准备工作 :

下载 Total Uninstall 软件。可以在本站搜索并下载。

下载 Advanced Installer 。

当然你还得有念青五笔的安装程序，准备好以后我们就开始了。

FOR %variable IN (set) DO command [command-parameters]

  %variable  指定一个单一字母可替换的参数。
  (set)      指定一个或一组文件。可以使用通配符。
  command    指定对每个文件执行的命令。
  command-parameters
             为特定命令指定参数或命令行开关。

在批处理文件中使用 FOR 命令时，指定变量请使用 %%variable
而不要用 %variable。变量名称是区分大小写的，所以 %i 不同于 %I.

如果命令扩展名被启用，下列额外的 FOR 命令格式会受到
支持:

FOR /D %variable IN (set) DO command [command-parameters]

    如果集中包含通配符，则指定与目录名匹配，而不与文件
    名匹配。

FOR /R [[drive:]path] %variable IN (set) DO command [command-parameters]

    检查以 [drive:]path 为根的目录树，指向每个目录中的
    FOR 语句。如果在 /R 后没有指定目录，则使用当前
    目录。如果集仅为一个单点(.)字符，则枚举该目录树。

FOR /L %variable IN (start,step,end) DO command [command-parameters]

    该集表示以增量形式从开始到结束的一个数字序列。
    因此，(1,1,5) 将产生序列 1 2 3 4 5，(5,-1,1) 将产生
    序列 (5 4 3 2 1)。

FOR /F ["options"] %variable IN (file-set) DO command [command-parameters]
FOR /F ["options"] %variable IN ("string") DO command [command-parameters]
FOR /F ["options"] %variable IN ('command') DO command [command-parameters]

    或者，如果有 usebackq 选项:

FOR /F ["options"] %variable IN (file-set) DO command [command-parameters]
FOR /F ["options"] %variable IN ("string") DO command [command-parameters]
FOR /F ["options"] %variable IN ('command') DO command [command-parameters]

    filenameset 为一个或多个文件名。继续到 filenameset 中的
   下一个文件之前，每份文件都已被打开、读取并经过处理。
    处理包括读取文件，将其分成一行行的文字，然后将每行
    解析成零或更多的符号。然后用已找到的符号字符串变量值
    调用 For 循环。以默认方式，/F 通过每个文件的每一行中分开
    的第一个空白符号。跳过空白行。您可通过指定可选 "options"
    参数替代默认解析操作。这个带引号的字符串包括一个或多个
    指定不同解析选项的关键字。这些关键字为:

        eol=c           - 指一个行注释字符的结尾(就一个)
        skip=n          - 指在文件开始时忽略的行数。
        delims=xxx      - 指分隔符集。这个替换了空格和跳格键的
                          默认分隔符集。
        tokens=x,y,m-n  - 指每行的哪一个符号被传递到每个迭代
                          的 for 本身。这会导致额外变量名称的分配。m-n
                          格式为一个范围。通过 nth 符号指定 mth。如果
                          符号字符串中的最后一个字符星号，
                          那么额外的变量将在最后一个符号解析之后
                          分配并接受行的保留文本。
        usebackq        - 指定新语法已在下类情况中使用:                   
                          在作为命令执行一个后引号的字符串并且一个单
                          引号字符为文字字符串命令并允许在 filenameset
                          中使用双引号扩起文件名称。

    某些范例可能有助:

FOR /F "eol=; tokens=2,3* delims=, " %i in (myfile.txt) do @echo %i %j %k

    会分析 myfile.txt 中的每一行，忽略以分号打头的那些行，将
    每行中的第二个和第三个符号传递给 for 程序体；用逗号和/或
    空格定界符号。请注意，这个 for 程序体的语句引用 %i 来
    取得第二个符号，引用 %j 来取得第三个符号，引用 %k
    来取得第三个符号后的所有剩余符号。对于带有空格的文件
    名，您需要用双引号将文件名括起来。为了用这种方式来使
    用双引号，您还需要使用 usebackq 选项，否则，双引号会
    被理解成是用作定义某个要分析的字符串的。

