時間 模件 物件 名稱 病毒 動作 使用者名稱 資訊
2006/9/10 下午 18:33:11 AMON 檔案 C:\Documents and Settings\Qoo\Local Settings\Temporary Internet Files\Content.IE5\GXYR8XE7\game[1].exe a variant of Win32/PSW.Lineage.ACN trojan 已隔離 - deleted 程式建立一個新檔案時發生事件 C:\Program Files\Maxthon\Maxthon.exe. 檔案已被移到隔離區。

......................................感覺就是像這種類似的吧
剛睡醒又聽到又中..不鳥他了

我的電腦都沒事 @@

算是幸運嗎

看來又是個粉毒的東西出來危害大家！

以下是尋找到的報導和心得

規避掃毒 新病毒「巴克雷」會自動更新
更新日期:2006/09/06 12:30
為了維護電腦的安全，大部分人都會安裝防毒軟體，防毒軟體也會定時更新病毒碼，以提供最新的病毒防護，不過現在這種自動更新的功能，連病毒也學會了，資安公司發現，一隻的新型態電腦病毒「巴克雷」，也會自動下載最新的攻擊模式。而且這個病毒目前只有在台灣地區出現，還沒有蔓延到其他國家。
（張德厚 報導）
防毒軟體會自動更新最新的病毒碼，以防止病毒與惡意程式的攻擊。不過這樣的動作現在連病毒也學會了。資安廠商賽門鐵克表示，一隻名為「巴克雷」(W32.Bacalid)的新型態電腦病毒，在入侵電腦之後會自動上網更新最新的攻擊模式，等於是偽裝變身以規避掃毒，這個的病毒的攻擊手法相當的多元。賽門鐵克大中華區的資深技術顧問王岳忠：「當它入侵之後它會自動連回網路，然後到某一個特定的地方去看病毒本身有沒有最新的版本，會做自我更新的動作﹔也就是說，這隻病毒有很輕易變種變形的能力，如果只依靠電腦中原有的防毒定義檔，那麼很快的就會攔不到它。」
資安公司提醒電腦使用者，由於感染這隻病毒的症狀有很多種，如果平時沒有設定病毒碼自動更新，使用者一但發現電腦有異常，必須立即手動下載執行最新的病毒定義檔﹔如果還是無法解決，就必須尋求資安人員的協助。
「巴克雷」病毒目前只有在台灣地區發現這隻病毒的蹤跡，並沒有蔓延到其他的地區。

國內資安大廠賽門鐵克及趨勢科技皆發現，近幾天台灣出現一種特有的「模組化惡意程式」，會不斷連結到特定大陸網站下載變種病毒；此外，只要是簡體中文的作業系統就不感染
台灣近來出現一種特有的「模組化惡意程式」，會不斷連結到大陸的網站（www.shuaiad.com）下載變種病毒，而且，只要是簡體中文的作業系統就不會受感染。

國內資安大廠賽門鐵克及趨勢科技於9月1日公佈這個新的威脅，並且表示，目前只有在台灣發現受害案例，為一具有「針對性」的病毒案例。

此病毒為一「模組化惡意程式」，也是近一年來惡意程式的發展趨勢。

賽門鐵克將這病毒取名代號為W32.Bacalid（巴克雷病蟲）。賽門鐵克技術顧問副理杜俊霖表示，W32.Bacalid為典型的「模組化惡意程式」。特別的是，W32.Bacalid可透過編碼方式辨認簡體中文，只要發現是簡體中文的作業系統，就不會遭受感染。此外，目前發現W32.Bacalid會不斷連線到一特定大陸網站下載變種病毒，包括一個木馬程式與兩個間諜程式。

所謂的「模組化惡意程式」其特色在於，一開始只有幾項功能，讓用戶端難以查覺入侵程式的存在，亦容易躲過安全軟體的偵測。一旦植入電腦，這種惡意程式便會透過安裝後門程式或瀏覽網頁，呼朋引伴，不斷下載其他元件，組成一個變種的惡意程式。

模組化惡意程式使得單一防毒軟體難以進行全面防護。防毒軟體必須透過更新病毒定義檔的方式找出並移除惡意程式。然而，模組化的惡意程式只要一更新功能模組，將形成另一個「變種」的惡意程式，原有病毒定義檔便無法偵測出來，要清除亦更加困難。

