当天一到办公室,隔壁办公室的张莹MM就来找我。“你有什么事吗?”我问道。张莹说:“我的电脑不知道怎样回事,他们都说你会修电脑,能不能帮我看看啊。”原本咱们还不是很熟,不过如今她有求于自己,当然我还是很乐意地许可了她。介绍文章我坐到张莹的电脑前,立刻调出系统的义务治理器检查,发现CPU的经常使用率十分高,运转程序十分缓慢。关上一个Foobar2000播放器,都要一分多钟的期间。我知道系统必定是受到了恶意程序的攻打,或者是病毒,也或者是木马等程序。再对系统进程细心观察,明明没有开IE却发现有一个IE阅读器的进程,我心想,90%以上的或者是系统中了木马。审核了系统的端口和服务,看来这又是灰鸽子木马在捣乱,间接从灰鸽子官网网站下载一个灰鸽子服务端肃清工具,将系统中的灰鸽子木马扫地出门。为了预防再发生这样的状况,我要让她搞分明那个木马程序从何而来。我问张莹:“什么时刻开局发生这种状况的?” “当天我从网高低载了一个共享软件,装置后就这样了。”张莹回答道。我疑心或者是程序被捆绑了木马程序,于是调出这个共享软件的装置程序启动检查,并没有发现可疑之处,但程序自带的说明文件却惹起了我的疑心。由于张莹的系统设置了隐藏经常出现类型的文件裁减名,但这个名为“ReadMe.txt”的“文本文件”的裁减名却并没有隐藏。WWw.iTcoMPUter.coM.Cn点击系统的“文件夹选项”,在弹出的窗口将“隐藏已知文件类型的裁减名”前面的钩去掉,显出这个文件的实在裁减名为EXE。我指着这个“文本文件”通知张莹:“这个文件并不是文本文件,而是一个木马程序,你的系统运转缓慢,就是由于它。”让“文本文件”现原形“那个明明是文本文件的图标,怎样会是木马程序呢?”张莹不解地问道。“其实改换图标和更名改姓是入侵者性能木马时最罕用的方法。” “那你能不能演示给我看看啊!”张莹问道。我正求之不得,正好在她背地露一手。“要为木马程序改换图标,有两种方法,一种是在设置木马程序的时刻间接启动改换,如今盛行的木马程序都有相似的性能;另一种就是木马程序生成后再经常使用专门的工具启动改换。上方我就用最盛行的灰鸽子木马程序来为你启动演示。”我为了让她了解得更分明,先引见了如今比拟盛行的两种更改图标的方法。我运转灰鸽子2006,点击工具栏中的“性能服务端程序”按钮来性能木马的服务端。“木马程序的其余设置我就不讲了,当天就重要为你解说如何改换图标。”我说道。在弹出的“主机图标”窗口选用“主机图标”标签,选用一个“文本文件”的图标。另外我再给张莹演示经过EXE图标工具修正EXE文件图标。我通知张莹:“这款软件允许真黑白,不过EXE文件必需是没有启动过加壳加密处置的才行。”我在EXE图标工具中的“EXE文件”框当选用木马服务端程序,而后点击“选用”按钮选用记事本程序,接着从中提取一个文本文件的图标,点击“修正EXE图标”对服务端程序启动图标修正。为MM支招看过前面的内容,置信大家必定感到“入侵者是无孔不入的”,看似安保的文本文件,原来也隐藏了这么多的风险,那咱们应该如何防范这种文本圈套呢?在“文件夹选项”对话框当选取“隐藏已知文件类型的裁减名”选项,详细操作为:关上“资源治理器”,在菜单栏选用“工具→文件夹选用”关上“文件夹选用”对话框,去掉“隐藏已知文件类型的裁减名”复选框中的小钩即可。关于在文件图标和文件后缀上做手脚的文件,只需提高警觉性,看分明文件的实在称号再运转,普通是不会中招的。这里,我再教大家一个小技巧,只需换一种模式关上文本文件,就可以防止中招。比如咱们疑心一个文本文件不反常,那么咱们不要双击关上它,只需关上记事本程序,而后经过“文件”菜单中的“关上”命令来关上这个文件,假设显示出的是乱码,那么这个“文本文件”就必需是有疑问的。
不可关上文本文档问:我的电脑感然了病毒,我用杀毒软件清算病毒时,不小心把中了病毒的运行程序sqihide.exe删除了,从此我就不能关上文本文档了,请问我该怎样办?
答:你的电脑感化了千年轻妖变种B(Trojan.LastKiss.b)病毒,病毒运转后会拷贝自身为系统目录的sqihide.exe、Desktop.exe文件,常驻内存,每隔一秒钟审核一次性注册表,对注册表启动修正,破坏文本文件的关上模式关联,关上文本文件时会先口头病毒程序,并修正用户的IE自动页。不能关上文本文档是由于病毒删除后,它更改的注册表对文本文档的关联没有更改所致。关上注册表编辑器,倒退HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command,把外面的“C:\WINDOWS\System32\SQIHIDE.EXE “%1””改成:“C:\WINDOWS\NOTEPAD.EXE “%1””即可。