Board logo

主題: [求助] [求助]開機會出現desktop.ini(已更新.有問題的再看一次) [打印本頁]
發表人: titan7185    時間: 2006-8-31 01:10 AM     主題: [求助]開機會出現desktop.ini(已更新.有問題的再看一次)

最近幫人修電腦發現這個問題,開機會出現desktop.ini內容是[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%system32shell32.dll,-21787
大概都在C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs
C:\Documents and Settings\All Users\Start Menu
跟微軟描述的都一樣
但是微軟的解決方法根本就沒用,它根本就沒辦法讓你刪(不是不能刪,是刪了之後它還是在),不能修改或用防毒軟體掃它。
國外的論壇也找過,大陸和香港的也都看過,大家還是都還是都PO微軟沒有用的解決方法。
因為我不了解登錄檔,但我覺得這應該是惡意程式而且也有改登錄檔,否則應該不至於會這樣(雖然沒發現到它對系統有啥傷害)。
我搞了3個多小時,頭昏腦脹的...如果有看不懂我所描訴的情況麻煩請自行收尋以下的字串:
[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%system32shell32.dll,-21787
以下是微軟對它的解決方法
http://support.microsoft.com/kb/330132/zh-tw
------------------------------------------------------------------------------------------------------------------
跟大家說一聲抱歉,因為要我幫他修的人電腦還沒拿回去用,所以我不知道重灌之後還會有這問題發生,真的很抱歉
然後我再重申一次微軟的解決方法是無效的
剛剛在香港論壇有看到一個解決方法,但是有沒有用我不知道。

1.到window/system32裡面把shell32.dll給刪掉(刪不掉就到安全模式下刪)
2.刪除後再用ad-award掃過一遍

但是我不知道刪除這個檔對你的系統是否有什麼傷害,或是有什麼嚴重的後果,請先備份好。
不知道這方式有沒有效,麻煩有問題的人回報一下。

然後能否請有問題的人告訴我,你們是否有安裝什麼軟體或上過什麼網站之後才會這樣,謝謝

[titan7185 在  2006-9-1 01:20 PM 作了最後編輯]
發表人: enixandy    時間: 2006-8-31 08:19 AM

在啟動項目把它停用也不行嗎?
發表人: titan7185    時間: 2006-8-31 09:40 AM

這方法我試過了,開機的時候的確不會有ini檔跑出來,但是依舊刪不掉
發表人: lalala456    時間: 2006-8-31 09:54 AM

奇怪,我刪的掉阿??真的不行用unlocker 試試,看是誰鎖定這個檔案
PS:我之前有先聊刪掉了以下檔案...這些都是特洛伊木馬
c:\windows\system32\DriverInfo.exe
C:\WINNT\system32\aclrdrvs.exe
C:\Documents and Settings\%user%\Local Settings\plugin1.dat

提供給你參考一下
發表人: titan7185    時間: 2006-8-31 10:59 AM

感謝...用UNLOCKER都刪掉了,神奇的是UNLOCKER說沒有被東西鎖住。
更神奇的是,刪掉後我還是要重灌...因為桌面上每個東西都不能打開,工作列也會出錯
忙了一天,我到底在幹啥啊....
發表人: lch2003    時間: 2006-8-31 02:18 PM



官方的解決方法: http://support.microsoft.com/def ... Bzh-tw%3B330132#top
發表人: chiahsu58    時間: 2006-9-3 06:42 PM


引用:
titan7185寫到:
感謝...用UNLOCKER都刪掉了,神奇的是UNLOCKER說沒有被東西鎖住。
更神奇的是,刪掉後我還是要重灌...因為桌面上每個東西都不能打開,工作列也會出錯
忙了一天,我到底在幹啥啊....

我也是有這個問題
重灌之後掃毒沒問題,不開BT還好
一開BT之後,就出現發現特洛伊木馬
刪除之後,網頁也打不開了
啥事都不能做
只好暫時不用BT,等有無解決方法再說
發表人: lalala456    時間: 2006-9-3 11:13 PM

等等,我看了前幾篇回文,不會是沒有做windows update 吧>.<"

http://www.microsoft.com/taiwan/ ... letin/ms06-045.mspx
發表人: titan7185    時間: 2006-9-5 01:56 PM


引用:
lalala456寫到:

http://www.microsoft.com/taiwan/ ... letin/ms06-045.mspx

這個我真的看不懂跟出現這問題有什麼關係,但是那電腦的確是沒有做更新的動作。能否請你大致上說明一下,這個更新和這問題出現有什麼關聯性?...謝謝
發表人: chlu    時間: 2006-9-6 02:55 PM

