木马文件slader以及各种捆绑木马、流氓软件

解决方法直接看最底下。

这个木马文件的行为是无限制的下载并自动安装各种流氓软件，届时磁盘占用率达到百分之百，CPU温度过高，且具有自我复制，感染传播、覆写PE文件、修改注册表自启动、结束卡死杀软进程、删除安全软件相关启动项，desktop.ini随意复制等等，今天一直叫做病毒，感谢大佬纠正。（里面的部分行为均由slader执行所带出来的）

木马:

　　木马没有破坏性,木马主要功能是收集用户信息,控制机器等等.

病毒:

　　病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染….

整体过程：

A在下载某正规软件时，误打开某P2P引擎，下载绑定的诸多流氓软件以及slader，本来面对流氓软件可以使用卸载工具慢慢搞定，但是slader不断注入新的活力，我接触的时候，电脑桌面已经爆满，且弹窗层层叠叠，磁盘占用率达到百分之百，CPU温度过高，打开磁盘就会逼停C:Program FilesInternet Explorer导致桌面空白宕机，原装的腾讯电脑管家已经挂了，但面对电脑里由重要唯一信息，我首先结合任务管理器逐个关闭程序和进程，但似乎收效甚微，这时尝试点开电脑管家，已经打不开了，当时还不知道slader，按照捆绑软件的策略进行卸载，于是直接在程序和功能里先卸载了一部分软件，电脑运行有所缓解，打开磁盘，发现很多文件夹的根目录都存在desktop.ini文件意识到应该不只是捆绑，存在木马行为，第一时间拔掉 线，检查传播，因为这里的局域 没有防火墙，很容易悍然感染，但还是为时已晚，旁边的B电脑已经中招了，桌面开始蔓延各种图标，于是给B电脑先断 ，为了找到木马文件，我首先怀疑的是随意复制的desktop.ini文件，打开后核对代码没有问题，这就很奇怪，只能再去怀疑某个软件携带，且注册表在卸载时并没有删除（为了先缓解电脑压力），于是从软件走起，又卸载一部分，实在是太多了，手动卸载起码30个，FPTOcr、FZip、酷我音乐、梦蓝记事、热点便笺、水印微管家、小黑记事本、梦幻西游、贪玩热血合击、传奇霸主、虎牙视频，全美仙侠，变态MM修仙：觉醒等等，还有捷豹浏览器，2345各种，搜狗输入法，金山毒霸（话说他也没看见嘛）快压，驱动精灵等等以及一些连名字都没有的软件。尝试关闭启动项，并重启。

这时候，反倒一片天下太平，开机后，弹窗少了，速度快了，就在我以为木马随着那些没名字的流逝了，我删了注册表就OK的时候，电脑完全黑屏，尝试打开任务管理器，也被禁用了，弹出的消息显示的是三键禁用。凉凉！明明开机启动项里没有异常啊， 主要是文件重要，在以前直接都刷机就完了，尝试键盘开启命令行也不行，就是鼠标键盘没反应了，遂强制关机后F8进入安全模式，但是进不去，卡在那里，一动不动，只好关机。再次尝试冷启动，这次还算正常，弹窗很多，但由操作空间，在文件夹里导入CCleaner，腾讯电脑管家，火绒，Uninstall Tool，此时因为卸载的蛮多了，最重要的是没联 ，由他们去管，先使用的是电脑管家，在历经一个小时的艰苦扫描，弹窗越来越多，之后我决定关一关，挡视野，但和屏保一样，左上角写的退出，点击之后就会打开莫名的软件，后来我才发现，右上角也写了退出，桌面右下角还贴心的提醒你我们做了什么什么，比如驱动精灵说，我们把驱动更新了，让你点击确认，屁，我都没联 ，原来在确认的下方由四个小对勾，对应了四个不同的软件，呵，心机婊，我什么都不点，在经过几十秒之后，勿触点开的那个软件都没显示出东西，一片白花花的在挣扎，桌面崩了，沃日，程序全没了，包括电脑管家，又过了几十秒，桌面出现，这次我什么都不动，就扫描，又过了两个多小时，扫描结束，60个红色危险木马。处理后关机。重启后一片祥和，我就继续开始卸载各种软件，CCleaner结合“程序和功能”一起卸，终于没有了异常程序，运行流畅，桌面干净，但打开CD盘依然各种文件夹存在，开始各个文件删除，大部分都提示不允许删除，本来想安全模式，但电脑管家自带文件粉碎，用这个工具确实能够完全粉碎，推荐好用。D盘的recycle.bin文件作为隐藏目录显示出来，当时没注意，但粉碎不了，才查到这个是系统的文件，之后又用这些软件扫描清理注册表，但始终没有看见slader的踪迹，就在我以为万事大吉的时候。重启插 线，刚开始十几分钟甚至有半个小时一切正常，完全的水平，突然的一个传奇弹窗引起了我的注意，这时桌面依然流畅，且没有多出来的东西，我就好奇从哪里来的，鼠标右键点不开它的目录，就打开进程，不看不要紧，一看又多了几个流氓软件的进程，赶紧看程序，完了，又装上了，就是这次打开我发现了在程序和功能里第一次出现slader，但在CCleaner里却找不到，就在我怀疑这个软件是什么的时候，先进入的软件开始了工作，又一次紧急断 。查找slader，但在哪都找不到，使用everything搜索无果，再次点开程序和功能里也没有了，像个隐藏的斗士，百度之后，发现原来这位是个教父，总体工作流程就是，由slader下载各种流氓软件和木马，然后它就隐藏起来，由木马去衍生木马，由流氓去带流氓进来，使用了 上各种方法无果，最终在论坛看到了它的地址，删除后，再次进行卸载，最终完成，耗时良久。另一台电脑由于文件不重要，老毛桃重装了，重装过程不表。

