下面介紹壹下desktop.ini的用法:(desktop.ini還有壹個特殊的CLSID,可以讓文件夾在修改後具有和快捷方式壹樣的功能,當然只能指向文件夾。不知道這個世界上有多少人知道。知道的發消息到百度ID: ziyouzhuiqiu兌換200分)
壹.文件夾圖標
[.ShellClassInfo]
InfoTip=註釋
IconFile=圖標文件的路徑。
IconIndex=選擇文件中要使用的圖標。
自定義圖標文件,其擴展名可以是。exe,。dll,。ico等。
二、文件夾背景
[ExtShellFolderViews]
{ be 098140-a 513-11d 0-a3 a4-00 c 04 FD 706 EC } = { be 098140-a 513-110d 0-a3 a4-00 c 04 FD 706 EC }
[{ be 098140-a 513-11d 0-a3 a4-00 c 04 FD 706 EC }]
屬性=1
icon area _ Image = 11 . jpg
[.ShellClassInfo]
ConfirmFileOp=50
其中11.jpg為圖片。用記事本將以上內容保存為desktop.ini,放入要更改背景圖片的文件夾中。為了防止意外刪除,您可以將desktop.ini和圖片設置為隱藏屬性。
第三,標記特殊文件夾
系統中有壹些特殊的文件夾,比如回收站、我的電腦、我的文檔、網上鄰居等等。有兩種方法可以標記這些文件夾:
1.直接在文件夾名稱後加壹個“.”並添加相應的CLSID。
例如,將文件夾命名為新文件夾。{ 20d 04 Fe 0-3 AEA-1069-a2d 8-08002 b 30309d }
(註意:新文件夾後面有壹個半角句點)
那麽這個文件夾的圖標就會變成我的電腦的圖標,雙擊這個文件夾就會打開我的電腦。
參見下面的CLSID。
在註冊表中展開HKEY _類_根\CLSID\可以看到CLSID分支下有很多ID,分別對應系統中不同的程序、文件、系統組件等等。
對應於公共組件類的CLSID:
我的文檔:450 D8 ba-Ad25-11d 0-98 A8-0800 361b 1103。
我的電腦:20d 04 Fe 0-3 AEA-1069-a2d 8-08002 b 30309d
在線鄰居:208 d2c 60-3 AEA-1069-a2d 7-08002 b 30309d
回收站:645 ff 040-5081-101 b-9f 08-00a 002 f954 e
internet Explorer:871c 5380-42 A0-1069-A2EA-08002 b 30309d
控制面板:21ec 2020-3 AEA-1069-A2DD-08002 b 30309d
撥號網絡/網絡連接:992 cffa 0-f557-101a-88ec-00dd 010 CCC 48。
任務計劃:d 6277990-4C6A-11CF-8d 87-00a 0060 F5 BF
打印機(和傳真):2227 a280-3 AEA-1069-A2DE-08002 b 30309d
歷史文件夾:7bd 29 e 00-76c 1-11cf-9dd 0-00 a0c 9034933。
ActiveX緩存文件夾:88c6c 381-2e 85-11d 0-94de-444553540000。
公文包:85 bbd 920-42a 0-1069-a2 E4-08002 b 30309d
2.第二種是通過desktop.ini文件。
以我的電腦為例:
創建壹個任意名稱的新文件夾,然後在其下創建壹個desktop.ini文件,內容如下:
[.ShellClassInfo]
CLSID={對應的ID}
註意:有些病毒會創建這樣的文件夾來隱藏自己。另外,這也是我們隱藏小秘密的壹種方式。
第四,標記文件夾的所有者
這通常可以在我的文檔等中找到。例如,在我的文檔中有這樣壹個文件,內容如下:
[刪除副本]
所有者=管理員
個性化=5
PersonalizedName =我的文檔
五、改變文件夾顏色
該功能的實現需要註冊壹個ColorFolder.dll的. dll文件。因為沒試過,所以無法提供相應的內容。以下是我在網上找的,供參考。
更改文件夾顏色
[.ShellClassInfo]
IconFile=ColorFolder.dll
IconIndex=0
將其與ColorFolder.dll文件(從Mikebox網盤下載)壹起保存為deskto.ini文件。
如果要添加背景圖片,同時改變文件夾中文件名的顏色!
