¿Qué es exactamente Desktop.ini?
La siguiente es una introducción al uso de desktop.ini: (desktop.ini también tiene un CLSID especial, que permite que la carpeta tenga la misma función que un acceso directo después de la modificación; por supuesto, solo puede apunte a la carpeta.)
1. Icono de carpeta
[.ShellClassInfo]
InfoTip=Comentario
IconFile=Ruta al archivo de icono.
IconIndex=Seleccione el icono que se utilizará en el archivo.
Archivo de icono personalizado, su extensión puede ser. exe,. dll,. ico, etc.
2. Fondo de carpeta
[ExtShellFolderViews]
{ be 098140-a 513-11d 0-a3 a4-00 c 04 FD 706 EC } = { be 098140-a 513-110d 0-a3 a4-00 c 04 FD 706 EC }
[{ be 098140-a 513-11d 0-a3 a4-00 c 04 FD 706 EC }]
Atributo=1
área del icono _ Imagen = 11 jpg
[.ShellClassInfo]
ConfirmFileOp=0
< p. >11.jpg es una imagen. Utilice el Bloc de notas para guardar el contenido anterior como escritorio.ini y colóquelo en la carpeta donde desea cambiar la imagen de fondo. Para evitar una eliminación accidental, puede configurar escritorio.ini y las imágenes en propiedades ocultas.En tercer lugar, marque las carpetas especiales
Hay algunas carpetas especiales en el sistema, como la Papelera de reciclaje, Mi PC, Mis documentos, Sitios de red, etc. Hay dos formas de marcar estas carpetas:
1. Agregue directamente un "." después del nombre de la carpeta y agregue el CLSID correspondiente.
Por ejemplo, asigne a la carpeta el nombre Nueva carpeta. { 20d 04 Fe 0-3 AEA-1069-a2d 8-08002 b 30309d }
(Nota: hay un punto de medio ancho después de la nueva carpeta)
Luego el ícono de esta carpeta Se convertirá en el icono de Mi PC. Al hacer doble clic en esta carpeta se abrirá Mi PC.
Consulte CLSID a continuación.
Expanda HKEY_Class_Root\CLSID\ en el registro y podrá ver que hay muchos ID en la rama CLSID, que corresponden a diferentes programas, archivos, componentes del sistema, etc. en el sistema.
CLSID correspondiente a la clase de componente público:
Mi documento: 450 D8 ba-Ad25-11d 0-98 A8-0800 361b 1103.
Mi computadora: 20d 04 Fe 0-3 AEA-1069-a2d 8-08002 b 30309d
Vecinos en línea: 208 d2c 60-3 AEA-1069-a2d 7-08002 b 30309d
Papelera de reciclaje: 645 y siguientes 040-5081-101 b-9f 08-00a 002 f954 e
Internet Explorer: 871c 5380-42 A0-1069-A2EA-08002 b 30309d
Panel de control: 21ec 2020-3 AEA-1069-A2DD-08002 b 30309d
Acceso telefónico a redes/Redes: 992 cffa 0-f557-101a-88ec-00dd 010 CCC 48.
Plan de misión: d 6277990-4C6A-11CF-8d 87-00a 0060 F5 BF
Impresora (y fax): 2227 a280-3 AEA-1069-A2DE-08002 b 30309d
Carpeta de historial: 7bd 29 e 00-76c 1-11cf-9dd 0-00 a0c 9034933.
Carpeta de caché ActiveX: 88c6c 381-2e 85-11d 0-94de-444553540000.
Maletín: 85 bbd 920-42a 0-1069-a2 E4-08002 b 30309d
2.
Tome mi computadora como ejemplo:
Cree una nueva carpeta con cualquier nombre y luego cree un archivo desktop.ini debajo de ella con el siguiente contenido:
[.ShellClassInfo]
CLSID={ID correspondiente}
Nota: Algunos virus crearán este tipo de carpetas para ocultarse. Además, es una forma de ocultar nuestros pequeños secretos.
En cuarto lugar, marque el propietario de la carpeta.
