[轉貼]解決8/28的微軟漏洞 開機時出現Desktop.ini

magicalloveshe

最近在有人開機時 出現一個 Desktop.ini
導致電腦異常
工作列死當
CPU飄過高
開某軟體 常常沒回應
聽說是8/28的微軟漏洞(不知道是否為真?)


解決辦法:
方法(1)
將C:\Documents and Settings\USER\Start Menu\Programs\Startup\Desktop.ini
及
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Desktop.ini
裡面的 Desktop.ini 刪除後重新開機

方法(2)開始/執行/輸入"msconfig"/啟動

在啟動項目那裡
尋找有沒有開頭
是desktop的選項
把勾勾取消掉
按下套用/確定
重新開機後
應該就沒問題了

PS:方法(2)由網路查來但好像沒有用
因為Desktop.ini 還是存在

不知各位高手大大 是否有其他更好的意見 ?

我又從網路上找到下列資料提供各位大大参考 :
或是執行檔案很奇怪...
我也是發生同樣問題，於是一邊重灌一邊觀察
最後終於發現癥結點，也發現病毒的運作方式..
所以，在重灌N次後
終於讓我把這個討厭的病毒從我電腦裡完全清除掉了
也知道怎麼預防掉他..現在完全正常不會復發...

這裡提供針對此病毒發作方式進行「危機處理」的解法給大家
（這裡也提供復發解救方式）
以下分兩種解法
一種是可以重灌電腦的解法（A）
另一種解法提供不想重灌或因為某些因素無法重灌的人使用（B）
Α解法會解決得很乾淨^_^！建議最好還是重灌～不要怕麻煩～
Β解法因為病毒可能已經感染某些檔案，你可能會有執行某些東西上的問題

◎◎◎◎◎◎◎

病毒運作感染方式：

特徵：
該病毒會感染電腦裡附檔名為exe的執行檔，
故「大型遊戲」類的執行檔「一定要刪」..感染率幾乎100%
即使解毒和修補漏洞完畢了..若你電腦還留存被感染過的執行檔，
那麼只要一執行病毒又會再度感染的～！

另..執行系統還原..我試過很多次..答案是無效！所以不用嘗試了..

建議如果是網路上抓得到的軟體、或你有安裝光碟的軟體，
請你「狠下心」砍掉他的exe檔在進行備份，
到時安裝後再把備份的資料貼回去原先資料夾裡通常就可以恢復設定。

病毒不一定感染哪一個執行檔，也不是全部都去感染，
所以如果你安裝的軟體、遊戲已「絕版」...
那就要確定該檔案有沒有被感染！
如果不幸被感染也只好刪除...
但如果電腦已經解毒又要確定該檔案有沒有「中獎」，
我最後有附「危機處理」方式，
幫助你過濾掉電腦裡所有已經被病毒感染的檔案。


病毒「不太會」感染的exe檔案有以下幾種
■用壓縮軟體壓縮過的exe檔，一般軟體的安裝程式有不少屬於這種
■用winrar、winzip壓縮出來製造的exe檔
■16位元下的exe執行檔（即dos模式下的exe執行檔）
■檔案本身設定了唯讀的exe檔
■有密碼保護的exe檔
■flash製作成的exe執行檔


病毒「特別愛」感染的exe檔類型是
■檔案小的exe「程式」執行檔
■檔案小的exe單一「程式」執行檔
■大型遊戲的exe執行檔


感染方式：
在drive:\Documents and Settings\user\Local Settings\Temp產生如下檔案
　□ad001.exe
　□ad003.exe（與ad001.exe不會共存..有ad001.exe就不會有這個，反之則ad001.exe不會存在）
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
並執行3.exe及ad001.exe（或ad003.exe）
接著在drive:\%systemroot%\下建立kb20060111.exe、
在drive:\%systemroot%\system32\下建立wincfgs.exe。
之後開始進行感染..