    %i 专门在 for 语句中得到说明，%j 和 %k 是通过
    tokens= 选项专门得到说明的。您可以通过 tokens= 一行
    指定最多 26 个符号，只要不试图说明一个高于字母 'z' 或
    'Z' 的变量。请记住，FOR 变量是单一字母、分大小写和全局的；而且，
    同时不能有 52 个以上都在使用中。

    您还可以在相邻字符串上使用 FOR /F 分析逻辑；方法是，
    用单引号将括号之间的 filenameset 括起来。这样，该字符
    串会被当作一个文件中的一个单一输入行。

    最后，您可以用 FOR /F 命令来分析命令的输出。方法是，将
    括号之间的 filenameset 变成一个反括字符串。该字符串会
    被当作命令行，传递到一个子 CMD.EXE，其输出会被抓进
    内存，并被当作文件分析。因此，以下例子:

      FOR /F "usebackq delims==" %i IN (`set`) DO @echo %i

    会枚举当前环境中的环境变量名称。

另外，FOR 变量参照的替换已被增强。您现在可以使用下列
选项语法:

     ~I         - 删除任何引号(")，扩充 %I
     %~fI        - 将 %I 扩充到一个完全合格的路径名
     %~dI        - 仅将 %I 扩充到一个驱动器号
     %~pI        - 仅将 %I 扩充到一个路径
     %~nI        - 仅将 %I 扩充到一个文件名
     %~xI        - 仅将 %I 扩充到一个文件扩展名
     %~sI        - 扩充的路径只含有短名
     %~aI        - 将 %I 扩充到文件的文件属性
     %~tI        - 将 %I 扩充到文件的日期/时间
     %~zI        - 将 %I 扩充到文件的大小
     %~$PATH:I   - 查找列在路径环境变量的目录，并将 %I 扩充
                   到找到的第一个完全合格的名称。如果环境变量名
                   未被定义，或者没有找到文件，此组合键会扩充到
                   空字符串

可以组合修饰符来得到多重结果:

     %~dpI       - 仅将 %I 扩充到一个驱动器号和路径
     %~nxI       - 仅将 %I 扩充到一个文件名和扩展名
     %~fsI       - 仅将 %I 扩充到一个带有短名的完整路径名
     %~dp$PATH:i - 查找列在路径环境变量的目录，并将 %I 扩充
                   到找到的第一个驱动器号和路径。
     %~ftzaI     - 将 %I 扩充到类似输出线路的 DIR

在以上例子中，%I 和 PATH 可用其他有效数值代替。%~ 语法
用一个有效的 FOR 变量名终止。选取类似 %I 的大写变量名
比较易读，而且避免与不分大小写的组合键混淆。

 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]也没有找到Spooler项。遂判定是由于某个原因导致注册表没有注册Spooler服务，也就无法启动打印后台服务，所以也就无法安装打印机了。
      在我的电脑上打开[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]找到Spooler项，然后导出为一个注册表文件，并更改后缀为" .gif "（方便传送）传给ＭＭ。然后要ＭＭ把" .gif "改成" .reg "合并。然后重启电脑，ＭＭ再次安装打印机成功。收款100（汗，真贵）。

语法
runas [{/profile /noprofile}] [/env] [/netonly] [/smartcard] [/showtrustlevels] [/trustlevel] /user:UserAccountName program

