為 了同個問題弄了三個晚上
結論是

更新還是擋不住，重點在於當你重灌後，若執行被病毒感染的執行檔後，便會再次陷入同樣的狀況

當系統第一次執行被感染檔時(無意間發現被感染檔大小比原始檔還大)，會出現desktop.ini
若刪除它，再執行被感染檔時，雖不會再出現desktop.ini但皆會出現下列問題
cpu使用率會暴增
工作管理員會出現一個iexplore.exe
接著，在temp目錄會出現net.tmp，再出現ad001.exe(和其他.dll檔)
然後在工作管理員會出現一個4and1.exe，但馬上會消失
最後，管理員和temp會出現一個3.exe，網路就跟著斷了
以上是弄了三個晚上得到的結果
不過同時也發覺procexp(一個進階工作管理員)還真好用，因為它可以用搜尋找出所有執行程序呼叫了那些檔案

目前的應急作法，小弟重灌後更新後，從備份光碟裡安裝了所需軟體(因為不確定放在硬碟的檔案是否被感染)
然後把確定被感染的二個檔案(一個是p2p另一個是遊戲)，重新安裝覆蓋後，執行此二檔都無問題
之前未覆蓋此二檔時，重灌系統後若執行它們，一定會出現上述的問題，百試不爽

至於其他放在系統槽以外的執行檔，除非有光碟備份可重安裝，不然小弟都不敢碰，可能要等新的病毒碼出來再說

你可先到temp目錄查看是否有小弟上述的檔案，若有
重灌系統後，請用光碟安裝需要的軟體，而不要用硬碟裡的檔案
在昨晚用此方法安裝好二台電腦後，到目前都"還未"復發"
因為不確定一開始病毒是從那侵入的，若是xp的漏洞的話
那復發可能是指日可待了

開機會自動開啟兩個desktop.ini
Explorer.exe一直維持是100%
svchost.exe記憶體佔用量會不斷的增加
能連線卻無法上網



如果您已更新防毒軟體至最新的版本及病毒碼，但仍然無法清除某些中毒檔案，下面進一步說明應如何處理：
注意：並非所有的病毒都是屬於可清除的病毒。
(1) 清除暫存檔案 : Windows Temp 資料夾或 IE 暫存資料夾中的病毒檔案可能因系統正在使用中而無法清除，
且因這些資料夾中的檔案是 Windows 運作中產生的暫存檔，所以請依下列步驟刪除病毒檔案。
a. 開啟IE > 工具 > 網際網路選項 > 一般 ，在中間 Temporary Internet File 內按下 "刪除檔案"，
勾選 "刪除所有離線內容"然後按確定。
b. 在開始 > 程式集(所有程式) > 附屬應用程式 > 系統工具 中，選擇 "清理磁碟"將所有磁碟的資料清除。

(2) 關閉XP 系統還原 : 某些病毒藏匿在此，會隨著系統還原又恢復檔案，在
開始 > 所有程式 > 附屬應用程式 > 系統工具 中，選擇 "系統還原"，關閉系統還原。

(3) 重開機在安全模式下掃毒 : 正在執行的程式，系統會阻擋防毒軟體刪除檔案，
可在重開機時按 "F8"選擇安全模式下做掃毒。




可以改用 ewido 掃掃看，市面上的防毒軟體對木馬病毒真是對防不了的，絕對讓你中毒的

可是覺得還是無法完全根除的，要不就是windows變的半身不遂了

http://www.ewido.net/en/

要不就是在裝套firewall，慢慢過濾，不認識的程式一路不准聯網，這也可以的




wow_alan
新進會員

註冊日期: 2006-05-24
發表數: 6
積分: 0
文章編號: 1635744
發表時間: 2006-09-06 14:15

我最近也愈到了
我也發現我的 XP 有這樣的狀況
我試過很多方法
原本防毒軟體是 諾頓企業版9 抓到病毒 但是沒用 不能刪除 可以隔離
病毒躲藏位址 C:\System Volume Information\ 底下
當然在XP 是近不去那個資料夾

試過 微軟的 線上掃毒 但是成效不佳 因為病毒把系統 CPU效能提到 100
所以每次都當機收場 ! 其實照理說 不會當機 只是 真的完全動不了

後來把系統還原到沒發作的那一天 現在看起來比較沒問題
不過看了 下面文章 還是怕會發生問題!
如果有問題我還是會在來回報的 !

*************轉貼************

看了知識+上大家不少的解答，但是似乎很多人中了卻又復發
或是執行檔案很奇怪...
我也是發生同樣問題，於是一邊重灌一邊觀察
最後終於發現癥結點，也發現病毒的運作方式..
所以，在重灌N次後
終於讓我把這個討厭的病毒從我電腦裡完全清除掉了
也知道怎麼預防掉他..現在完全正常不會復發...

這裡提供針對此病毒發作方式進行「危機處理」的解法給大家
（這裡也提供復發解救方式）
以下分兩種解法
一種是可以重灌電腦的解法（A）
另一種解法提供不想重灌或因為某些因素無法重灌的人使用（B）
Α解法會解決得很乾淨^_^！建議最好還是重灌∼不要怕麻煩∼
Β解法因為病毒可能已經感染某些檔案，你可能會有執行某些東西上的問題

◎◎◎◎◎◎◎

病毒運作感染方式：

特徵：
該病毒會感染電腦裡附檔名為exe的執行檔，
故「大型遊戲」類的執行檔「一定要刪」..感染率幾乎100%
即使解毒和修補漏洞完畢了..若你電腦還留存被感染過的執行檔，
那麼只要一執行病毒又會再度感染的∼！

另..執行系統還原..我試過很多次..答案是無效！所以不用嘗試了..