知识链接：

p2p：

普通的Http下载，所有电脑下载的速度都是固定的4分钟。

当文件输出方的用户达到4个的时候，第五个用户，也就是电脑E，它的下载速度就会降低到1分钟。

打个比方，比如世界上现在一共只有10台电脑，分别叫小A，小B……小J， 他们互相连接着，组成了互联 。

有一天小A得到一份文件，其他九个人都想要，于是小A就把文件复印了九份分别给了其他九个人。

这就是传统下载。

但是其实还能这样，小A先把文件给小B，然后小C想要，

（注意，这个时候小A也可以不把文件给小C让全部文件由小B给小C）

于是小A跟小B分别复印文件的一半同时给小C，以此类推，小D想要文件，那么ABC 三人就把文件分成三份同时给小D。

这就是BT 下载，文件分成的份数越多，下载速度就越快。

以上是理想的BT ，然而现实中由于人们的自私，下载了文件不上传，导致整个互联 只有寥寥2.3个人上传，导致一些BT文件下载也很慢。

接着上面的故事来，文件给了小D（迅雷公司），但是其实小DEFGHI他们六个都是迅雷用户，小D拿到文件后就不会上传了，迅雷用户就在自成一体组了一个BT 络，不把文件上传给非迅雷用户。

所以最后一个小J 在下载文件的时候只能享受到小ABC 给的文件，小D以及小D的用户（EFGHI）都不会把文件传送给小J

而咱们传统下载是从同一个源（即同一个下载地址）下分别接收这些数据块，而P2P则是从不同的下载此文件的用户中接收这些数据块并且你也同时为其它用户提供这些数据块。而P2P中的tracker就是用来告诉你你可以连接到哪些用户获得数据块。

流氓软件：

流氓软件”是介于病毒和正规软件之间的软件，如恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等，这些软件都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件，也不属于真正的病毒；既有一定的实用价值，也会给用户带来种种干扰，大家就称这种软件为流氓软件。

explorer.exe：

explorer.exe是Windows程序管理器或者文件资源管理器，它用于管理Windows图形壳，包括桌面和文件管理。删除该程序会导致Windows图形界面无法使用。

注册表：

desktop.ini

desktop.ini 是什么文件/strong>

desktop.ini、文件夹图标、文件夹背景、隐藏文件、病毒
由于有部分病毒会在文件夹下创建desktop.ini文件，目前很多朋友对该文件产生了错误的认识，认为是病毒文件。其实这是错误的，

desktop.ini与病毒并没有多深的源源，desktop.ini是系统可识别的一个文件，作用是存储用户对文件夹的个性设置；而病毒所创建的desktop.ini则不同。

desktop.ini 是系统正常文件，用于配置你桌面信息、资源管理器的，在你每个文件夹下都有。正常情况下是隐藏起来的，如果你无意间打开了系统文件隐藏属性，那么他们就会展示出来。

由于有部分病毒会在文件夹下创建desktop.ini文件，目前很多人对该文件产生了不完全错误的认识，认为是病毒文件。其实desktop.ini文件并不属于病毒文件，专业的说，Desktop.ini 文件是系统可识别的一个文件，其作用是存储用户对文件夹的个性设置，比如用户更改了文件夹图标、背景颜色等等，其配置信息都会存入到这个文件夹的 desktop.ini 文件中。

desktop.ini 可以删除吗/strong>

desktop.ini文件属于文件夹的配置文件，用户可以删除，删除后不会影响文件夹，只是会让文件夹恢复为默认设置。

通俗的说，desktop.ini 相当于每个文件夹的控制中心，控制这个文件夹应该使用什么颜色、应该具有什么属性等，默认是可以删除的，但如果你设置修改过文件夹属性，那么删除这个 desktop.ini 配置文件，会导致此前所设置内容失效，重新恢复到默认设置。

desktop.ini 怎样恢复隐藏状态/strong>

可以通过在文件夹选项中找到查看选项，在选项中勾选隐藏受保护的操作系统文件（推荐）然后点击确定，即可实现隐藏。

在重装过程中，桌面都出现了这个，不解。毕竟启动盘我是了解的，当时第一次重装之后，填写邮箱，海内存知己，天涯若比邻， 开机就各种软件，我很好奇。

另外这个是什么，360下单独的地址，两台电脑都有，但都没装过360.

其他木马。

 卸载了蛮多之后的图。

解决方法：

不重装的情况下：

1、首先按win键+r键打开运行，输入regedit并按回车键。

2、打开注册表定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionUninstall

3、找到{b3d4b171-ec10-49a2-d856-2f96d0f2b14a}，右键删除即可。
4、使用第三方卸载工作CCleaner，Uninstall Tool或程序和功能卸载捆绑软件，并用腾讯电脑管家，联想电脑管家，火绒等进行扫描杀毒。

注册表图片被删，修改了文章。