参数
/profile
加载用户的配置文件。/profile 是默认值。
/no profile
/noprofile 指定不加载用户的配置文件。这使应用程序载入的更加快速，但是在一些应用程序中也会引起错误。
/env
指定当前使用的网络环境，而不是用户的本地环境。
/netonly
指明指定的用户信息只用于远程访问。
/smartcard
/smartcard 表示凭据是否是由智能卡提供的。
/showtrustlevels
列出 /trustlevel 开关项。
/trustlevel
指定应用程序运行所在的授权级别。使用 /showtrustlevels 查看可用的信任级别。
/user:UserAccountName
指定在其下运行程序的用户帐户的名称。用户帐户的格式应是 user@domain 或 domain\user。
程序
指定要用在 /user 中指定的帐户运行的程序或命令。
/?
在命令提示符显示帮助。
注释
管理员可以使用一个权限受限制的帐户执行日常、非管理性的任务，只有在执行特定管理任务时，才使用一个权限更大的帐户。要不经过注销再重新登录就完成这样的任务，可以用一般帐户登录，然后使用 runas 命令来运行需要更大权限的工具。
有关 runas 命令的使用范例，请参阅“相关主题”。
尽管 runas 通常由 Administrator 帐户使用，但并非仅限于 Administrator 帐户。任何拥有多个帐户的用户均可以利用备用凭据，使用 runas 运行程序、MMC 控制台或“控制面板”项。
如果要在计算机上使用 Administrator 帐户，对于 /user:，键入下列参数之一：
/user:AdministratorAccountName@ComputerName

/user:ComputerName\AdministratorAccountName

如果想以域管理员身份使用这个命令，键入下列参数之一：
/user:AdministratorAccountName@DomainName

/useromainName\AdministratorAccountName

runas 命令允许您运行程序 (*.exe)、保存的 MMC 控制台 (*.msc)、程序和保存的 MMC 控制台的快捷方式及“控制面板”项。作为另一组（例如“Users”或“Power Users”组）的成员登录到计算机时，可以以管理员的身份运行。
可以使用 runas 命令来启动任何程序、MMC 控制器或“控制面板”项。只要提供适当的用户帐户和密码信息，用户帐户就具有登录到计算机的能力，并且程序、MMC 控制台、“控制面板”项在系统中及对该用户帐户均可用.
runas 命令允许您管理其他域的服务器（运行工具的计算机和要管理的服务器在不同的域中）。
如果尝试使用 runas 从网络位置启动程序、MMC 控制台或“控制面板”项，可能会因为用来连接网络共享的凭据与用来启动程序的凭据不同而失败。后者的凭据可能无法访问同一网络共享。
有些项，例如“打印机”文件夹和桌面项，间接由 Windows 2000 打开，而不能使用 runas 命令启动。
如果 runas 命令失败，则可能是没有运行 RunAs 服务或使用的用户帐户无效。要检查 RunAs 服务的状态，请在“计算机管理”中单击“服务和应用程序”，然后单击“服务”。要测试用户帐户，请尝试使用该帐户登录合适的域。
范例
要在本地计算机上以管理员身份启动 Windows 2000 命令提示行实例，请键入：

runas /user:localmachinename\administrator cmd
系统提示时，键入管理员密码。

要使用名为 companydomain\domainadmin 的域管理员帐户启动“计算机管理”管理单元实例，请键入：

runas /user:companydomain\domainadmin "mmc %windir%\system32\compmgmt.msc"
当提示时，键入帐户密码。

要使用名为 domain.microsoft.com 的域中的域管理员帐户 user 启动“记事本”实例，请键入：

runas /user:user@domain.microsoft.com "notepad my_file.txt"
当提示时，键入帐户密码。

要启动命令提示符行窗口、保存的 MMC 控制台、控制面板项或管理其他地点服务器的程序的一个实例，请键入：

runas /netonly /user:domain\username "command"
domain\username 必须是有足够权限管理服务器的用户。当提示时，键入帐户密码。