杜俊霖指出，賽門鐵克目前已接到好幾件受害案例，而且都是出現在台灣，包括一些民間企業、金控，以及高科技公司。

另一方面，趨勢科技亦在同時間發現到此病毒的存在，將其代號取為PE_VBAC.A-O。

趨勢科技技術總監王應達表示，目前的確只在台灣發現受害案例。不過這個病毒並沒有主動向外擴散的現象，大多是透過公司內部網路芳鄰散佈，因此影響性不大。

目前賽門鐵克及趨勢科技皆已在網頁上提供更新過後的病毒碼。王應達表示，未遭受危害的用戶在下載更新後，即能完全阻擋。不過針對以受害電腦，目前國內資安廠商都還未能提供有效的移除解決方案

1.在C:\Documents and Settings\Ken\Local Settings\Temp裡面如果有看到vCab.dll
2.在工作管理員中,如果處理程序裡面多一個3.exe
那麼中毒的機率很高,趨勢發佈的病毒名稱為『窺視』,賽門鐵克氏另一個名稱
目前好像無解,重灌是最保險的方式,並且administrator一定要加上密碼,避免共享目錄的感染!

為 了同個問題弄了三個晚上
結論是

更新還是擋不住，重點在於當你重灌後，若執行被病毒感染的執行檔後，便會再次陷入同樣的狀況

當系統第一次執行被感染檔時(無意間發現被感染檔大小比原始檔還大)，會出現desktop.ini
若刪除它，再執行被感染檔時，雖不會再出現desktop.ini但皆會出現下列問題
cpu使用率會暴增
工作管理員會出現一個iexplore.exe
接著，在temp目錄會出現net.tmp，再出現ad001.exe(和其他.dll檔)
然後在工作管理員會出現一個4and1.exe，但馬上會消失
最後，管理員和temp會出現一個3.exe，網路就跟著斷了
以上是弄了三個晚上得到的結果
不過同時也發覺procexp(一個進階工作管理員)還真好用，因為它可以用搜尋找出所有執行程序呼叫了那些檔案

目前的應急作法，小弟重灌後更新後，從備份光碟裡安裝了所需軟體(因為不確定放在硬碟的檔案是否被感染)
然後把確定被感染的二個檔案(一個是p2p另一個是遊戲)，重新安裝覆蓋後，執行此二檔都無問題
之前未覆蓋此二檔時，重灌系統後若執行它們，一定會出現上述的問題，百試不爽

至於其他放在系統槽以外的執行檔，除非有光碟備份可重安裝，不然小弟都不敢碰，可能要等新的病毒碼出來再說

你可先到temp目錄查看是否有小弟上述的檔案，若有
重灌系統後，請用光碟安裝需要的軟體，而不要用硬碟裡的檔案
在昨晚用此方法安裝好二台電腦後，到目前都"還未"復發"
因為不確定一開始病毒是從那侵入的，若是xp的漏洞的話
那復發可能是指日可待了

開機會自動開啟兩個desktop.ini
Explorer.exe一直維持是100%
svchost.exe記憶體佔用量會不斷的增加
能連線卻無法上網



如果您已更新防毒軟體至最新的版本及病毒碼，但仍然無法清除某些中毒檔案，下面進一步說明應如何處理：
注意：並非所有的病毒都是屬於可清除的病毒。
(1) 清除暫存檔案 : Windows Temp 資料夾或 IE 暫存資料夾中的病毒檔案可能因系統正在使用中而無法清除，
且因這些資料夾中的檔案是 Windows 運作中產生的暫存檔，所以請依下列步驟刪除病毒檔案。
a. 開啟IE > 工具 > 網際網路選項 > 一般 ，在中間 Temporary Internet File 內按下 "刪除檔案"，
勾選 "刪除所有離線內容"然後按確定。
b. 在開始 > 程式集(所有程式) > 附屬應用程式 > 系統工具 中，選擇 "清理磁碟"將所有磁碟的資料清除。

(2) 關閉XP 系統還原 : 某些病毒藏匿在此，會隨著系統還原又恢復檔案，在
開始 > 所有程式 > 附屬應用程式 > 系統工具 中，選擇 "系統還原"，關閉系統還原。