首先它會執行3.exe和ad001.exe(或ad003.exe)，
此時將會去影響Explorer.exe，導致CPU執行100％，電腦運作龜速。
接下來開始感染電腦內的exe執行檔，同時進行以下動作：

此病毒首先會先將Documents and Settings裡的desktop.ini「取消隱藏」，
導致該檔案會出現在程式集等地方。
當該檔案全數取消隱藏設定後才寫入包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787的資料
如果該desktop.ini裡原先就有資料，
他會直接在原先的資料後面或最前面附加寫入該資料。

如果使用者將被取消隱藏的desktop.ini刪除，
則會出現資料夾或捷徑被改名並取消原有設定的情形！
刪除「我的文件」項下的資料夾的desktop.ini，
「我的音樂」會變成「My Musics」
「我的圖片」會變成「My Pictures」
「我的影片」會變成「My Videos」
並取消原有資料夾屬性變成一般資料夾
（原先的圖示都會不見）

刪除「開始」功能表->程式集項下的desktop.ini，
「遠端協助」會變成「Remote Assistance」

刪除「開始」功能表->程式集->附屬應用程式項下的desktop.ini，
則有一套預設不會安裝的windows隨附軟體捷徑會變更名稱
（我電腦現在沒裝..所以看不到更動）

刪除「我的最愛」項下的desktop.ini，
「我的最愛」會更名為Favorites並並取消原有資料夾屬性變成一般資料夾。
（原先的圖示都會不見）

所以我的建議：
不用刪desktop.ini！用改內容的把原先內容改回來，並設回隱藏即可。
解法請看下面。

◎◎◎◎◎◎◎

●前置步驟
注意！執行前置步驟期間及其後未完成修補之間，
請不要任意執行其他exe執行檔，以免再度受到感染。
兩個解法都要進行這個前置步驟。


1.開機，按F8進入安全模式。（選擇第一個模式，不要有網路的）
2.開啟檔案總管，
　上面的選項列
　選擇工具->資料夾選項->檢視->
　隱藏已知檔案類型的檔案、隱藏保護的作業系統檔案勾勾取消，
　並點選顯示所有檔案和資料夾，按確定。
3.清空Temporary Internet Files資料夾，位置在
　drive:\Documents and Settings\user\Local Settings\Temporary Internet Files
　drive是你的windows安裝槽
　user是你的用戶名稱
4.刪除檔案，刪除在temp資料夾裡面的下面幾個檔案(找不到的檔案可直接略過)
強制刪除檔案軟體（如果檔案刪除不掉請用此軟體刪除）
http://www.purgeie.com/dl/delinvfile.exe
　□ad001.exe
　□ad003.exe
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
　temp的位址在drive:\Documents and Settings\user\Local Settings\Temp

5.在windows資料夾及system32資料夾刪除檔案
　□kb20060111.exe
　　在drive:\%systemroot%\下
　　(一般為C:\Windows）
　□wincfgs.exe
　　在drive:\%systemroot%\system32\下
　　(一般為C:\Windows\system32）

6.初步處理desktop.ini
　按開始->執行->輸入msconfig
「啟動」項內，將有desktop.ini的項目取消勾選。
　注意，「不用」刪除desktop.ini，他們只不過是純文字檔，不會感染你電腦！

※以下步驟選擇Ａ解法的人，請在重灌完後再建立（請參照A解法裡的指示）

7.建立預防檔案，建立方法為新增一個純文字文件，把檔名直接改成如下檔名即可。
　☆在temp資料夾裡面建立下面幾個檔案
　□ad001.exe
　□ad003.exe
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
　☆在windows安裝資料夾裡建立kb20060111.exe。
　☆在system32資料夾裡建立wincfgs.exe。

