病毒真是多，电脑中毒记事，细节忘记了很多

电脑前几天中了病毒，因为在某个软件园下载了软件，因为开机就是用Ｕｂｕｎｔｕ，所以在ｗｉｎｄｏｗ上面中毒还让我把开机系统的顺序改了之前要进去都是拜托Ｆ１２。

病毒症状是有desktop.ini文件执行异常，开机一次会没有桌面，然后再开机几次会偶尔正常。

怀疑是ｄｅｓｋｔｏｐ，ｉｎｉ病毒，情况会如下

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
　　%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

再注册表中找到文件然后将正常的文件替代之后已经可以使用了

使用腾讯管家么有查到什么，下载了金山毒霸，杀毒，删除了某个软件，这时候开机又是句柄无效，

所谓句柄实际上是一个数据，是一个Long (整长型)的数据。
句柄是WONDOWS用来标识被应用程序所建立或使用的对象的唯一整数，WINDOWS使用各种各样的句柄标识诸如应用程序实例，窗口，控制，位图，GDI对象等等。WINDOWS句柄有点象C语言中的文件句柄。
从上面的定义中的我们可以看到，句柄是一个标识符，是拿来标识对象或者项目的，它就象我们的姓名一样，每个人都会有一个，不同的人的姓名不一样，但是，也可能有一个名字和你一样的人。从数据类型上来看它只是一个16位的无符号整数。应用程序几乎总是通过调用一个WINDOWS函数来获得一个句柄，之后其他的WINDOWS函数就可以使用该句柄，以引用相应的对象。
如果想更透彻一点地认识句柄，我可以告诉大家，句柄是一种指向指针的指针。我们知道，所谓指针是一种内存地址。应用程序启动后，组成这个程序的各对象是住留在内存的。如果简单地理解，似乎我们只要获知这个内存的首地址，那么就可以随时用这个地址访问对象。但是，如果您真的这样认为，那么您就大错特错了。我们知道，Windows是一个以虚拟内存为基础的操作系统。在这种系统环境下，Windows内存管理器经常在内存中来回移动对象，依此来满足各种应用程序的内存需要。对象被移动意味着它的地址变化了。如果地址总是如此变化，我们该到哪里去找该对象呢?
为了解决这个问题，Windows操作系统为各应用程序腾出一些内存储地址，用来专门登记各应用对象在内存中的地址变化，而这个地址(存储单元的位置)本身是不变的。Windows内存管理器在移动对象在内存中的位置后，把对象新的地址告知这个句柄地址来保存。这样我们只需记住这个句柄地址就可以间接地知道对象具体在内存中的哪个位置。这个地址是在对象装载(Load)时由系统分配给的，当系统卸载时(Unload)又释放给系统。
句柄地址(稳定)→记载着对象在内存中的地址→对象在内存中的地址(不稳定)→实际对象
本质：WINDOWS程序中并不是用物理地址来标识一个内存块，文件，任务或动态装入模块的，相反的，WINDOWS API给这些项目分配确定的句柄，并将句柄返回给应用程序，然后通过句柄来进行操作。
但是必须注意的是程序每次从新启动，系统不能保证分配给这个程序的句柄还是原来的那个句柄，而且绝大多数情况的确不一样的。假如我们把进入电影院看电影看成是一个应用程序的启动运行，那么系统给应用程序分配的句柄总是不一样，这和每次电影院售给我们的门票总是不同的一个座位是一样的道理。

在输入密码的界面，单击电源，长按shift键后点击重启并一直按着shift键。确认屏幕是否出现“修复”界面，如果有，点击“高级修复选项”。点击“疑难解答”，点击“高级选项”，点击“启动设置”，点击“重启”。  系统重启以后，按“安全模式”所对应的的数字4以进入安全模式。1、打开Windows自带的“记事本”，粘贴入以下蓝底内容Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"2、单击“文件”下拉菜单，选择“另存为”，在出来的“另存为”对话框的下部“保存类型”下拉菜单中选中“所有文件”，在上面的“文件名”一栏输入“fix.reg”(注意中间是半角圆点，而不是句号)，保存后转到你文件保存的目录下，双击执行该文件，会提示你“是否确认要将fix.reg的内容添加进注册表?”，点击“是”，重新启动计算机即可。另外，请您查杀下病毒。

我再ｗｉn１０中的系统设置那里点击属性或者系统疑难，系统修复，电脑重启为安全模式，杀毒之后，解决i

介绍一下几种安全模式的概念。

“带命令提示符的安全模式”

顾名思义就是进入这个模式会弹出命令提示符（CMD）窗口而已，这对于电脑高手或者维护人员很有帮助，因为有些问题在CMD里很容易解决。

“带网络连接的安全模式”

顾名思义就是进入这个模式会在安全模式的基础上多运行支持网络连接或者拨号的组件或者驱动，实现基本的网络连接功能，解决在安全模式的网络连接需要。（注意：其他的安全模式是不能连接网络的。）

“安全模式”

顾名思义就是进入这个模式只有系统最基本的组件在运行，多余的程序驱动全都不会启动，相对来说，这是杀毒的最佳环境，因为病毒通常会用驱动伪装自己，在安全模式下就无所遁形。

但是还有问题，是打开之后又没有网络了，ＷｉＦｉ和以太网都没有有效ＩＰ地址，再网络设置上面修改成静态ＩＰ也是没有用

管理员打开cmd文件，可以在搜索栏搜索，快捷方式ｗｉｎ＋Ｒ，或者proramem/system　

在CMD中输入：netsh int ip reset c:\resetlog.txt，回车执行。　　然后输入：netsh winsock reset，回车执行。　　完成重置IP和Winsock的操作后，重启机器

重置ＩＰ之后正常，然后删了ｗｉｎ１０里面的Ｏｒａｃｌｅ１１．２，清爽多了。