建議如果是網路上抓得到的軟體、或你有安裝光碟的軟體，
請你「狠下心」砍掉他的exe檔在進行備份，
到時安裝後再把備份的資料貼回去原先資料夾裡通常就可以恢復設定。 病毒不一定感染哪一個執行檔，也不是全部都去感染，
所以如果你安裝的軟體、遊戲已「絕版」...
那就要確定該檔案有沒有被感染！
如果不幸被感染也只好刪除...
但如果電腦已經解毒又要確定該檔案有沒有「中獎」，
我最後有附「危機處理」方式，
幫助你過濾掉電腦裡所有已經被病毒感染的檔案。


病毒「不太會」感染的exe檔案有以下幾種
■用壓縮軟體壓縮過的exe檔，一般軟體的安裝程式有不少屬於這種
■用winrar、winzip壓縮出來製造的exe檔
■16位元下的exe執行檔（即dos模式下的exe執行檔）
■檔案本身設定了唯讀的exe檔
■有密碼保護的exe檔
■flash製作成的exe執行檔


病毒「特別愛」感染的exe檔類型是
■檔案小的exe「程式」執行檔
■檔案小的exe單一「程式」執行檔
■大型遊戲的exe執行檔


感染方式：
在drive:\Documents and Settings\user\Local Settings\Temp產生如下檔案
　□ad001.exe
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
並執行3.exe及ad001.exe
接著在drive:\%systemroot%\下建立kb20060111.exe、
在drive:\%systemroot%\system32\下建立wincfgs.exe。
之後開始進行感染..

此病毒首先會先將Documents and Settings裡的desktop.ini「取消隱藏」，
全數取消後才寫入包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787的資料
如果該desktop.ini裡原先就有資料，
他會直接在原先的資料後面或最前面附加寫入該資料。

如果使用者將被取消隱藏的desktop.ini刪除，
則會出現資料夾或捷徑被改名並取消原有設定的情形！
刪除「我的文件」項下的資料夾的desktop.ini，
「我的音樂」會變成「My Musics」
「我的圖片」會變成「My Pictures」
「我的影片」會變成「My Videos」
並取消原有資料夾屬性變成一般資料夾
（原先的圖示都會不見）

刪除「開始」功能表->程式集項下的desktop.ini，
「遠端協助」會變成「Remote Assistance」

刪除「開始」功能表->程式集->附屬應用程式項下的desktop.ini，
則有一套預設不會安裝的windows隨附軟體捷徑會變更名稱
（我電腦現在沒裝..所以看不到更動）

刪除「我的最愛」項下的desktop.ini，
「我的最愛」會更名為Favorites並並取消原有資料夾屬性變成一般資料夾。
（原先的圖示都會不見）

所以我的建議：
不用刪desktop.ini！用改內容的把原先內容改回來，並設回隱藏即可。
解法請看下面。

◎◎◎◎◎◎◎

●前置步驟
注意！執行前置步驟期間及其後未完成修補之間，
請不要任意執行其他exe執行檔，以免再度受到感染。
兩個解法都要進行這個前置步驟。


1.開機，按F8進入安全模式。（選擇第一個模式，不要有網路的）
2.開啟檔案總管，
　上面的選項列
　選擇工具->資料夾選項->檢視->
　隱藏已知檔案類型的檔案、隱藏保護的作業系統檔案勾勾取消，
　並點選顯示所有檔案和資料夾，按確定。
3.清空Temporary Internet Files資料夾，位置在
　drive:\Documents and Settings\user\Local Settings\Temporary Internet Files
　drive是你的windows安裝槽
　user是你的用戶名稱
4.刪除檔案，刪除在temp資料夾裡面的下面幾個檔案(找不到的檔案可直接略過)
　□ad001.exe
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
　temp的位址在drive:\Documents and Settings\user\Local Settings\Temp

5.在windows資料夾及system32資料夾刪除檔案
　□kb20060111.exe
　　在drive:\%systemroot%\下
　　(一般為C:\Windows）
　□wincfgs.exe
　　在drive:\%systemroot%\system32\下
　　(一般為C:\Windows\system32）

6.初步處理desktop.ini
　按開始->執行->輸入msconfig
「啟動」項內，將有desktop.ini的項目取消勾選。
　注意，「不用」刪除desktop.ini，他們只不過是純文字檔，不會感染你電腦！

※以下步驟選擇Ａ解法的人，請在重灌完後再建立（請參照A解法裡的指示）

7.建立預防檔案，建立方法為新增一個純文字文件，把檔名直接改成如下檔名即可。
　☆在temp資料夾裡面建立下面幾個檔案
　□ad001.exe
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
　☆在windows安裝資料夾裡建立kb20060111.exe。
　☆在system32資料夾裡建立wincfgs.exe。

8.將剛剛建立好的檔案，點選右鍵，選擇「內容」，
　將「唯讀」的框框打勾，按確定。設定好後要再按內容看一次確定有選到唯讀。
　這樣的作法是讓病毒無法產生那些病毒檔，避免他去感染其他exe檔！
　注意請不要刪掉這些你建立的檔案，
　至少在各大防毒軟體廠商發佈可偵測到此病毒的病毒碼前避免刪除。

9.接下來請重開機進入正常模式，此時應該可以正常上網不會被病毒干擾！
接著依你要不要重灌選擇A或B解法。