8.將剛剛建立好的檔案，點選右鍵，選擇「內容」，
　將「唯讀」的框框打勾，按確定。設定好後要再按內容看一次確定有選到唯讀。
　這樣的作法是讓病毒無法產生那些病毒檔，避免他去感染其他exe檔！
　注意請不要刪掉這些你建立的檔案，
　至少在各大防毒軟體廠商發佈可偵測到此病毒的病毒碼前避免刪除。

9.接下來請重開機進入正常模式，此時應該可以正常上網不會被病毒干擾！
接著依你要不要重灌選擇A或B解法。

◎◎◎◎◎◎◎

Α.重灌電腦的解法（再次建議！選擇這個多花些時間但是效果較好！）

step1.備份資料

把本解毒方式開一個純文字文件全文複製貼上並存檔，
存起來備份，方便重灌後照步驟進行。

首先備份你需要的檔案！
如MSN表情符號、交談記錄、郵件、一堆設定、我的最愛、你的資料等等..
那些備份資料的步驟這裡不談，請自行來知識+或各大引擎搜尋備份方法。
如果有第二顆硬碟或C槽之外其他槽，就把資料copy過去。
如果沒有...請你用燒錄機燒起來吧。
那些exe檔請參照上面的「特徵」欄確認一下哪些EXE檔案不會被感染，
優先備份這些檔案，至於有風險的而你不需要的就刪除，
需要的則先不要執行它也不要壓縮它，
在重灌後會引導你如何進行最安全的測試來確定該檔案是否被感染。
備份的時候請盡量把檔案壓縮成rar檔以避免到時重灌後測試時，
若執行到有被感染的檔案而導致其他未被感染的檔案被感染。
大型遊戲的執行檔必須砍除，有補丁也得砍除。

※請一定要備有防火牆、防毒軟體的安裝程式，重灌完後馬上就要裝的，
因為一接上網路還沒更新之前可能疾風病毒會攻擊你電腦..
建議裝卡巴斯基的5.X版防毒，
防火牆則卡巴任意版本都可（事後你要用別家的..可以移除它）
不要裝6.X版的，還是測試版本，不穩定。

step2.安裝winxp

確定檔案都備份好後，「拔掉網路線」
放入winxp光碟片，重新開機，進入BIOS設定畫面裡設定光碟機為優先開機裝置。
進入安裝畫面後選擇格式化C槽（快速），進行winxp安裝。
（或用ghost之類的軟體還原）

step3.
安裝完成後請安裝好驅動程式，灌好後把防毒和防火牆裝上去。
（除此之外請不要執行其他軟體的安裝！！或去亂動其他有風險的EXE檔）

step4.
進行前置步驟裡的第7～8步驟，可以不用進安全模式..

step5.
進行有風險檔案測試，請看最後附錄。
如果在此步驟不幸因為手腳太慢「出搥」..那就～再度重灌～
然後把確認知道已經感染的exe檔刪掉再繼續進行..
確認電腦裡面的檔案都已經是沒有病毒感染的檔案後，
才可以進行下一步驟。

step6.
接上網路，重開機，進行windows update一直更新到sp2，
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧，務必把所有檔案都更新到，
在全部安裝完成前，其他網頁記得都不要去！
非正版軟體用戶請在重灌前自行尋找破解..（這裡不便提供）
並測試該破解方式確定可以通過微軟wga認證後，再行重灌，
以免重灌後無法更新...@_@~那就Orz囉..


step7.
全部更新完成後重開機～
恭喜你電腦已經完全修復完畢，
可以把你其他的軟體安裝、備份等回復設定囉～

magicalloveshe

Β.直接解毒的解法

step1.