(3) 重開機在安全模式下掃毒 : 正在執行的程式，系統會阻擋防毒軟體刪除檔案，
可在重開機時按 "F8"選擇安全模式下做掃毒。




可以改用 ewido 掃掃看，市面上的防毒軟體對木馬病毒真是對防不了的，絕對讓你中毒的

可是覺得還是無法完全根除的，要不就是windows變的半身不遂了

http://www.ewido.net/en/

要不就是在裝套firewall，慢慢過濾，不認識的程式一路不准聯網，這也可以的




wow_alan
新進會員

註冊日期: 2006-05-24
發表數: 6
積分: 0
文章編號: 1635744
發表時間: 2006-09-06 14:15

我最近也愈到了
我也發現我的 XP 有這樣的狀況
我試過很多方法
原本防毒軟體是 諾頓企業版9 抓到病毒 但是沒用 不能刪除 可以隔離
病毒躲藏位址 C:\System Volume Information\ 底下
當然在XP 是近不去那個資料夾

試過 微軟的 線上掃毒 但是成效不佳 因為病毒把系統 CPU效能提到 100
所以每次都當機收場 ! 其實照理說 不會當機 只是 真的完全動不了

後來把系統還原到沒發作的那一天 現在看起來比較沒問題
不過看了 下面文章 還是怕會發生問題!
如果有問題我還是會在來回報的 !

*************轉貼************

看了知識+上大家不少的解答，但是似乎很多人中了卻又復發
或是執行檔案很奇怪...
我也是發生同樣問題，於是一邊重灌一邊觀察
最後終於發現癥結點，也發現病毒的運作方式..
所以，在重灌N次後
終於讓我把這個討厭的病毒從我電腦裡完全清除掉了
也知道怎麼預防掉他..現在完全正常不會復發...

這裡提供針對此病毒發作方式進行「危機處理」的解法給大家
（這裡也提供復發解救方式）
以下分兩種解法
一種是可以重灌電腦的解法（A）
另一種解法提供不想重灌或因為某些因素無法重灌的人使用（B）
Α解法會解決得很乾淨^_^！建議最好還是重灌∼不要怕麻煩∼
Β解法因為病毒可能已經感染某些檔案，你可能會有執行某些東西上的問題

◎◎◎◎◎◎◎

病毒運作感染方式：

特徵：
該病毒會感染電腦裡附檔名為exe的執行檔，
故「大型遊戲」類的執行檔「一定要刪」..感染率幾乎100%
即使解毒和修補漏洞完畢了..若你電腦還留存被感染過的執行檔，
那麼只要一執行病毒又會再度感染的∼！

另..執行系統還原..我試過很多次..答案是無效！所以不用嘗試了..

建議如果是網路上抓得到的軟體、或你有安裝光碟的軟體，
請你「狠下心」砍掉他的exe檔在進行備份，
到時安裝後再把備份的資料貼回去原先資料夾裡通常就可以恢復設定。 病毒不一定感染哪一個執行檔，也不是全部都去感染，
所以如果你安裝的軟體、遊戲已「絕版」...
那就要確定該檔案有沒有被感染！
如果不幸被感染也只好刪除...
但如果電腦已經解毒又要確定該檔案有沒有「中獎」，
我最後有附「危機處理」方式，
幫助你過濾掉電腦裡所有已經被病毒感染的檔案。


病毒「不太會」感染的exe檔案有以下幾種
■用壓縮軟體壓縮過的exe檔，一般軟體的安裝程式有不少屬於這種
■用winrar、winzip壓縮出來製造的exe檔
■16位元下的exe執行檔（即dos模式下的exe執行檔）
■檔案本身設定了唯讀的exe檔
■有密碼保護的exe檔
■flash製作成的exe執行檔


病毒「特別愛」感染的exe檔類型是
■檔案小的exe「程式」執行檔
■檔案小的exe單一「程式」執行檔
■大型遊戲的exe執行檔


感染方式：
在drive:\Documents and Settings\user\Local Settings\Temp產生如下檔案
　□ad001.exe
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
並執行3.exe及ad001.exe
接著在drive:\%systemroot%\下建立kb20060111.exe、
在drive:\%systemroot%\system32\下建立wincfgs.exe。
之後開始進行感染..