Esto normalmente se puede encontrar en Mis documentos, etc. Por ejemplo, hay un archivo en mis documentos con el siguiente contenido:
[Eliminar copia]
Propietario=Administrador
Personalización=5
NombrePersonalizado =Mis Documentos
5. Cambiar el color de la carpeta
La implementación de esta función requiere el registro de un archivo .dll de ColorFolder.dll. Como no lo he probado, no puedo proporcionar el contenido correspondiente. Lo siguiente es lo que encontré en línea como referencia.
Cambiar color de carpeta
[.ShellClassInfo]
IconFile=ColorFolder.dll
IconIndex=0
Guárdelo junto con el archivo ColorFolder.dll (descargado del disco de red Mikebox) como un archivo deskto.ini.
Si desea agregar una imagen de fondo, cambie el color del nombre del archivo en la carpeta al mismo tiempo.
[ExtShellFolderViews]
IconArea_Text=0x000000FF
Properties=1
IconArea_Image=bg04.jpg
[ .ShellClassInfo]
ConfirmFileOp=0
Coloque la imagen llamada bg04.jpg en la misma carpeta y luego agregue el contenido anterior bajo el código original para cambiar el fondo de la imagen de la carpeta. ! Cambie la imagen de bg04.jpg, cambie el nombre de la posición roja (bg04.jpg) al nombre de la imagen modificada y luego configúrelo como su imagen de fondo favorita (se recomienda el formato jpg). ¡Modifique 0x000000FF y cambie el color del archivo al color que desee! 0x000000FF es rojo, 0x00008000 es verde, 0x00FF0000 es azul y 0x00FFFFFF es blanco. (El cambio de color también debe ser compatible con un archivo de biblioteca de vínculos dinámicos).
Registre la biblioteca de vínculos dinámicos: ingrese "regsvr32 ColorFolder.dll" al principio (sin incluir las comillas, hay un espacio entre regsvr32 y ColorFolder.dll) ¡Registre la biblioteca de vínculos dinámicos con el sistema!
Después de modificar el archivo desktop.ini, el comando (ruta a la carpeta correspondiente a los atributos) surte efecto. [Editar este párrafo] Introducción] Virus Desktop.ini Este virus es un virus compuesto que integra infección de archivos ejecutables, infección de red, descarga de troyanos de red u otros virus en la plataforma Windows. Una vez que el virus se ejecuta, se disfraza de un archivo normal del sistema para confundir a los usuarios. Al modificar las entradas del registro, el virus puede ejecutarse automáticamente cuando se enciende la computadora. Al mismo tiempo, el virus puede eludir la supervisión del firewall mediante tecnología de inyección de subprocesos. Conéctese a un sitio web designado por el autor del virus para descargar un caballo de Troya específico u otro virus. Después de ejecutarse, el virus enumera todos los * * * recursos compartidos disponibles en la intranet e intenta conectarse a la computadora de destino infectada a través de una contraseña débil.
El archivo ejecutable en la máquina del usuario se infecta durante la operación, lo que hace que la máquina del usuario funcione más lentamente, destruye el archivo ejecutable en la máquina del usuario y pone en peligro la seguridad del usuario.
Los virus se propagan principalmente a través de * * * directorios compartidos, agrupación de archivos, ejecución de programas infectados, archivos adjuntos de correo electrónico que contienen virus, etc.
1. Una vez que el virus se ejecuta, se copia a sí mismo en la carpeta de Windows. El nombre del archivo es:
SystemRoot\rundl 132.exe
2. Una vez infectado el archivo, el virus copiará el cuerpo del virus en el siguiente archivo:
SystemRoot\logo_1.exe
3. la carpeta del virus:
p>Virus Directory\vdll.dll
4. El virus se inicia desde la unidad Z, busca archivos exe en todas las particiones disponibles y luego infecta todos los ejecutables. archivos con un tamaño de 27kb-10mb y luego se generan en la carpeta infectada:
_desktop.ini (atributos de archivo: sistema, oculto).
5. archivo sysroot\system32\drivers\etc\hosts.