把本解毒方式開一個純文字文件全文複製貼上並存檔，
存起來備份，方便網路拔線後照步驟進行。
進行下面步驟前
請確定你已經先將前置步驟1～8步驟完成再進行下一步驟。
進行windows update一直更新到sp2，
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧，務必把所有檔案都更新到，
在全部安裝完成前，其他網頁記得都不要去！
非正版軟體用戶請在重灌前自行尋找破解..（這裡不便提供）
全部更新完成後請拔線...然後重開機。

step2.
重開機後開啟檔案總管，進入
drive:\Documents and Settings\user\
及
drive:\Documents and Settings\All Users\項下，
進入「開始」功能表，對著desktop.ini連點兩下，開啟檔案。

step3.
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除後存檔
（如有其他資料不要更動，如果有非-21787的數值可以不用刪）

step4.
存檔後對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
開始功能表下的所有資料夾裡的desktop.ini都照此方法修復。
All Users下的開始功能表和user（你自己的使用者名稱）下的開始功能表
都用這種方式修復。

step5.
進入「我的文件」資料夾，同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=5
PersonalizedName=My Documents
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。

存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step6.
進入「我的文件」->「我的音樂」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=13
PersonalizedName=My Music
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-237
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-237
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step7.
進入「我的文件」->「我的音樂」->「範例音樂」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
BuyURL=http://windowsmedia.com/redir/xpsample.asp
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step8.
進入「我的文件」->「我的圖片」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=39
PersonalizedName=My Pictures
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=%SystemRoot%\System32\mydocs.dll
IconIndex=-101
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step9.
進入「我的文件」->「我的圖片」->「範例圖片」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
BuyURL=SamplePictures
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step10.
進入「我的文件」->「我的影片」資料夾
（不一定每個人都有，如果你沒有可以不需進行這個步驟）
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=14
PersonalizedName=My Videos
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12690
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=-238
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可

step11.
進入drive:\Documents and Settings\user\->「我的最愛」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173
LocalizedResourceName=@shell32.dll,-12693
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-173
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step12.
進入drive:\Documents and Settings\All Users\->「共用文件」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果資料內容刪除後已經空白，直接存檔就可以了！存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step13.
進入drive:\Documents and Settings\All Users\->「共用文件」->「共用音樂」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=C:\Program Files\TGTSoft\StyleXP\Icons\Current.qqoo\My Music3.ico
IconIndex=0
LocalizedResourceName=@shell32.dll,-28995
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-237
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step14.
進入drive:\Documents and Settings\All Users\->「共用文件」->「共用圖片」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=C:\Program Files\TGTSoft\StyleXP\Icons\Current.qqoo\My Pictures4.ico
IconIndex=0
LocalizedResourceName=@shell32.dll,-28997
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step15.
進入drive:\Documents and Settings\All Users\->「共用文件」->「共用影片」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12690
IconFile=%SystemRoot%\system32\SHELL32.dll IconIndex=-238
LocalizedResourceName=@shell32.dll,-28996
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-238
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

以上修改完成後，最好複製一份到其他資料夾（改一下檔名暫存）
例如我的最愛裡的desktop.ini可以先改名為「最愛-desktop.ini」
只要你自己知道那是哪一個就行了..
這是為了防止若在測試檔案是否受感染時..
病毒「手腳太快」又修改到，那你就可以直接把檔案蓋回去..^_^"
開始工具列的就不用複製了...反正頂多刪除內容而已@.@"
至於月芙沒有提到要改回來的部分，就是可改可不改的部分，
您可以直接將屬性設隱藏將檔案隱藏起來即可。（相關疑問請看最下方Q&A）

step16.
進行exe檔檢查..將有毒的檔案刪除掉～以免日後復發～
清毒完畢就恭喜你～不會再中囉^_^~
但是請注意..因為此病毒會動到登錄檔，
例如我用卡巴手腳太慢可能原先點右鍵顯示的「掃瞄病毒」選項
會在點右鍵後變成???????一堆問號，不過不影響功能～
要解決也很簡單，只要把出現問題的程式移除重灌一次，
就可以恢復正常顯示...

