怀疑是desktop.ini病毒感染

1. 怀疑是desktop.ini病毒感染

愿我的答案 能够解决您的烦忧
 
那么你这种情况是系统磁盘设置被篡改，然后电脑中毒导致的

1，重启电脑按F8进入联网安全模式杀毒，一定按我说的来，因为这个杀软才有系统修复功能。

2，下载腾讯电脑管家“8.4”最新版，对电脑首先进行一个体检，打开所有防火墙避免系统其余文件被感染。

3，打开杀毒页面开始查杀，切记要打开小红伞引擎。

4，如果普通查杀不能解决问题，您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度
扫描。

5，查杀处理完所有病毒后，立刻重启电脑，再进行一次安全体检，清除多余系统缓存文件，避免二次感染。

如果您对我的答案不满意，可以继续追问或者提出宝贵意见，谢谢

2. DESKTOP.INI的病毒

 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、病毒运行后将自身复制到Windows文件夹下，文件名为：%SystemRoot%\rundl132.exe2、运行被感染的文件后，病毒将病毒体复制到为以下文件：%SystemRoot%\logo_1.exe3、同时病毒会在病毒文件夹下生成：病毒目录\vdll.dll4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成：_desktop.ini （文件属性：系统、隐藏。）5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通过添加如下注册表项实现病毒开机自动运行：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]load=C:\\WINNT\\rundl132.exe[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]load=C:\\WINNT\\rundl132.exe7、病毒运行时尝试查找窗体名为：RavMonClass的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程：Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同时病毒尝试利用以下命令终止相关杀病毒软件：net stop Kingsoft AntiVirus Service10、发送ICMP探测数据Hello,World，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。11、感染用户机器上的exe文件，但不感染以下文件夹中的文件：systemsystem32windowsDocuments and settingssystem Volume InformationRecycledwinntProgram FilesWindows NTWindowsUpdateWindows Media PlayerOutlook ExpressInternet ExplorerComPlus ApplicationsNetMeetingCommon FilesMessengerMicrosoft OfficeInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gaming Zone12、枚举系统进程，尝试将病毒dll(vdll.dll）选择性注入以下进程名对应的进程：ExplorerIexplore找到符合条件的进程后随机注入以上两个进程中的其中一个。13、当外网可用时，被注入的dll文件尝试连接一些网站下载并运行相关程序，位置具体为：c:\1.txt、：%SystemRoot%\0Sy.exe、：%SystemRoot%\1Sy.exe、：%SystemRoot%\2Sy.exe14、病毒会将下载后的1.txt的内容添加到以下相关注册表项：[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]auto=1[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]ver_down0=[boot loader]\\\\\\\\\\\\\\\\ ver_down1=[boot loader]timeout=30[operating systems]multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS=\Microsoft Windows XP Professional\ ////ver_down2=default=multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS=\Microsoft Windows XP Professional\ ///// 1、释放自身以及感染exe文件后生成C:\WINDOWS\rundl132.exeC:\WINDOWS\logo_1.exe病毒所在目录\vidll.dll2、添加注册表信息[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“load” “C:\WINDOWS\rundl132.exe”[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]“load” “C:\WINDOWS\rundl132.exe”[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]“auto”=“1”3、感染部分exe文件，并在被感染exe文件所在目录释放_desktop.ini4、修改hosts文件C:\WINDOWS\system32\drivers\etc\hosts5、vidll.dll插入到进程explorer.exe或iexplore.exe6、停掉部分安全软件的进程 1、关闭rundl132.exe的进程，并删除C:\WINDOWS\rundl132.exe2、搜索找到并删除vidll.dll可以通过SSM自动启动来禁用vidll.dll，重新启动后删除vidll.dll或停止其插入的进程，再删除该dll文件，如果它插入了explorer.exe这个进程，那么打开任务管理器（ALT CTRL Delete），结束掉explorer.exe这个进程，删除vidll.dll文件然后用任务管理器上面的标签 文件===新建任务===浏览，找到并运行C:\WINDOWS\Explorer.exe3、删除其在注册表中创建的信息及其他病毒文件_desktop.ini、logo_1.exe4、修复被更改的hosts文件，hosts文件用记事本打开C:\WINDOWS\system32\drivers\etc\hosts 电脑中了desktop.ini病毒之后会在硬盘所有的分区内创建若干个诸如desktop_1.ini、desktop_2.ini之类的病毒体，一般在系统下删除这些文件中的任何一个，病毒马上就会新建一个一样的文件。