举个例子：假如我们需要用Administrator用户安装D盘的一个软件，软件的安装文件就是setup.exe那么我们可以这样来做，
打开运行，输入Runas /user:administrator "d:\setup.exe" 回车我们会得到一个输入administrator用户密码的提示信息，输入Administrator的密码然后回，setup.exe就会以administrator的身份模式运行。当然我们也可以把它做成一个批处理如下：
打开记事本输入如下命令，然后另存为Adminsetup.bat
@echo off
echo --------------------------------------------------
echo 安装软件中请等待..........
runas /user:%1 "%2"
exit
         我们在安装软件的时候只需要打开运行窗口，运行adminsetup.bat administrator "D:\setup.exe"然后输入administrator的密码就可以了。当然，如果你网络中每台电脑的管理员用户都是一样的在上面的批处理中你可以把“%1”换成你的管理员用户名。但是我们在使用批处理时也无法避免输入密码这个步骤。最初我有尝试过用（echo 密码 Runas /user:administrator  "command"）来避免使用批处理时输入密码，但提示错误，于是感觉自己技术不足，在百度上一搜，发现有很多朋友碰到这种问题，也有朋友在百度问吧上给出了像我一样的答案，呵呵，我想那位朋友一定没试过，真是误人子弟啊。
         经过一段时间的搜索我找到了这个软件CPAU来代替Runas并且他可以在使用批处理时避免输入密码。CPAU的命令行使用方法是：
         CPAU.exe -u:administraotr -p password -ex "command"可以直接运行CPAU.exe得到该软件的帮助信息。这样我们就可以使用批处理命令而不需要输入密码了。把CPAU.exe放到C:\windows\system32目录下然后把上面的批处理改成
@echo off
echo --------------------------------------------------
echo 安装软件中请等待..........
CPAU.exe -u administrator -p password -ex "D:\setup.exe"
exit
这里再向大家介绍一个小技巧，相信大家现在装系统的时候都是使用克隆版的吧，我们不如把CPAU.exe改成Runas.exe然后放到系统克隆文件里，再用软件把那个批处理编译成exe文件也放到克隆文件里，这样以后在安装的时候就把CPAU.exe直接加入到系统中了。呵呵方便吧。
      另外我还找到了一个Runasp.exe的小工具，它可以图形化的完成我们所需要的操作。使用很简单，相信大家一看就会。


         

技术分析
==========

又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：
%System%\drivers\spoclsv.exe

创建启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

在各分区根目录生成副本：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

尝试关闭下列窗口：
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

结束一些对头的进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用一系列服务：
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除若干安全软件启动项信息：
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

使用net share命令删除管理共享：
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y

遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端，并在尾部添加标记信息：
.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe，删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机：
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步骤
==========

1. 断开网络

2. 结束病毒进程
%System%\drivers\spoclsv.exe

3. 删除病毒文件：
%System%\drivers\spoclsv.exe

4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
X:\setup.exe
X:\autorun.inf