另..此解毒法有可能修正完後電腦仍然無法上線，
可執行此程式
http://www.pchell.com/downloads/WinsockXPFix.exe 來做修正..應該就OK了..

magicalloveshe

≡附錄--檢查EXE檔之危機大作戰≡

感謝知識+網友elvis提供的線上掃毒，
http://www.bitdefender.com/scan8/ie.html
似乎可以掃到此病毒，建議各位可以試看看，
用此線上掃毒過濾掉那些被感染的EXE檔，
會更省事。如果無法掃到而還是出現症狀，
請再往下面的步驟來過濾檔案。
--

這裡要檢查exe檔，因為此病毒會感染exe檔藏身在裡面，
請先有再度中獎的準備，再進行此檢查法..
如果你沒什麼重要的程式和資料，
建議你乾脆直接把那些執行檔砍掉重新安裝就可以了
也比較保險，而這裡是給你檢查一些..
你不捨得&得來不易的程式，
一個「可能不被判死刑」的機會..||||
大型遊戲檔案..不抱希望，
但是你想苟延殘喘看看也是可以的，
如果僥倖沒中獎..恭喜～

因為我們前面有建立防止它寫入的檔案，
所以它無法建立它自己的病毒檔，
因此無法感染其它檔案了
它要感染exe檔是在修改完desktop.ini後才會..
更何況可以感染的程式已經被你優先建立在那邊了..
它應該無法寫入..
所以現在它的威脅就只有會改掉你的desktop.ini...

「被病毒感染的exe檔特徵」
通常為程式執行檔、大型遊戲的執行檔
（奇怪的是小遊戲的執行檔似乎不太會中獎）
程式執行檔執行後電腦會「非常lag」，開啟非常慢..非常慢。
遊戲執行檔的話會跳出一片黑的視窗，或出現讀取錯誤，
然後關閉。也可能很LAG但也可能完全不LAG..
「最後修改日期」"可能"被修改過。

步驟1-檢查
參照一開始的「特徵」欄，過濾掉不需檢查的EXE檔
當然最好整個電腦所有的exe檔都執行檢查一次..

對你要檢查的程式按滑鼠右鍵，選內容。
查看「修改日期」，和建立日期，
如果顯示的是你中毒那天或到解毒完之前的日期內的時間
有很大的可能此檔案已經中毒。

但就算修改日期和建立日期沒更動的檔案也可能被感染，
因此此法只是讓你先過濾一下。
如果到這裡，你檢查的那個檔案你覺得不要也沒關係，
就直接刪除它吧。如果你一定要確認它是否完好，
請有心理準備..手腳要快喔！

步驟2-執行檔案
點兩下檔案，執行它。
如果出現被感染特徵，電腦非常LAG無法動彈..
請以最快的速度按下電腦主機上的重開機按鈕，
沒有該按鈕的直接按開關機鈕！
這是為了防止病毒繼續感染資料...
重開機後，將確定中獎的該檔案刪除。
接著動手修復desktop.ini。
如果你手腳夠快，
你的開始工具列裡應該只有一兩個項目，被取消了隱藏。
而此病毒一定要全數取消隱藏後才會寫入資料..
不過為了確保安全可以一樣執行該檔案進去確定一下，
確定沒被改後，對檔案點滑鼠右鍵一樣選擇隱藏就好了。

它一開始會先從「啟動」這個項目開始改，
接下來改「程式集」的項目
接下來才是「附屬應用程式」
至於那些我的最愛啦..我的文件啦的，
最後才去改...

所以只要你手腳夠快，
基本上不會搞到需要在去改我的最愛那些資料夾裡的desktop.ini的。

步驟3-
改完後再執行下一個exe檔..重複步驟1、步驟2，
將被感染的檔案一一處理掉（要清空資源回收桶喔），
等完全清除完畢，又有更新完sp2的話，你就不會再中獎囉！^_^

步驟4
還剩下的正常檔案建議燒光碟備份起來，
以後需要時就可以複製貼回去...


以上資訊～打了我整整5個小時+整理
希望能夠讓你順利的完全解決問題...