通常遇到这样的病毒体，我们可以一次性在DOS下删除所有分区的病毒体，这个就需要借助批处理了。具体做法如下：打开记事本，然后复制如下代码进去：再改成bat格式cd \c:del Desktop_*.ini /f /s /q /ahcd \d:del Desktop_*.ini /f /s /q /ahcd \e:del Desktop_*.ini /f /s /q /ahcd \f:del Desktop_*.ini /f /s /q /ahcd \g:del Desktop_*.ini /f /s /q /ah然后双击运行即可删除所有的病毒体了。 1：管理工具文件夹里面的desktop.ini中[LocalizedFileNames]这个什么意思？答：[LocalizedFileNames]是“局限性文件名称”也就是控制文件的标识。2：一个desktop.ini里面[.shellclassinfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21762这个起什么作用？前面LocalizedResourceName这个又是起什么作用？后面-21762这个又是起什么作用？根据什么原理？答：LocalizedResourceName是“局限性资源名称”后面的是名称引用的地址，注意SHELL32.DLL动态链接库中记录了很多这类的信息，还包括图标ICO的地址，最后的-21762是一个ID，也可以理解成INDEX索引。3：一个desktop.ini里面InfoTip是指向文件夹时的说明，但是infotip=@Shell32.dll,-12690这个什么意思答：参考第二个问题就不难理解了，infotip是“信息提示”后边连接还是SHELL32.DLL。后面的-12690也是一个索引编号。4：一个desktop.ini里面IconFile是指图标的文件夹路径IconFile=%SystemRoot%\system32\SHELL32.dllICONINDEX=-238是指图表文件名，但是-238是哪个图标，这些图标放在哪个文件夹，怎么可以清楚的看到这些图标的列表，以及外面引用的数字代表的是哪个图标，比如说-238是代表哪个图标。答：继续参考前两个问题的答案，ICONFILE是“ICO图标文件”，后面的我不再多解释了。至于如何找到这个图标，可以通过任意一个快捷方式的属性中的选择图标选项中查找图片，然后再对照索引来定位所指定的图片。5：一个desktop.ini里面[DeleteOnCopy]Owner=JedPersonalized=14PersonalizedName=My Videos这些什么意思？答：这应该是“我的文档”中“我的视频”文件夹中的desktop.ini。“Owner=Jed”的意思是当前文件夹是属于“Jed”这个用户的，“Personalized=14”的意思是私人使用的私有化属性，14是什么意思没弄明白，“PersonalizedName=My Videos”的意思是此私有文档名称为“My Videos”。6：一个desktop.ini里面，开头； ==++==；； Copyright (c) Microsoft Corporation. All rights reserved.；； ==--==这些是什么意思？是不是跟HTML代码的；中注释的功能一样呢？如果是，那具体的格式是什么？答：这个很简单，是指此段代码的所有权为“Microsoft”。这个很多地方都能看到，比如很多网站下面会写明“Copyright (c) 某某公司 Corporation. All rights reserved.”意思就是所有权归属。7：一个desktop.ini里面[.ShellClassInfo]CLSID=ConfirmFileOp=1InfoTip=Contains application stability information.这个什么意思？答：这应该是受系统保护的文件夹中的desktop.ini，是用来指明ShellClass信息的，“CLSID=”是指class的ID在注册表中的地址是“1D2680C9-0E2A-469d-B787-065558BC7D43”，“InfoTip=Contains application stability information”为信息提示。请参考第3个问题的答案。8：xp字体文件夹（c:\windows\fonts\）中的desktop.ini[.ShellClassInfo]UICLSID=这个什么意思？答：参考第7个问题不难理解，“UICLSID=”的意思是字体样式的ID在注册表中的地址为“BD84B380-8CA2-1069-AB1D-08000948F534”。9：xp中C:\Documents and Settings\Default User\SendTo\desktop.ini中的[LocalizedFileNames]邮件接收者.MAPIMail=@sendmail.dll,-4桌面快捷方式.DeskLink=@sendmail.dll,-21什么意思？答：“LocalizedFileNames”的意思就不说了，前面有。后面的问题直接按英文意思解释就可以了，一个是“邮件接收者”一个是“桌面快捷方式”，分别使用的动态链接库都是“sendmail.dll”只是ID不同，一个是4、一个是21。10：一个desktop.ini-----------------------------------[.shellclassinfo]iconindex=mainiconiconfile=d:\千千静听\\ttplayer.exe-----------------------------------中的mainicon改成1或者2的话，外面文件夹的图标会改变，但是iconfile=*.*是支持什么格式的图标呢？我只知道exe程序图标是支持的，ico格式应该也能支持，试了BMP。JPG之类的都是不支持的。答：“iconindex=mainicon ”的意思是ICO图标索引为主图片，也就是默认图标。“iconfile=d:\千千静听\\ttplayer.exe ”说明图标文件的位置是“d:\千千静听\\ttplayer.exe ”，这里要解释一下，一般EXE文件中都包含ICO图标文件，还有就是WINDOWS的图标不支持BMP、JPG、GIF等图片格式，如果想使用的话可以用ICO文件转换工具进行转换，另外在编程软件中都会提供此类转换功能。11：ConfirmFileOp=0这句什么意思？答：确认文件选项为0，表示删除时，系统不会给出警告。至于0代表什么设置个人估计是默认设置，不行你换成1看看有什么变化。]