此病毒首先會先將Documents and Settings裡的desktop.ini「取消隱藏」，
全數取消後才寫入包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787的資料
如果該desktop.ini裡原先就有資料，
他會直接在原先的資料後面或最前面附加寫入該資料。

如果使用者將被取消隱藏的desktop.ini刪除，
則會出現資料夾或捷徑被改名並取消原有設定的情形！
刪除「我的文件」項下的資料夾的desktop.ini，
「我的音樂」會變成「My Musics」
「我的圖片」會變成「My Pictures」
「我的影片」會變成「My Videos」
並取消原有資料夾屬性變成一般資料夾
（原先的圖示都會不見）

刪除「開始」功能表->程式集項下的desktop.ini，
「遠端協助」會變成「Remote Assistance」

刪除「開始」功能表->程式集->附屬應用程式項下的desktop.ini，
則有一套預設不會安裝的windows隨附軟體捷徑會變更名稱
（我電腦現在沒裝..所以看不到更動）

刪除「我的最愛」項下的desktop.ini，
「我的最愛」會更名為Favorites並並取消原有資料夾屬性變成一般資料夾。
（原先的圖示都會不見）

所以我的建議：
不用刪desktop.ini！用改內容的把原先內容改回來，並設回隱藏即可。
解法請看下面。

◎◎◎◎◎◎◎

●前置步驟
注意！執行前置步驟期間及其後未完成修補之間，
請不要任意執行其他exe執行檔，以免再度受到感染。
兩個解法都要進行這個前置步驟。


1.開機，按F8進入安全模式。（選擇第一個模式，不要有網路的）
2.開啟檔案總管，
　上面的選項列
　選擇工具->資料夾選項->檢視->
　隱藏已知檔案類型的檔案、隱藏保護的作業系統檔案勾勾取消，
　並點選顯示所有檔案和資料夾，按確定。
3.清空Temporary Internet Files資料夾，位置在
　drive:\Documents and Settings\user\Local Settings\Temporary Internet Files
　drive是你的windows安裝槽
　user是你的用戶名稱
4.刪除檔案，刪除在temp資料夾裡面的下面幾個檔案(找不到的檔案可直接略過)
　□ad001.exe
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
　temp的位址在drive:\Documents and Settings\user\Local Settings\Temp

5.在windows資料夾及system32資料夾刪除檔案
　□kb20060111.exe
　　在drive:\%systemroot%\下
　　(一般為C:\Windows）
　□wincfgs.exe
　　在drive:\%systemroot%\system32\下
　　(一般為C:\Windows\system32）

6.初步處理desktop.ini
　按開始->執行->輸入msconfig
「啟動」項內，將有desktop.ini的項目取消勾選。
　注意，「不用」刪除desktop.ini，他們只不過是純文字檔，不會感染你電腦！

※以下步驟選擇Ａ解法的人，請在重灌完後再建立（請參照A解法裡的指示）

7.建立預防檔案，建立方法為新增一個純文字文件，把檔名直接改成如下檔名即可。
　☆在temp資料夾裡面建立下面幾個檔案
　□ad001.exe
　□VCab.DLL
　□111.dat
　□222.dat
　□333.dat
　□3.exe
　☆在windows安裝資料夾裡建立kb20060111.exe。
　☆在system32資料夾裡建立wincfgs.exe。

8.將剛剛建立好的檔案，點選右鍵，選擇「內容」，
　將「唯讀」的框框打勾，按確定。設定好後要再按內容看一次確定有選到唯讀。
　這樣的作法是讓病毒無法產生那些病毒檔，避免他去感染其他exe檔！
　注意請不要刪掉這些你建立的檔案，
　至少在各大防毒軟體廠商發佈可偵測到此病毒的病毒碼前避免刪除。

9.接下來請重開機進入正常模式，此時應該可以正常上網不會被病毒干擾！
接著依你要不要重灌選擇A或B解法。

◎◎◎◎◎◎◎

Α.重灌電腦的解法（再次建議！選擇這個多花些時間但是效果較好！）

step1.備份資料

把本解毒方式開一個純文字文件全文複製貼上並存檔，
存起來備份，方便重灌後照步驟進行。

首先備份你需要的檔案！
如MSN表情符號、交談記錄、郵件、一堆設定、我的最愛、你的資料等等..
那些備份資料的步驟這裡不談，請自行來知識+或各大引擎搜尋備份方法。
如果有第二顆硬碟或C槽之外其他槽，就把資料copy過去。
如果沒有...請你用燒錄機燒起來吧。
那些exe檔請參照上面的「特徵」欄確認一下哪些EXE檔案不會被感染，
優先備份這些檔案，至於有風險的而你不需要的就刪除，
需要的則先不要執行它也不要壓縮它，
在重灌後會引導你如何進行最安全的測試來確定該檔案是否被感染。
備份的時候請盡量把檔案壓縮成rar檔以避免到時重灌後測試時，
若執行到有被感染的檔案而導致其他未被感染的檔案被感染。
大型遊戲的執行檔必須砍除，有補丁也得砍除。

