原创 Thumbs.dn和Thumbs.db

Thumbs.db是一个数据库文件，它只存在于有图片的文件夹中，而且它的体积随着文件夹中图片的数量增加而增大，它的作用是加快我们预览图片的速度，如果不想使用图片缩略图的话可以禁止该文件，方法是：在文件夹选项窗口中选择“查看”标签，然后取消选择“高级设置”列表中的“不缓存缩略图”选项，最后点“确定”即可。

在每个盘都有autorun.inf文件和Thumbs.dn隐藏目录，在你点击打开某个硬盘时自动运行
在Thumb.dn里面有病毒的实体，和一个Desktop.ini的文件，使用户把它当成一个特殊的目录
把每个磁盘的上述文件和目录删掉后还会自动出现

清除办法是：
1、确保系统可以看见隐含文件
2、打开所有磁盘，保留在跟目录，应该能看到每个磁盘隐含的autorun.inf和thumbs.dn目录
杀掉一个svchost.exe，这个svchost.exe并非系统的服务组件，真正的服务组件是在<windows目录>\system32下面的，而这个木马的svchost.exe是在<windows目录>\ime目录下，以此伪装成系统服务组件。系统本身会运行一个或几个svchost.exe，如何区分呢？
至少有两种方法：
a、找第三方工具，可以查看系统进程的，比如ProcessExplorer能看到进程文件的位置，并且能杀掉进程
b、打开windows的任务管理器，菜单->查看->选择列，里面把线程数选上，就可以看进程的线程数了，线程数最少的那个svchost.exe就是目标了（木马制作者，就是在这里监视磁盘文件修改情况的，不过它开的线程比较少，系统提供服务的线程比较多），我机器上线程数是2，把该进程杀掉
3、进入第2步已经打开的磁盘根目录，选中autorun.inf和thumbs.dn目录，按shift+del把它们完全删除
4、进入<windows目录>\ime目录下，删掉除目录外的所有文件（可能有几个是系统的，但删掉系统会自己恢复）