[ExtShellFolderViews]
IconArea_Text=0x000000FF
屬性=1
IconArea_Image=bg04.jpg
[.ShellClassInfo]
ConfirmFileOp=0
將名為bg04.jpg的圖片放在同壹個文件夾中,然後在原代碼下添加上面的內容來更改文件夾的背景圖片!更改bg04.jpg的圖片,將紅色位置(bg04.jpg)的名稱更改為更改後的圖片名稱,即可設置為自己喜歡的背景圖片(推薦jpg格式)!修改0x000000FF,將文件顏色改為妳想要的顏色!0x000000FF為紅色,0x00008000為綠色,0x00FF0000為藍色,0x00FFFFFF為白色!(改變顏色也要有動態鏈接庫文件支持。)
註冊動態鏈接庫:請在開頭輸入“regsvr32 ColorFolder.dll”(不包括引號,regsvr32和ColorFolder.dll之間有壹個空格!)向系統註冊動態鏈接庫!
修改desktop.ini文件後,命令(attrib +s對應文件夾的路徑)生效!編輯本段|回到Desktop.ini病毒的介紹。該病毒是在Windows平臺下,集可執行文件感染、網絡感染和下載網絡木馬或其他病毒於壹體的復合病毒。病毒運行後,偽裝成系統的正常文件來迷惑用戶。通過修改註冊表項,病毒可以在開機時自動運行,同時病毒通過線程註入技術繞過防火墻的監控。連接到病毒作者指定的網站下載特定的特洛伊木馬或其他病毒,病毒運行後枚舉內網所有可用的* * *共享,並嘗試通過弱密碼連接被感染的目標電腦。
用戶機器上的可執行文件在運行過程中被感染,導致用戶機器運行速度變慢,破壞用戶機器的可執行文件,危害用戶安全。
病毒主要通過* * *共享目錄、文件捆綁、運行被感染程序、帶有病毒的郵件附件等方式傳播。
1.病毒運行後,將其自身復制到Windows文件夾中,文件名為:
% SystemRoot % \ rundl 132 . exe
2.運行受感染文件後,病毒會將病毒體復制到以下文件中:
%SystemRoot%\logo_1.exe
3.同時,病毒會在病毒文件夾中生成:
病毒目錄\vdll.dll
4.該病毒從Z盤開始,在所有可用分區中搜索exe文件,然後感染所有大小為27kb-10mb的可執行文件,感染後在被感染文件夾中生成:
_desktop.ini(文件屬性:system,hidden。)
5.該病毒將嘗試修改% sysroot % \ system32 \ drivers \ etc \ hosts文件。
6、該病毒通過添加以下註冊表項來實現病毒引導自動運行:
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run]
" load " = " C:\ \ WINNT \ \ rundl 132 . exe "
[HKEY _當前用戶\軟件\微軟\ Windows NT \當前版本\Windows]
" load " = " C:\ \ WINNT \ \ rundl 132 . exe "
7.病毒在運行時,試圖找到壹個名為“RavMonClass”的程序,找到窗體後發送消息關閉程序。
8.枚舉下列防病毒軟件進程名,找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9.同時,該病毒試圖通過使用以下命令來終止相關的防病毒軟件:
網絡停止“金山毒霸服務”
10.發送ICMP探測數據“Hello,World”判斷網絡狀態。當網絡可用時,
枚舉內網所有* * *共享主機,嘗試用弱密碼連接\\IPC$、\admin$等* * *共享目錄。連接成功後,會發生網絡感染。
11.感染用戶計算機上的exe文件,但不感染以下文件夾中的文件:
系統
系統32
窗子
文檔和設置
系統卷信息
重復利用
winnt
程序文件
windows操作系統
WindowsUpdate
Windows媒體播放器
Outlook Express
微軟公司出品的web瀏覽器
ComPlus應用
網絡會議系統
公共文件
送信人;通信員
微軟辦公
InstallShield安裝信息
微軟網絡
Microsoft Frontpage
電影制作人
MSN遊戲區
12.枚舉系統進程,並嘗試有選擇地將病毒dll(vdll.dll)註入到與下列進程名稱對應的進程中:
探險家
微軟公司的網際網路瀏覽器軟件
找到符合條件的進程後,隨機註入上述兩個進程中的壹個。