※請一定要備有防火牆、防毒軟體的安裝程式，重灌完後馬上就要裝的，
因為一接上網路還沒更新之前可能疾風病毒會攻擊你電腦..
建議裝卡巴斯基的5.X版防毒，
防火牆則卡巴任意版本都可（事後你要用別家的..可以移除它）
不要裝6.X版的，還是測試版本，不穩定。

step2.安裝winxp

確定檔案都備份好後，「拔掉網路線」
放入winxp光碟片，重新開機，進入BIOS設定畫面裡設定光碟機為優先開機裝置。
進入安裝畫面後選擇格式化C槽（快速），進行winxp安裝。
（或用ghost之類的軟體還原）

step3.
安裝完成後請安裝好驅動程式，灌好後把防毒和防火牆裝上去。
（除此之外請不要執行其他軟體的安裝！！或去亂動其他有風險的EXE檔）

step4.
進行前置步驟裡的第7∼8步驟，可以不用進安全模式..

step5.
進行有風險檔案測試，請看最後附錄。
如果在此步驟不幸因為手腳太慢「出搥」..那就∼再度重灌∼
然後把確認知道已經感染的exe檔刪掉再繼續進行..
確認電腦裡面的檔案都已經是沒有病毒感染的檔案後，
才可以進行下一步驟。

step6.
接上網路，重開機，進行windows update一直更新到sp2，
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧，務必把所有檔案都更新到，
在全部安裝完成前，其他網頁記得都不要去！
非正版軟體用戶請在重灌前自行尋找破解..（這裡不便提供）
並測試該破解方式確定可以通過微軟wga認證後，再行重灌，
以免重灌後無法更新...@_@~那就Orz囉..


step7.
全部更新完成後重開機∼
恭喜你電腦已經完全修復完畢，
可以把你其他的軟體安裝、備份等回復設定囉∼

Β.直接解毒的解法

step1.

把本解毒方式開一個純文字文件全文複製貼上並存檔，
存起來備份，方便網路拔線後照步驟進行。
進行下面步驟前
請確定你已經先將前置步驟1∼8步驟完成再進行下一步驟。
進行windows update一直更新到sp2，
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧，務必把所有檔案都更新到，
在全部安裝完成前，其他網頁記得都不要去！
非正版軟體用戶請在重灌前自行尋找破解..（這裡不便提供）
全部更新完成後請拔線...然後重開機。

step2.
重開機後開啟檔案總管，進入
drive:\Documents and Settings\user\
及
drive:\Documents and Settings\All Users\項下，
進入「開始」功能表，對著desktop.ini連點兩下，開啟檔案。

step3.
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除後存檔
（如有其他資料不要更動，如果有非-21787的數值可以不用刪）

step4.
存檔後對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
開始功能表下的所有資料夾裡的desktop.ini都照此方法修復。
All Users下的開始功能表和user（你自己的使用者名稱）下的開始功能表
都用這種方式修復。

step5.
進入「我的文件」資料夾，同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=5
PersonalizedName=My Documents
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。

存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step6.
進入「我的文件」->「我的音樂」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=13
PersonalizedName=My Music
[.ShellClassInfo]
[email protected],-12689
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-237
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-237
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step7.
進入「我的文件」->「我的音樂」->「範例音樂」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
BuyURL=http://windowsmedia.com/redir/xpsample.asp
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step8.
進入「我的文件」->「我的圖片」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=39
PersonalizedName=My Pictures
[.ShellClassInfo]
[email protected],-12688
IconFile=%SystemRoot%\System32\mydocs.dll
IconIndex=-101
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step9.
進入「我的文件」->「我的圖片」->「範例圖片」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
BuyURL=SamplePictures
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step10.
進入「我的文件」->「我的影片」資料夾
（不一定每個人都有，如果你沒有可以不需進行這個步驟）
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
PersonalizedName=My Videos
[.ShellClassInfo]
[email protected],-12690
IconFile=%SystemRoot%\system32\SHELL32.dll IconIndex=-238
[email protected],-28996
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-238
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）
因為我沒有這個資料夾，所以用的是共用影片資料夾的設定。
如果你知道設定的話也可以輸入進去哦..

step11.
進入drive:\Documents and Settings\user\->「我的最愛」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173
[email protected],-12693
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-173
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