6. El virus realiza una operación de arranque automático agregando las siguientes claves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current version\Run]< / p>
" load " = " C:\\WINNT\\rundl132.exe "
[HKEY_Usuario actual\Software\Microsoft\Windows NT\Versión actual\Windows]
" load " = " C:\\WINNT\\rundl132.exe"
7. Cuando el virus se está ejecutando, intenta encontrar un programa llamado "RavMonClass" y encuentra el formulario. Luego envía el mensaje. para cerrar el programa.
8. Enumere los siguientes nombres de procesos de software antivirus y finalice el proceso después de encontrarlo:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9. el virus intenta utilizar El siguiente comando se utiliza para finalizar el software antivirus relacionado:
Detenga el "Servicio Kingsoft Antivirus" en la red
10. Mundo" para determinar el estado de la red. Cuando la red esté disponible,
enumere todos los * * * hosts compartidos en la intranet e intente utilizar contraseñas débiles para conectarse a \\IPC$, \admin$ y otros * * * directorios compartidos. Después de una conexión exitosa, se produce una infección de la red.
11. Infectar archivos exe en la computadora del usuario, pero no archivos en las siguientes carpetas:
Sistema
System 32
Ventana.
Documentación y configuración
Información del volumen del sistema
Reutilización
winnt
Archivos de programa
p>
Sistema operativo Windows
WindowsUpdate
Windows Media Player
Outlook Express
Navegador web producido por Microsoft Corporation
Aplicación ComPlus
Sistema de conferencias en red
Documentos públicos
Remitente
Microsoft Office
p>
Información de instalación de InstallShield
Microsoft Network
Microsoft Frontpage
Movie Maker
MSN Game Zone
12. Enumere los procesos del sistema e intente inyectar selectivamente el virus dll (vdll.dll) en el proceso correspondiente al siguiente nombre de proceso:
Explorer
Internet de Microsoft. software de navegador
Después de encontrar un proceso que cumple con las condiciones, inyecta aleatoriamente uno de los dos procesos mencionados anteriormente.
13. Cuando la red externa esté disponible, el archivo dll inyectado intentará conectarse a algunos sitios web para descargar y ejecutar programas relacionados. La ubicación específica es: c:\1.txt, :SystemRoot\0Sy.exe, :SystemRoot\1Sy.exe, :SystemRoot.
14. El virus agregará el contenido "1.txt" descargado a las siguientes claves de registro relacionadas:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\download www ]
" auto"="1 "
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows]
" ver _ down 0 " = " [cargador de arranque]\ \ \ \ \ \ \ \ \ \ \ \ \ "
" ver _ down 1 " = "[Cargador de arranque]
timeout=30
[Operando sistema]
Múltiples (0) discos (0) rdisk (0) particiones (1) \ \ WINDOWS = \ " Microsoft WINDOWS XP Professional \ "////"
" ver _ down 2 " = " predeterminado = multi(0)disco(0)rdisk(0)partición(1)\ \ WINDOWS
[Sistema operativo]
Múltiple (0) discos (0) rdisk (0) particiones (1) \ \ WINDOWS = \ " Microsoft WINDOWS XP Professional \ "/////"
Cómo eliminar virus de escritorio
1 , generado después de liberar su propio archivo exe infectado.
C:\WINDOWS\rundl132.exe
C:\WINDOWS\logo_1.exe
El directorio donde se encuentra el virus\vidll.dll.
2. Agregue información de registro
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current version\Run]
Cargue "C:\ WINDOWS\rundl132.exe ”
[HKEY_Usuario actual\Software\Microsoft\Windows NT\Versión actual\Windows]
Cargue “C:\WINDOWS\rundl132.exe”
[ HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Soft \ download www]
" auto"="1 "
3. Infectar algunos archivos exe _desktop.ini en el directorio donde se encuentra. se encuentra el archivo exe infectado.
4. Modifique el archivo host
c:\WINDOWS\system32\drivers\etc\hosts
5.vidll.dll se inserta en explorer.exe o el proceso iexplore.exe.