13.當外部網絡可用時,註入的dll文件會嘗試連接壹些網站下載並運行相關程序。具體位置是:c:\1.txt,:%SystemRoot%\0Sy.exe,:%SystemRoot%\1Sy.exe,:%SystemRoot%。
14.該病毒會將下載的“1.txt”內容添加到以下相關註冊表項中:
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Soft \ download www]
" auto"="1 "
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows]
" ver _ down 0 " = "[boot loader]\ \ \ \ \ \ \ \ \ \ \ \ \ \ "
" ver _ down 1 " = "[引導加載程序]
超時=30
[操作系統]
多(0)磁盤(0)rdisk(0)分區(1)\ \ WINDOWS = \ " Microsoft WINDOWS XP Professional \ "////"
" ver _ down 2 " = " default = multi(0)disk(0)rdisk(0)partition(1)\ \ WINDOWS
[操作系統]
多(0)磁盤(0)rdisk(0)分區(1)\ \ WINDOWS = \ " Microsoft WINDOWS XP Professional \ "/////"
如何清除桌面病毒
1,釋放自身感染exe文件後生成。
C:\WINDOWS\rundl132.exe
C:\WINDOWS\logo_1.exe
病毒所在的目錄\ vidll.dll。
2.添加註冊表信息
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run]
加載“C:\WINDOWS\rundl132.exe”
[HKEY _當前用戶\軟件\微軟\ Windows NT \當前版本\Windows]
加載“C:\WINDOWS\rundl132.exe”
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Soft \ download www]
" auto"="1 "
3.感染壹些exe文件,在被感染的exe文件所在的目錄下釋放_desktop.ini。
4.修改主機文件
c:\ WINDOWS \ system32 \ drivers \ etc \ hosts
5.vidll.dll被插入到explorer.exe或iexplore.exe的進程中。
6.停止壹些安全軟件的進程。
求解過程:
1.關閉rundl132.exe的進程並將其刪除。
C:\WINDOWS\rundl132.exe
2.搜索以查找並刪除vidll.dll。
Vidll.dll可以被SSM自動啟動禁用,vidll.dll可以在重啟後刪除。
或者停止插入的進程,然後刪除dll文件。如果它被插入到explorer.exe的過程中,那麽
打開任務管理器(ALT CTRL Delete),結束explorer.exe進程,並刪除vidll.dll文件。
然後用任務管理器上面的tab文件= = =新建任務= = =瀏覽,查找,運行。
C:\WINDOWS\Explorer.exe
3.刪除註冊表中創建的信息和其他病毒文件_desktop.ini和logo _ 1.exe。
4.修復已更改的hosts文件,並使用記事本打開hosts文件。
c:\ WINDOWS \ system32 \ drivers \ etc \ hosts
如何清理桌面
電腦感染desktop.ini病毒後,會在硬盤的所有分區中創建desktop_1.ini、desktop_2.ini等幾個病毒體。壹般這些文件中的任何壹個都會在系統下被刪除,病毒會立即創建壹個新的同類文件。通常我們會遇到這樣的病毒體,在DOS下可以壹次性刪除所有分區的病毒體,需要批量處理。具體做法如下:
打開記事本,然後復制以下代碼:
改成bat格式。
cd \
丙:
del Desktop_*。ini /f /s /q /ah
cd \
d:
del Desktop_*。ini /f /s /q /ah
cd \
e:
del Desktop_*。ini /f /s /q /ah
cd \
女:
del Desktop_*。ini /f /s /q /ah
cd \
g:
del Desktop_*。ini /f /s /q /ah
然後雙擊運行刪除所有病毒體。