system3\drivers\etc\hosts".Cómo obtener

Propietario=Administrador

Personalizado=5

NombrePersonalizado=Mis documentos

Cambiar el color de la carpeta

p>

Al implementar esta función, debe registrar un archivo .dll ColorFolder.dll. No he probado el contenido específico, por lo que no puedo proporcionar el contenido correspondiente. Lo siguiente es lo que encontré en línea como referencia.

Cambiar color de carpeta

[.ShellClassInfo]

IconFile=ColorFolder.dll

IconIndex=0

Guárdelo como archivo desktop.ini y también guarde el archivo ColorFolder.dll (este archivo está disponible para descargar en Mikebox.com)

Si desea agregar una imagen de fondo, cambie el color del nombre del archivo. en la carpeta al mismo tiempo!

[ExtShellFolderViews]

IconArea_Text=0x000000FF

Atributos=1

IconArea_Image=bg04.jpg

[ .ShellClassInfo]

ConfirmFileOp=0

Coloque la imagen llamada bg04.jpg en la misma carpeta y luego agregue la carpeta mencionada anteriormente que puede cambiar la imagen de fondo en el código original. ! Reemplace la imagen bg04.jpg y modifique el nombre de la posición roja (bg04.jpg) al nombre de la imagen reemplazada, ¡y podrá configurarla como su imagen de fondo favorita (se recomienda el formato jpg)! ¡Modificar 0x000000FF puede cambiar el color del archivo al color que desee! 0x000000FF es rojo, 0x00008000 es verde, 0x00FF0000 es azul, 0x00FFFFFF es blanco. (Para cambiar el color, debe tener un archivo que admita la biblioteca de vínculos dinámicos)

Registrar la biblioteca de vínculos dinámicos: ingrese en Inicio 〉〉〉〉Ejecutar: ¡Registra la biblioteca de vínculos dinámicos con el sistema!

Después de modificar el archivo desktop.ini, debe ejecutar el comando (los atributos correspondientes a la ruta de la carpeta) para que surta efecto. [Edite este párrafo] Introducción al virus Desktop.ini Introducción al virus ini Este virus es un virus compuesto que integra infección de archivos ejecutables, infección de red, descarga de troyanos de red u otros virus en la plataforma Windows. Después de ejecutar el virus, se disfrazará como. un sistema normal para confundir a los usuarios y modificar las entradas del registro para permitir que el virus se ejecute automáticamente en el inicio. Al mismo tiempo, el virus utiliza tecnología de inyección de subprocesos para evitar el monitor de firewall conectado al virus y, a través del monitor de firewall, se conecta al sitio web especificado por el autor del virus para descargar troyanos específicos u otros virus; al mismo tiempo, después de ejecutarse el virus, enumera todos los recursos compartidos de intranet disponibles e intenta infectar la computadora de destino a través de una conexión de contraseña débil.

Los virus infectarán los archivos ejecutables en la computadora del usuario, reduciendo así la velocidad de ejecución de la computadora del usuario, destruyendo los archivos ejecutables en la computadora del usuario y poniendo en peligro la seguridad del usuario.

Los virus se propagan principalmente mediante la piratería de directorios, la agrupación de archivos, la ejecución de programas infectados y archivos adjuntos de correo electrónico que pueden contener virus.

1. Después de ejecutar el virus, se copiará a la carpeta de Windows y el nombre del archivo es:

SystemRoot\rundl132.exe

2. El virus se infectará después de ejecutar el archivo, el virus copiará el cuerpo del virus en el siguiente archivo:

SystemRoot\logo_1.exe

3. el virus se generará en la carpeta de virus:

Directorio de virus\vdll.dll

4. El virus busca archivos exe en todas las particiones disponibles del disco Z y luego. infecta archivos ejecutables con un tamaño de 27kb-10mb. Una vez completada la infección, se genera en la carpeta de infección:

_desktop.ini (atributos del archivo: sistema, oculto.

)

5. El virus intenta modificar el vdll en el archivo vdll.exe. El virus intenta modificar el archivo SysRoot\system32\drivers\etc\hosts.

6. El virus puede ejecutarse automáticamente después del inicio agregando las siguientes claves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"load"="C:\\WINNT\rundl132.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="C : \WINNT\\rundl132.exe"

7. Cuando el virus se ejecuta, intentará encontrar un programa con el nombre del formulario "RavMonClass" y enviará un mensaje para cerrar el programa después de encontrar el formulario.

8. Enumere los siguientes nombres de procesos de software antivirus y finalice sus procesos después de encontrarlos:

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.Ravmond.exe

9. Al mismo tiempo, el virus utilizará el siguiente comando para Intente finalizar el software antivirus relacionado:

net stop "Kingsoft AntiVirus Service"

10. Envíe datos de detección ICMP "Hola, mundo" para determinar el estado de la red.

Enumere todos los hosts de la intranet que admiten **** e intente utilizar contraseñas débiles para conectarse a directorios compatibles con ****, como \IPC$ y \admin$ después de la conexión. Si tiene éxito, la red quedará infectada.