歡迎轉貼此頁連結幫助大家..謝謝~


柳月 2006.09.05

附錄2.
問題Q&A

因為知識+網友來信，
但是有不少人並沒有開啟知識檔案或寄信功能，
導致我無法回復，所以在這裡也做回答問題的動作。

Q:我desktop.ini的內容，裡面的最後數字不是-21787耶，那要刪嗎？
A:我本來就不提倡直接刪除這個檔案，建議你可以把內<容去除就行。
但是其實這個內容是不需要刪除的。

Q:我中這個病毒後，會一直出現Explorer.exe錯誤..然後就不能上網了..關機時也是出現錯誤..
A:這是因為此病毒的3.exe及ad001.exe(也可能是ad003.exe)會影響到這個檔案的運作。
而ad001.exe會去讀取VCab.DLL這個檔案來干擾，所以就不能上網了。

Q:我會出現svhost32.exe的錯誤..然後CPU100%..
接著iexplore.exe也是一直佔用著系統資源...
然後就得關閉視窗。也是同一個病毒麻？
A:這跟記事本病毒是分開的喔！它是另一個病毒，比記事本病毒更早出現。
解決方法是去微軟更新到沒有重大更新後，
將C:\Program Files\Internet Explorer\下的病毒檔刪除就好了。
（抱歉，病毒檔案名稱我忘記了，請上知識+搜尋這個病毒的解毒資訊，
因為他不是記事本病毒，不在我回答範圍內..）

Q:電腦裡有laodfile.exe和msdos32.dll的檔案，是病毒嗎？
A:是的！這是木馬，請到安全模式直接把這兩個檔案砍掉就可以了..這也是另一種病毒..

Q:desktop.ini既然是病毒我就直接砍了它就好啦？為什麼要留？
A:不是的！它本身不是病毒！它只是被病毒影響所以被改了檔案內容和屬性！
這個檔案它本身是無毒的～它是windows拿來設定資料夾用的而已。
所以就算不砍甚至不改也不要緊。
只是為了有些人可能不想看到英文的資料夾..所以讓大家把內容改回來！

Q:請問我如果已經把desktop.ini砍掉了..那我就不能改回來了？
A:請你一樣在刪除desktop.ini的位置新增一個純文字文件，
然後把你要改的那段內容貼進去，存檔，然後把檔名命名為desktop.ini就可以了..

Q:XXXX病毒怎解？
A:=.=......不是每個我都知道..
如果我有中我才會知道怎麼處理..T_T|||

Q:我看了大家中這個毒，我搜尋電腦裡面有desktop.ini耶！這樣就是中毒了嗎？
A:不一定，因為系統本身就存在這個檔案，
所以請你確定你的電腦有出現我前面提過的症狀，
您的電腦才是中了此病毒了。
另外，與這個病毒有些地方雷同的歡樂時光病毒並不在本文的討論範圍內，
請自行上知識+搜尋處理方式。

Q:這病毒到底會不會感染除了EXE檔之外的檔案？我是在FOXY下載影片後才中這個病毒的..
A:除了EXE之類的檔案都不會感染，你說你用foxy下載影片後才中這個病毒，
但其實很有可能是你下載這個檔案時病毒透過foxy裡面顯示的網頁..
傳播入侵你電腦讓你中毒的喔～
（發問該網友知識+檔案未開啟，只好在此回覆）

Q:文章太長了我照著做到後來..實在不記得做到哪了= =
A:沒辦法阿，顧及到有些網友本身對電腦的程度並不是很好，
我如果不寫得詳細點，操作出問題導致系統掛掉，我可是難辭其咎。
您做到哪一個步驟會忘記？這有很多方法解決吧！
建議您可以在操作前旁邊準備一個小冊子，每完成一個步驟就在小冊子上記錄，
這樣您若還能搞錯步驟，我只能說佩服佩服！

sos1107

好死不死竟然中標...目前正使用開板大的方法解決中...