6. Detener los procesos de algún software de seguridad.
Proceso de solución:
1. Cierre el proceso rundl132.exe y elimínelo.
C:\WINDOWS\rundl132.exe
2. Busque y elimine vidll.dll.
Vidll.dll se puede desactivar iniciando automáticamente SSM y vidll.dll se puede eliminar después de reiniciar.
O detener el proceso insertado y luego eliminar el archivo dll.
Si se inserta en el proceso explorer.exe, entonces
Abra el Administrador de tareas (ALT CTRL Eliminar), finalice el proceso explorer.exe y elimine el archivo vidll.dll.
Luego use el archivo de pestaña en el administrador de tareas = = = para crear una nueva tarea = = = explorar, buscar y ejecutar.
C:\WINDOWS\Explorer.exe
3. Elimine la información creada en el registro y otros archivos de virus _desktop.ini y logo_1.exe.
4. Repare el archivo de hosts modificado y use el Bloc de notas para abrir el archivo de hosts.
c:\WINDOWS\system32\drivers\etc\hosts
Cómo limpiar el escritorio
Después de que la computadora esté infectada con el virus desktop.ini, Se crearán varios cuerpos de virus, como escritorio_1.ini, escritorio_2.ini, etc., en todas las particiones del disco duro. Generalmente cualquiera de estos archivos se eliminará del sistema y el virus creará inmediatamente un nuevo archivo del mismo tipo. Por lo general, nos encontraremos con este tipo de virus en DOS. Los virus de todas las particiones se pueden eliminar al mismo tiempo y deben procesarse en lotes. El método específico es el siguiente:
Abra el Bloc de notas y luego copie el siguiente código:
Cambiar al formato bat.
cd \
C:
del Escritorio_*. ini /f /s /q /ah
cd \
d:
del Escritorio_*. ini /f /s /q /ah
cd \
e:
del Desktop_*. ini /f /s /q /ah
cd \
Mujer:
del Escritorio_*. ini /f /s /q /ah
cd \
g:
del Escritorio_*. ini /f /s /q /ah
Luego haga doble clic para ejecutar y eliminar todos los virus.
Algunas preguntas comunes:
1: ¿Qué significa [LocalizedFileNames] en desktop.ini en la carpeta de herramientas de administración?
Respuesta: [LocalizedFileNames] es el "nombre de archivo restringido", que es la identificación del archivo de control.
2: En desktop.ini
[.shellclassinfo]
nombre de recurso localizado = @SystemRoot\system32\shell32.dll,-21762
¿Qué hace esto?
¿Cuál es la función del anterior LocalizedResourceName?
¿Cuál es la función de -21762 al final? ¿Bajo qué principio?
Respuesta: LocalizedResourceName es la dirección a la que hace referencia el nombre después de "Nombre de recurso limitado". Tenga en cuenta que una gran cantidad de dicha información está registrada en la biblioteca de enlaces dinámicos SHELL32.DLL, incluida la dirección del icono ICO. El último -21762 es el ID, que también puede entenderse como el índice.
3: En escritorio.ini
InfoTip es la descripción al apuntar a la carpeta.
Pero infotip=@shell32.dll, ¿qué significa -12690?
Respuesta: No es difícil de entender con referencia a la segunda pregunta.
¿Está conectada la información de información después de "Consejo de información" o SHELL32.DLL? -12690 a continuación también se encuentra el número de índice.
4: En desktop.ini
El archivo del icono se refiere a la ruta de la carpeta del icono.
IconFile = SystemRoot \ system32 \ shell 32. dll
ICONINDEX=-238 se refiere al nombre del archivo del gráfico.
Pero qué ícono es -238, en qué carpeta se colocan estos íconos,
¿Cómo puedo ver claramente la lista de estos íconos?
y Qué ícono está representado por un número citado afuera, como -238.
Respuesta: Continúe consultando las respuestas a las dos primeras preguntas. ICONFILE es un "archivo de icono ICO", que no se explicará más adelante. En cuanto a cómo encontrar este ícono, puede encontrar la imagen seleccionando la opción de ícono en las propiedades de cualquier acceso directo y luego ubicar la imagen especificada en el índice.