今天也碰上一台電腦出現 ..... 無法處理
update 後不會出現 desktop.ini 筆記本了 但還是無法瀏覽網頁
用 命令提示字元 ping www.hinet.net
正常應出現 pinging www.hinet.net [203.66.88.89] with 32 bytes of data:
但是他出現 pinging www.hinet.net [?] with 32 bytes of data:
好像是 dns 問題 ........ 目前還是無法解決 ................
發表人: 45326565    時間: 2006-9-6 07:29 PM

這篇來參考看看
http://www.cert.org.tw/document/ ... t_sn=TW-CA-2003-082
目前沒有UPDATA也沒有發生事情
所以只能提供一些看似OK的參考方法.希望對你有所幫助
發表人: chlu    時間: 2006-9-6 08:34 PM


引用:
45326565寫到:
這篇來參考看看
http://www.cert.org.tw/document/ ... t_sn=TW-CA-2003-082
目前沒有UPDATA也沒有發生事情
所以只能提供一些看似OK的參考方法.希望對你有所幫助


謝謝您提供的資訊 只是這是 XP SP1 的可能解決方式
忘了說這台電腦是 XP SP2 而且以更新至200606月 還是謝謝提供方法........
發表人: AshenVic    時間: 2006-9-6 08:38 PM

今天我"好像"也中這個了...還是在應該不會有毒的網站
進去網頁後發現,電腦處理程序那多了一個3.exe
之後IE什麼鬼也連不上
重新開機後WINDOWS自動載入了svchost32.exe
超級兔子看在REG裡面的名稱是mx,位置在IE目錄下

第一次發現的時候程式集裡都有發現desktop.ini檔,內容似乎和大家的一樣
因為很怪殺了又跑回來,才跑去看是不是被執行啥怪程式
發表人: condor    時間: 2006-9-6 10:43 PM

WinsockXPFix.exe

我有朋友也是遇到類似的問題,,去找這個軟體應該能解決沒法上網的問題.
發表人: chlu    時間: 2006-9-7 06:17 PM


引用:
condor寫到:
WinsockXPFix.exe

我有朋友也是遇到類似的問題,,去找這個軟體應該能解決沒法上網的問題.


用您提供的方法........結果正常了...........謝謝提供 ...............
發表人: jam1112    時間: 2006-9-8 11:42 PM

不知你是不是中了PE_VBAC.A-O(W32.Bacalid) 的變種
它目前只會感染繁體中文作業系統,不會在簡體中文系統發作

至少會出現下面這些東西
C:\Program Files\Internet Explorer\SVHOST32.EXE
C:\Documents and Settings\帳號名稱\Local Settings\Temp\3.exe
C:\Documents and Settings\帳號名稱\Local Settings\Temp\ad004.exe
desktop.ini (出現在在程式集裡的啟動、附屬應用程式及快速啟動列)

它還會感染其它硬碟槽位的 exe 檔,所以只重灌系統是沒有用的

http://www.ithome.com.tw/itadm/article.php?c=39235
http://www.pczone.com.tw/vbb3/showthread.php?t=127167
http://www.pczone.com.tw/vbb3/showthread.php?t=127168
發表人: AshenVic    時間: 2006-9-9 12:46 AM


引用:
jam1112寫到:
不知你是不是中了PE_VBAC.A-O(W32.Bacalid) 的變種
它目前只會感染繁體中文作業系統,不會在簡體中文系統發作


切身之痛...還好我沒啥重要的資料
徵兆是網路被切斷,EXPLORER.exe異常的CPU使用率100%
發表人: zelus    時間: 2006-9-9 04:25 PM

看各位大大的經驗,加上自己最近也出現問題,抓不到BIOS
用暴力方法進入XP,才發現應該是木馬在做怪,也就是微軟的漏洞
被入侵了,是svchost32.exe的漏洞,update後問題還是存在,
原來開機區被入侵,最後置換MBR恢復正常.
抓不到BIOS時是以關機後先拔掉HD的電源和排線,等抓到BIOS
進入修改設定,再先插排線後接電源,離開即可進入XP.
發表人: 阿ya    時間: 2006-9-10 02:10 PM