以上修改完成後，最好複製一份到其他資料夾（改一下檔名暫存）
例如我的最愛裡的desktop.ini可以先改名為「最愛-desktop.ini」
只要你自己知道那是哪一個就行了..
這是為了防止若在測試檔案是否受感染時..
病毒「手腳太快」又修改到，那你就可以直接把檔案蓋回去..^_^"
開始工具列的就不用複製了...反正頂多刪除內容而已@.@"

step12.
進行exe檔檢查..將有毒的檔案刪除掉∼以免日後復發∼
清毒完畢就恭喜你∼不會再中囉^_^~
但是請注意..因為此病毒會動到登錄檔，
例如我用卡巴手腳太慢可能原先點右鍵顯示的「掃瞄病毒」選項
會在點右鍵後變成???????一堆問號，不過不影響功能∼
要解決也很簡單，只要把出現問題的程式移除重灌一次，
就可以恢復正常顯示...

另..此解毒法有可能修正完後電腦仍然無法上線，
可執行此程式
http://www.pchell.com/downloads/WinsockXPFix.exe 來做修正..應該就OK了..

Β.直接解毒的解法

step1.

把本解毒方式開一個純文字文件全文複製貼上並存檔，
存起來備份，方便網路拔線後照步驟進行。
進行下面步驟前
請確定你已經先將前置步驟1∼8步驟完成再進行下一步驟。
進行windows update一直更新到sp2，
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧，務必把所有檔案都更新到，
在全部安裝完成前，其他網頁記得都不要去！
非正版軟體用戶請在重灌前自行尋找破解..（這裡不便提供）
全部更新完成後請拔線...然後重開機。

step2.
重開機後開啟檔案總管，進入
drive:\Documents and Settings\user\
及
drive:\Documents and Settings\All Users\項下，
進入「開始」功能表，對著desktop.ini連點兩下，開啟檔案。

step3.
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除後存檔
（如有其他資料不要更動，如果有非-21787的數值可以不用刪）

step4.
存檔後對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
開始功能表下的所有資料夾裡的desktop.ini都照此方法修復。
All Users下的開始功能表和user（你自己的使用者名稱）下的開始功能表
都用這種方式修復。

step5.
進入「我的文件」資料夾，同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=5
PersonalizedName=My Documents
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。

存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step6.
進入「我的文件」->「我的音樂」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=13
PersonalizedName=My Music
[.ShellClassInfo]
[email protected],-12689
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-237
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-237
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step7.
進入「我的文件」->「我的音樂」->「範例音樂」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
BuyURL=http://windowsmedia.com/redir/xpsample.asp
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step8.
進入「我的文件」->「我的圖片」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=39
PersonalizedName=My Pictures
[.ShellClassInfo]
[email protected],-12688
IconFile=%SystemRoot%\System32\mydocs.dll
IconIndex=-101
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step9.
進入「我的文件」->「我的圖片」->「範例圖片」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[.ShellClassInfo]
BuyURL=SamplePictures
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

step10.
進入「我的文件」->「我的影片」資料夾
（不一定每個人都有，如果你沒有可以不需進行這個步驟）
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
Owner=user
PersonalizedName=My Videos
[.ShellClassInfo]
[email protected],-12690
IconFile=%SystemRoot%\system32\SHELL32.dll IconIndex=-238
[email protected],-28996
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-238
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱，其他行不要動。此行請不要複製進去。
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）
因為我沒有這個資料夾，所以用的是共用影片資料夾的設定。
如果你知道設定的話也可以輸入進去哦..

step11.
進入drive:\Documents and Settings\user\->「我的最愛」資料夾
同樣開啟desktop.ini，
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除，其他資料不要刪除到喔！
如果已經沒有其他資料，請自行複製、修改成虛線內資料：
--------------------------------------------
[DeleteOnCopy]
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173
[email protected],-12693
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-173
--------------------------------------------
存檔後關閉檔案，對desktop.ini點滑鼠右鍵，選擇內容。
接著將「隱藏」框框打勾，選確定。
（如果資料夾名稱已經被改掉了，請自己改回來即可）

以上修改完成後，最好複製一份到其他資料夾（改一下檔名暫存）
例如我的最愛裡的desktop.ini可以先改名為「最愛-desktop.ini」
只要你自己知道那是哪一個就行了..
這是為了防止若在測試檔案是否受感染時..
病毒「手腳太快」又修改到，那你就可以直接把檔案蓋回去..^_^"
開始工具列的就不用複製了...反正頂多刪除內容而已@.@"

step12.
進行exe檔檢查..將有毒的檔案刪除掉∼以免日後復發∼
清毒完畢就恭喜你∼不會再中囉^_^~
但是請注意..因為此病毒會動到登錄檔，
例如我用卡巴手腳太慢可能原先點右鍵顯示的「掃瞄病毒」選項
會在點右鍵後變成???????一堆問號，不過不影響功能∼
要解決也很簡單，只要把出現問題的程式移除重灌一次，
就可以恢復正常顯示...