11. Infectar archivos exe en la computadora del usuario, pero no archivos en las siguientes carpetas:

system

system32

windows

Documentos y configuraciones

Información del volumen del sistema

Reciclado

winnt

Archivos de programa

Windows NT

WindowsUpdate

Reproductor de Windows Media

Outlook Express

Internet Explorer

Aplicación ComPlus

NetMeeting

Archivos comunes

Messenger

Microsoft Office

Información de instalación de InstallShield

MSN

Portada de Microsoft

Movie Maker

MSN Gaming Zone

12.

Explorer

Iexplore

Encuentra procesos que cumplen con los criterios y los inyecta aleatoriamente en uno de los dos procesos mencionados anteriormente.

13. Cuando la red externa esté disponible, el archivo dll inyectado intentará conectarse a algunos sitios web para descargar y ejecutar programas relacionados. Las ubicaciones son: c:\1.txt,: SystemRoot\0Sy. exe,: SystemRoot\1Sy.exe,: SystemRoot\2Sy.exe

14.>14. El virus agregará el contenido del "1.txt" descargado a las siguientes claves de registro relacionadas:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]

"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]

"ver_down0 "="[arranque\\\\\\\\\\\\\\\\"

"ver_down1"="[cargador de arranque]

timeout= 30

[Sistema operativo]

multi(0)disco(0)rdisco(0)partición(1)\\WINDOWS=\"Microsoft Windows XP Professional\"/// /"

"ver_down2"="default=multi(0)disk(0)rdisk(0)partición(1)\\WINDOWS

[Sistema operativo]

multi(0)disco(0)rdisco(0)partición(1)\WINDOWS =\"Microsoft Windows XP Professional\"/////"

Método de eliminación de virus de ESCRITORIO

1. Generado a partir de la propia versión y el archivo exe infectado

C:\WINDOWS\rundl132.exe

C:\WINDOWS\logo_1.exe

Directorio donde se encuentra el virus\vidll.dll

2. Agregar información de registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cargar " "C:\WINDOWS\rundl132.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"cargar" "C:\ WINDOWS\rundl132.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]

"auto"="1"

3. Infecta algunos archivos exe y infectarse Libere el archivo _desktop.ini en el directorio donde se encuentra el archivo exe

4 Modifique el archivo hosts

C:\WINDOWS\system32\drivers\etc\hosts<. /p>

5. Inserte vidll.dll en el proceso explorer.exe o iexplore.exe

6 Detenga algunos procesos de software de seguridad

Resuelva el proceso:

1. Cierre el proceso rundl132.exe y elimínelo

C:\WINDOWS\rundl132.exe

2.

l.dll

Puede desactivar vidll.dll mediante el inicio automático de SSM. exe, luego

Abra el administrador de tareas (ALT CTRL Eliminar), finalice el proceso explorer.exe y elimine el archivo vidll.dll

Luego use la etiqueta = encima de la tarea archivo administrador ===Nueva tarea===Buscar, localizar y ejecutar

C:\WINDOWS\Explorer.exe

3. Elimine la información y otros archivos de virus creados en el registro_desktop. .ini, logo_1.exe

4. Repare el archivo de hosts manipulado y abra el archivo de hosts con el Bloc de notas

C:\WINDOWS\system32\drivers\etc\hosts

Cómo eliminar DESKTOP

El virus desktop.ini crea muchos archivos de virus. El virus ini creará una gran cantidad de cuerpos de virus en todas las particiones del disco duro, como escritorio_1.ini, escritorio_2.ini, etc. Si se eliminan estos archivos del sistema, el virus creará inmediatamente un nuevo archivo del mismo tipo. Por lo general, cuando nos encontramos con un virus de este tipo, podemos eliminar todas las particiones del virus a la vez en DOS, lo que requiere un procesamiento por lotes. El método específico es el siguiente:

Abra el Bloc de notas y luego copie el siguiente código en él:

Luego cambie al formato bat

cd \

c：

del Desktop_*.ini /f /s /q /ah

cd \

d：

del Escritorio_ *.ini /f /s /q /ah

cd\

e：

del Escritorio_*.ini /f /s /q /ah

cd\

f：

del Desktop_*.ini /f /s /q /ah

g：

del Desktop_*.ini /f /s /q /ah

Luego haga doble clic para ejecutar y eliminar todos los virus.

Algunas preguntas comunes:

1: ¿Qué significa [LocalizedFileNames] en desktop.ini en la carpeta de herramientas de administración?

Respuesta: [LocalizedFileNames] es "nombre de archivo restringido" y es el identificador del archivo de control.

2: En escritorio.ini

[.shellclassinfo]

LocalizedResourceName=@SystemRoot\system32\shell32.dll,-21762

¿Qué hace esto? ¿Qué hace?

¿Qué hace el LocalizedResourceName anterior?

¿Qué hace -21762? ¿Cuál es la razón de esto?