嗯這隻毒感染性超強..最近公司就掛了..一堆..殺一台感染一台..超難處理..
檢查一下會在IE的資料夾內如果發現了svchost32.exe..恭喜你中獎了...然後
在去C:\temp下看..如果又發現3.exe..恭喜你已經開始複製了...
接著...發現程式集裡到處充滿了desktop.ini...哇..你很難清乾淨了....
接著看是要一步步清理乾淨...或是走上了重灌的命運了...
爬了很多文章..看了很多清理方式...但是最後還是重灌最乾淨...而且重灌前也要注意其他磁區是否也有感染...不然重灌後一舊會出現....看看有沒有高手可以出各方便解救的方法...
發表人: jam1112    時間: 2006-9-10 05:38 PM


引用:
阿ya寫到:
嗯這隻毒感染性超強..最近公司就掛了..一堆..殺一台感染一台..超難處理..
檢查一下會在IE的資料夾內如果發現了svchost32.exe..恭喜你中獎了...然後
在去C:\temp下看..如果又發現3.exe..恭喜你已經開始複製了...
接著...發現程式集裡到處充滿了desktop.ini...哇..你很難清乾淨了....
接著看是要一步步清理乾淨...或是走上了重灌的命運了...
爬了很多文章..看了很多清理方式...但是最後還是重灌最乾淨...而且重灌前也要注意其他磁區是否也有感染...不然重灌後一舊會出現....看看有沒有高手可以出各方便解救的方法...


用BitDefender的線上掃毒來全機掃瞄就掃得到病毒
記得掃到後顯示的名稱是 W32.Bacalid.A(巴克雷病蟲)
BitDefender的線上掃毒掃到感染的exe、dll檔後,就會將感染的檔案刪除
有些刪不掉的檔案,可以先記起來後,再到安全模式下將它刪除
http://www.bitdefender.com/scan8/ie.html
發表人: Designer    時間: 2006-9-10 06:01 PM

我已經對客戶的電腦用bitdefender 殺無赦,我發現 這病毒真的很難纏.
偏偏中標的又是server ,讓我投鼠忌器.
昨天9/8日中午以後的Norton 企業版10.0.11 最新病毒定義檔
已經可以偵測到感染此病毒的檔案並直接刪除或隔離.(昨天以前可以偵測到但無法完全隔離)
這隻W32.Bacalid(巴克雷病蟲)讓我可忙翻了.
新型態的病毒...真的是防不勝防..
發表人: jam1112    時間: 2006-9-10 06:54 PM

巴克雷病蟲災情持續擴大中....

再補幾個相關連結

http://tw.news.yahoo.com/article/url/d/a/060906/1/3504.html

http://forum.pcdvd.com.tw/showthread.php?t=650266

http://www.mobile01.com/topicdetail.php?f=174&t=207063
發表人: wugen    時間: 2006-9-10 08:13 PM

對付PE_VBAC.A-O, 如果中毒很深, 應該拆硬碟到別的電腦上去掃毒.
發表人: AshenVic    時間: 2006-9-10 08:57 PM

這隻病毒會透過區域網路進行感染?
家裡兩台電腦有中,第一台中的時候正在看NOVA網頁
發現中毒後,我又手賤開NB去上NOVA,當然也中了
家裡其他電腦那時候也正開著,似乎沒事
很怕這玩意透過區域網路進行感染,有台專門放資料的電腦長期開機
發表人: Designer    時間: 2006-9-11 12:06 AM


引用:
AshenVic寫到:
這隻病毒會透過區域網路進行感染?
家裡兩台電腦有中,第一台中的時候正在看NOVA網頁
發現中毒後,我又手賤開NB去上NOVA,當然也中了
家裡其他電腦那時候也正開著,似乎沒事
很怕這玩意透過區域網路進行感染,有台專門放資料的電腦長期開機


會的!這玩意很厲害..會自己找尋區網裡面的所有電腦
並入侵她,如果還沒有發現區網裡面的電腦被入侵,最好立刻把中毒的電腦網路線拔除
就算已經把病毒刪除了.最好也不要立刻上線,因為你不知道到底有沒有清乾淨,

PS:這病毒可是會感染所有磁碟機裡面的任何一個 EXE 檔或 DLL 檔.一旦感染只能刪除!
發表人: jfpsy    時間: 2006-9-12 12:26 AM

請參見下面這個網址的說明:記事本病毒處理法
此外,可能需要使用到下面的幾個程式:


[jfpsy 在  2006-9-12 12:31 AM 作了最後編輯]
發表人: speed    時間: 2006-9-15 01:36 PM

W32.Bacalid

巴克雷及變種偵測清除工具,賽門的連結(國外)
網頁
清除工具

剛才試著掃,有偵測出並為我砍了中毒檔案,是否復發目前觀察中........



歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0