另..此解毒法有可能修正完後電腦仍然無法上線，
可執行此程式
http://www.pchell.com/downloads/WinsockXPFix.exe 來做修正..應該就OK了..


≡附錄--檢查EXE檔之危機大作戰≡

這裡要檢查exe檔，因為此病毒會感染exe檔藏身在裡面，
請先有再度中獎的準備，再進行此檢查法..
如果你沒什麼重要的程式和資料，
建議你乾脆直接把那些執行檔砍掉重新安裝就可以了
也比較保險，而這裡是給你檢查一些..
你不捨得&得來不易的程式，
一個「可能不被判死刑」的機會..||||
大型遊戲檔案..不抱希望，
但是你想苟延殘喘看看也是可以的，
如果僥倖沒中獎..恭喜∼

因為我們前面有建立防止它寫入的檔案，
所以它無法建立它自己的病毒檔，
因此無法感染其它檔案了
它要感染exe檔是在修改完desktop.ini後才會..
更何況可以感染的程式已經被你優先建立在那邊了..
它應該無法寫入..
所以現在它的威脅就只有會改掉你的desktop.ini...

「被病毒感染的exe檔特徵」
通常為程式執行檔、大型遊戲的執行檔
（奇怪的是小遊戲的執行檔似乎不太會中獎）
程式執行檔執行後電腦會「非常lag」，開啟非常慢..非常慢。
遊戲執行檔的話會跳出一片黑的視窗，或出現讀取錯誤，
然後關閉。也可能很LAG但也可能完全不LAG..
「最後修改日期」"可能"被修改過。

步驟1-檢查
參照一開始的「特徵」欄，過濾掉不需檢查的EXE檔
當然最好整個電腦所有的exe檔都執行檢查一次..

對你要檢查的程式按滑鼠右鍵，選內容。
查看「修改日期」，和建立日期，
如果顯示的是你中毒那天或到解毒完之前的日期內的時間
有很大的可能此檔案已經中毒。

但就算修改日期和建立日期沒更動的檔案也可能被感染，
因此此法只是讓你先過濾一下。
如果到這裡，你檢查的那個檔案你覺得不要也沒關係，
就直接刪除它吧。如果你一定要確認它是否完好，
請有心理準備..手腳要快喔！

步驟2-執行檔案
點兩下檔案，執行它。
如果出現被感染特徵，電腦非常LAG無法動彈..
請以最快的速度按下電腦主機上的重開機按鈕，
沒有該按鈕的直接按開關機鈕！
這是為了防止病毒繼續感染資料...
重開機後，將確定中獎的該檔案刪除。
接著動手修復desktop.ini。
如果你手腳夠快，
你的開始工具列裡應該只有一兩個項目，被取消了隱藏。
而此病毒一定要全數取消隱藏後才會寫入資料..
不過為了確保安全可以一樣執行該檔案進去確定一下，
確定沒被改後，對檔案點滑鼠右鍵一樣選擇隱藏就好了。

它一開始會先從「啟動」這個項目開始改，
接下來改「程式集」的項目
接下來才是「附屬應用程式」
至於那些我的最愛啦..我的文件啦的，
最後才去改...

所以只要你手腳夠快，
基本上不會搞到需要在去改我的最愛那些資料夾裡的desktop.ini的。

步驟3-
改完後再執行下一個exe檔..重複步驟1、步驟2，
將被感染的檔案一一處理掉（要清空資源回收桶喔），
等完全清除完畢，又有更新完sp2的話，你就不會再中獎囉！^_^

步驟4
還剩下的正常檔案建議燒光碟備份起來，
以後需要時就可以複製貼回去...


以上資訊∼打了我整整5個小時+整理
希望能夠讓你順利的完全解決問題...

歡迎轉貼此頁連結幫助大家..謝謝~