Respuesta: LocalizedResourceName es el "nombre del recurso restringido", seguido del nombre de la dirección de referencia. Tenga en cuenta que la biblioteca de vínculos dinámicos SHELL32.DLL registra mucha de esta información, incluida la dirección del ícono ICO. Y el último -21762 es una identificación, que puede entenderse como un código de instrumento integrado (ICO). ID, que también se puede interpretar como un índice INDEX.

3: Dentro de un desktop.ini

InfoTip está la descripción al apuntar a la carpeta,

Pero infotip=@Shell32.dll, ¿qué significa -12690? ¿Qué significa?

Respuesta: No es difícil de entender consultando la segunda pregunta. La sugerencia de información es "InfoTip" y todavía está conectada a SHELL32.DLL. El -12690 al final también es un número de índice.

4: Dentro de un escritorio.ini

IconFile está la ruta de la carpeta del icono

IconFile=SystemRoot\system32\SHELL32.

ICONINDEX=-238 es el nombre del archivo del gráfico.

Pero, ¿qué icono es -238 y en qué carpeta se encuentran estos iconos?

¿Cómo puedo ver claramente la lista? de estos íconos?,

¿Y qué ícono representa el número citado afuera, por ejemplo -238 representa qué ícono?

Respuesta: Continúe consultando las respuestas a las dos primeras preguntas. ICONFILE es "archivo de icono ICO". No explicaré este último. En cuanto a cómo encontrar el ícono, puede buscar la imagen a través de la opción "Seleccionar ícono" en las propiedades de cualquier acceso directo y luego buscar en el índice para encontrar la imagen especificada.

5: En escritorio.ini

[DeleteOnCopy]

Owner=Jed

Personalizado=14

NombrePersonalizado=Mis vídeos

¿Qué significan?

Respuesta: Debería ser desktop.ini en la carpeta "Mis vídeos" en "Mis documentos". "Owner=Jed" significa que la carpeta actual pertenece al usuario "Jed", "Personalized=14" significa que este es un atributo privatizado para uso privado, no entiendo qué significa 14, "PersonalizedName=My Videos" significa el El nombre de este documento privado es "Mis vídeos".

6: Dentro de un escritorio.ini, comenzando con

== ==

; Corporación.

¿Qué significan?

¿Funciona con código HTML? ----gt; ¿tiene la misma funcionalidad en los comentarios?

En caso afirmativo, ¿cuál es el formato específico?

Respuesta: Esto es simple, significa que el código es propiedad de "Microsoft". Esto se puede ver en muchos lugares, por ejemplo, muchos sitios web escribirán debajo "Copyright (c) tal y tal Corporación. Todos los derechos reservados".

7: un escritorio.ini dentro de

[.ShellClassInfo]

CLSID=

ConfirmFileOp=1

InfoTip=Contiene información sobre la estabilidad de la aplicación.

¿Qué significa esto?

Respuesta: Debe ser desktop.ini en la carpeta de protección del sistema, que se utiliza para especificar la información de ShellClass. "CLSID=" significa que el ID de la clase en la dirección de registro es "1D2680C9- 0E2A-. 469d-B787- 065558BC7D43", "InfoTip=Contiene información sobre la estabilidad de la aplicación" es la sugerencia informativa. Consulte la respuesta a la pregunta 3.

8: desktop.ini en la carpeta de fuentes xp (c:\windows\fonts\)

[.ShellClassInfo]

UICLSID=

¿Qué significa esto?

Respuesta: Consulte la pregunta 7. No es difícil de entender. "UICLSID=" indica el ID del estilo de fuente. La dirección en el registro es "BD84B380-8CA2-1069-AB1D-08000948F534". .

9: xp en C:\Documentos y configuraciones\Usuario predeterminado\SendTo\desktop.ini

[LocalizedFileNames]

Destinatario de correo.MAPIMail=@ sendmail .dll, -4

Atajo de escritorio.DeskLink=@sendmail.dll, -21

¿Qué significa?

Respuesta: El significado de "LocalizedFileNames" no se mencionó, se mencionó en la pregunta anterior. La última pregunta se puede explicar directamente en inglés. Una es "receptor de correo" y la otra es "acceso directo de escritorio". Las bibliotecas de enlaces dinámicos utilizadas respectivamente son "sendmail.dll

Pero iconfile=* .*Qué". ¿Se admiten los formatos de íconos? Solo sé que los íconos de programas exe son compatibles y el formato ico también debería ser compatible.

He probado BMP, JPG, etc., pero no son compatibles.

Respuesta: " iconindex=mainicon "indica que el índice del ícono ICO es la imagen principal, que es el ícono predeterminado. El archivo del ícono ICO contiene el ícono de WINDOWS y no admite BMP, JPG, GIF y otros formatos de imagen. Si desea utilizarlo, puede utilizar la herramienta de conversión de archivos ICO para convertirlo. Además, dichas funciones de conversión también se proporcionan en el software de programación.

11: ¿Qué significa ConfirmFileOp=0? /p>

Respuesta: ConfirmFileOp es 0. En cuanto a lo que representa 0, se puede configurar individualmente. Probablemente sea la configuración predeterminada, no verá el cambio si lo cambia a 1.