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行.有些人给这个病毒的命名为维金Viking的变种…而大部分人则认为是熊猫烧香…

外观：听说熊猫作者据说要搞个不改变.exe 图标的大熊猫..不知道是否属实,如果是那样的话,防治起来就更难了…现在的版本主要表现就是感染后会改变部分.exe图标的一点点的颜色…变为16色.如下图所示.

改变数据会在磁盘根目录生成一个autorun.inf和一个setup.exe然后将它隐藏起来，会中止大部分杀毒软件的实时监控(当时没有中止我的ewido)进程，接着感染exe文件，rar文件，并且生成一个名为Desktop_.ini的病毒文件，而且会删除硬盘内的GHOST文件,所以要想启用电脑原来的自动还原是不行的了…一旦中招,所能做的就只有杀毒或格盘了…建议将GHOST备份文件改后缀名,如果有中这种病毒,在DOS下重命名为正确的GHO,然后还原系统,再用专杀全盘杀毒!
当然,这些Desktop_.ini这么多,你手动删是无济于事的…几乎在每个文件夹下都会生动生成…(全部是隐藏文件来的…)如下图…

影响其它软件应用:最主要的表现就是,注册表一旦打开就自己最小化然后关闭.任务管理器也是相同的情形.总之会自动结束所有对病毒不利的进程…包括系统配置….如果比较严重的话,即使你从第三方下载了专杀工具也无济于事.
当然,这个时候,要正常上网也是一件几乎不可能的事情…病毒会让你的客户端掉线…CPU占用100%…

如何查杀

第一,进安全模式,在DOC界面下删除Desktop_.ini文件.具体做法是,在doc里输入del c:\Desktop_.ini/f/s/q/a(如果是D盘就把C换成D就行了.)如果找不到的话,可以改成del c:\Desktop_.ini/f/s/q/ah….这样一个盘一个盘的删,删除完全后再进行第二步.如下图

(如果此时杀毒软件还可以用的话(机率比较小了),可以下载Worm.Nimaya 专用清除工具_熊猫烧香病毒专杀 V1.3版http://www.xdowns.com/soft/8/19/2006/Soft_34187.html
维金Viking病毒专杀工具 http://www.wz222.com/soft/1788.htm)

第二,在安全模式下搜索C盘外的所有盘中包括隐藏文件的.exe文件,完全删除(可不要因为某些文件重要而姑息养奸哦,要不然最后让你全格盘…)…

第三,马上重装.(之所以在前面不重装,是因为C盘以外的病毒文件太多,即使重装也没用,Desktop_.ini复制之外绝对比你重装快的…)…

重装完以后应该就没有问题了…本人爱机就是这样熬过来的…

反病毒专家建议电脑用户采取以下措施预防该病毒：
1、建立良好的安全习惯，不打开可疑邮件和可疑网站；
2、很多病毒利用漏洞传播，一定要及时给系统打补丁；
3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；
4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

如何验证电脑是否中此病毒
步骤是:我的电脑→工具→文件夹选项→查看→勾掉”隐藏受保护的操作系统文件”前面的勾→在隐藏文件和文件夹下面→勾上”显示所有的文件和文件夹”→确定退出。

然后在”我的电脑”中搜索”Desktop_.ini”；注意搜索时在”高级选项中”勾上所有的东西，如果有，那么就中了此病毒。应该立即查杀。