5. 删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

7. 修复或重新安装反病毒软件

8. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件

   最近电脑老是自动弹出一些广告，我知道咱有着道了，咱就郁闷了，咱都没进啥网站啊？最后一想，可能是最近在下载一些
博客程序的时候，一不小心中了招了。
   最近较忙，本来不打算处理他，将就着过几天，谁知道那丫的越来越不像话。只好狠一心给他处理一下了。重新安装了一下
卡卡助手，（原本有安装，但是被破坏掉了）查杀了一下恶意软件，发现了好几个。全选，然后点立即清除。要求我重新启动系
统，重启之后，再次扫描，发现deskipn传媒依然还在。进入安全扫描清除也无效。只好试试用恶意软件清理助手和超级兔子都
清除了一次，那丫的还真顽强。他还是逍遥自在的弹出广告。没办法只好试试手工清除了。
   本人在手工清除桌面媒体时发了很大的力气，中间也遇到了不小麻烦。也有在网找到一些朋友分享的经验。在这里整理出来
告诉大家。
在maxdos删除下列文件(windows下这些文件无法删除)，如果没有大家可以去下载一个安装。或用光盘启动到DOS下也可以。
网上有朋友说可以用IceSword删除，我下载了IceSword 1.2版，在windows下确实可以删除这些文件，但是刷新一次后，又会
自动生成原来的文件,可见这些文件都是有保护进程的,在DOS下删除就会很干净。但是IceSword确实很有用，我在后面还是得依靠它。
  c:\windows\system32\ntservice32.dll
  c:\windows\system32\kherdh43.dll
  C:\WINDOWS\system32\WebPageParser.dll
  C:\WINDOWS\system32\Charset.dll
  C:\WINDOWS\system32\CreateDomTree.dll
  C:\WINDOWS\Downloaded Program Files\866800\fshook.dll
  C:\WINDOWS\Downloaded Program Files\866800\Exdll.dll
这里的数字866800网上也有朋友说是940605我想大概是桌面传媒随机参生的吧，不过你只要找到C:\WINDOWS\
Downloaded Program Files目录，然后找到里面的以数字命名的文件夹，再找到Exdll.dll和fshook.dll删除掉就行了。
我最初只删除了ntservice32.dll和kherdh43.dll，在重启进入桌面后，打开IE和我的电脑时都会出现一个找不到
C:\WINDOWS\Downloaded Program Files\866800\Exdll.dll 后来删除了其它文件之后就不会出现提示了。
删除了上面的文件之后，启动进入系统时会出现找不到ntservice32.dll和kherdh43.dll的提示。利用IceSword删除下列注册表项
(直接在windows下用regedit打开注册表将无法删除这些项)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desktop]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CLASSES_ROOT\bho.IEMonitor]
@="IEMonitor Class"
[HKEY_CLASSES_ROOT\bho.IEMonitor\CLSID]
@="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
[HKEY_CLASSES_ROOT\bho.IEMonitor\CurVer]
@="bho.IEMonitor.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08A312BB-5409-49FC-9347-54BB7D069AC6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08A312BB-5409-49FC-9347-54BB7D069AC6}?]
[HKEY_CURRENT_USER\Software\DeskAdTop]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows NT Service32]
[HKEY_CLASSES_ROOT\CLSID\{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID]
@="bho.IEMonitor.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Desktop"="\"C:\\WINDOWS\\system32\\rundll32.exe\" \"C:\\WINDOWS\\system32\\NTService32.dll\",Run"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RsAutorunsDisabled]
"Desktop"="\"C:\\WINDOWS\\system32\\rundll32.exe\" \"C:\\WINDOWS\\system32\\NTService32.dll\",Run"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\RsAutorunsDisabled
键值很多，可能会有一些没有记下来，我是利用卡卡助手和IceSword配合清除完毕的。
方法很笨，首先用卡卡助手扫描恶意软，卡卡会发现注册表项，但是删除不掉，这时就用IceSword删除卡卡找到的注册表项，然后再用卡卡扫描一次，直到卡卡提示找不
到deskipn桌面传媒为止。
deskipn桌面传媒清除完成。

文中提到的工具可以到Soft.ylmf.com下载

                                     
                                                                               图1—打开安装程序后的第一个画面
单击下一步

                                      
                                                                         图2—打开安装程序的第二个画面
选择“我同意此协议”并单击下一步。

                                        
                                                                                  图3—打开安装程序的第三个画面
选择安装路径并单击下一步
接下来的几个画面直接单击下一步即可。会出现一个复制文件的画面，然后出现安装信息画面
                                          
                                                                                                    图4—安装信息画面
在这里记得把滚动条拉到对话框的最下面。会发现一个特别信息。选择特别信息内容，并按Ctrl+C复制单击下一步就会出现一个安装完成的提示，点击完成就OK了。

         第二部分：安装选项备置。
         安装完成之后单击桌面上的DameWare Mini Remote Control图标，打开程序
                                                                                 图5—打开应用程序后出现的主界面

进程文件: userinit or userinit.exe
进程名称: UserInit Process
描述: UserInit程序运行登陆脚本，建立网络连接和启动Shell壳。
常见错误: N/A
是否为系统进程: 否