5: En escritorio.ini
[Eliminar copia]
Propietario=Jade
Personalización=14
p>Nombre personalizado =Mi vídeo
¿Qué significan?
R: Debería ser desktop.ini en la carpeta "Mis vídeos" de "Mis documentos". "Owner=Jed" indica que la carpeta actual pertenece al usuario Jed, "Personalized=14" indica el atributo privatizado para uso privado y el significado de 14 no está claro. "PersonalizedName=Mis vídeos" significa que el documento privado se denomina "Mis vídeos".
6: En desktop.ini, inicie
====
Copyright (c) empresa Microsoft. Todos los derechos reservados
== - ==
¿Qué significan?
¿Es lo mismo que
Si es así, ¿cuál es el formato específico?
Respuesta: Esto es muy simple. Significa que la propiedad de este código es "Microsoft". Esto se puede ver en muchos lugares, por ejemplo, muchos sitios web escribirán "Copyright (c) Corporation. Todos los derechos reservados".
7: En el escritorio.
[.ShellClassInfo]
CLSID=
ConfirmFileOp=1
¿Qué significa esto?
Respuesta: Debería ser desktop.ini en la carpeta protegida del sistema, utilizada para representar la información de ShellClass. "CLSID=" significa que la dirección del ID de clase en el registro es "1d 2680 c 9-0E2A-469d-B787-065558 bc7d 43", mientras que "Infotip = Contiene información de estabilidad de la aplicación" lo es. Consulte la respuesta a la tercera pregunta.
8:desktop.ini(c:\windows\fonts\) en la carpeta de fuentes xp.
[.ShellClassInfo]
UICLSID=
¿Qué significa esto?
Respuesta: Con referencia a la séptima pregunta, no es difícil entender que "UICLSID=" significa que la dirección del ID de estilo de fuente en el registro es "bd84b 380-8ca 2-1069-ab 1d -08000948 f 534".
9: C:\Documentos y Configuración\usuario predeterminado\enviar a\desktop.ini en XP.
[Nombre del archivo localizado]
Receptor de correo. MAPIMail=@sendmail.dll, -4
Atajo de escritorio. desklink=@sendmail.dll,-21
¿Qué quieres decir?
Respuesta: El significado de "LocalizedFileNames" no se menciona, pero está al principio. Las siguientes preguntas se pueden explicar directamente basándose en el significado en inglés. Uno es "Receptor de correo" y el otro es "Atajo de escritorio". Las bibliotecas de enlaces dinámicos utilizadas respectivamente son "sendmail.dll", pero los ID son diferentes, uno es 4 y el otro es 21.
10: un escritorio.ini
-
[.shellclassinfo]
iconindex =icono principal
Iconfile=d:\千千亿\\\ttplayer.exe
-
Si el icono principal se cambia a 1 o 2, el icono de la carpeta externa cambiará.
¿Pero qué formato es iconfile=*? *¿apoyo? Solo sé que admite íconos de programas exe y también debería admitir el formato ico.
Pruebe BMP JPG y similares que no son compatibles.
Respuesta: "iconindex=mainicon" significa que el índice del ícono ICO es la imagen principal, que es el ícono predeterminado. "iconfile=d:\Qianqianjing\ttplayer.exe" significa que la ubicación del archivo de icono es "d:\Qianqianjing\TT player.exe". Aquí, me gustaría explicar que los archivos EXE generales contienen archivos de íconos ICO y los íconos de WINDOWS no son compatibles con BMP, JPG, GIF y otros formatos de imagen. Si desea utilizarlo, puede utilizar la herramienta de conversión de archivos ICO para convertirlo.
11: ¿Qué significa la frase Confirmfileop = 0?
Respuesta: Asegúrese de que la opción de archivo sea 0. En cuanto a lo que representa la configuración 0, personalmente calculo que es la configuración predeterminada. Si eso no es posible, cámbielo a 1 y vea qué cambia. ]