我最近为了拷贝一些资料,向朋友借了一个移动硬盘。当移动硬盘接到电脑上后,就开始复制文件。可是没过多久,我发现磁盘中的程序图标,都变成了斑点狗的图标(图1)。请问医生,这些斑点狗的图标从何而来?我该如何处理?
改图标留个人感言
看到那些可爱的小狗图标了吧,这就是我“小狗上学”病毒的重要标志。我是用VB编写的病毒,可以通过网页木马、移动设备进行传播。当我在系统中成功运行后,会在系统的System32目录中释放病毒文件Soleboy.exe和副本Soleboy.txt,并在每个磁盘分区目录下生成Soleboy.exe和Autorun.inf,以达到随着移动设备进行传播的目的。
接着我会添加病毒启动项到注册表的Run项目中,以达到开机自启动的目的。然后搜索磁盘中的可执行文件,将这些文件图标改为“斑点狗”的图标。
与此同时,为了逃避安全工具的追踪,我还会对注册表进行修改完成对安全工具的映像劫持(映像劫持是将程序名称添加到注册表中的Image File Execution Options项,当这些程序运行的时候,系统将它们引导到一个“莫须有”的位置,从而造成程序运行的失败),将它们都劫持到病毒文件System32\Soleboy.exe中。
这样当用户运行安全软件时,不但无法运行安全工具,还会激活系统中由我释放的病毒文件。wWw.iTcoMPUter.cOM.Cn我同时还会查找系统中带有指定关键字符的窗口,关键字包括金山毒霸、瑞星、江民、360安全卫士等,找到后利用Sendmessage函数发送WM_CLOSE命令关闭这些窗口。
然后修改系统之中关于COM和EXE文件的文件关联,将默认关联的程序修改为系统中的病毒文件Soleboy.exe。这样无论是运行COM还是EXE格式的文件,都会立即运行病毒文件。同时我还会删除System32目录中的Taskkill.exe文件,因为它可以用于结束我的进程信息。最后我还在Soleboy.txt中写了一段个人的感言。
巧改名称来杀毒
从作者的留言可以看到,该病毒并没有对系统数据进行破坏,这样就减少了我们修复系统的时间。
第一步:首先下载系统修复工具SREng和安全工具IceSword并分别进行解压,接着将IceSword和SREng改名为1.bat和2.bat。运行工具IceSword,点击工具栏中的“进程”按钮,在进程列表中找到病毒进程Soleboy.exe,现在点击鼠标右键中的“结束进程”命令将它结束。
第二步:接着运行SREng,点击“启动项目”按钮中的“注册表”。选中病毒的启动项Soleboy后,点击“删除”按钮将它清除。接着拖动左侧的滚动条,在下面可以看到很多红色的项目,这些都是被病毒进行映像劫持的内容,同样通过“删除”按钮将这些信息清除掉(图2)。再点击“系统修复”中的“文件关联”标签,直接点击“修复”按钮即可修复被窜改的文件管理。
第三步:点击开始菜单中的“运行”命令,输入regedit打开系统自带的注册表编辑器。现在展开HKEY_CLASSES_ROOT\exefile\DefaultIcon,双击该项目后再修改该项数据为“%1”即可(图3)。最后选择IceSword中的“文件”管理功能,选中每个磁盘目录中的Autorun.Inf和Soleboy.exe,以及System32目录中的Soleboy.exe和Soleboy.txt,利用鼠标右键中的“删除”将病毒彻底清除。
显示器出现白色斑点怎么办
问:一台计算机采用了A690G芯片组主板和威刚1GB DDR2 667内存,一直稳定运行,最近加装了一条黑金刚 1GB DDR2 800内存,每次启动计算机后,显示器出现一些白色的斑点,只有再次重新启动,问题才能解决,请问这是什么原因造成的呢?
答:计算机的主板采用AMD 690G芯片组,是块整合主板,按照排除故障“先软后硬,先易后难”的原则,首先要尝试重新安装主板驱动程序,看是否可以解决问题。右键单击“我的电脑”,选择“属性→硬件”标签,单击“设备管理器”,在“显示卡”项内双击你的显卡型号,选择“驱动程序”标签,单击“更新驱动程序”。然后依照向导安装驱动程序,重启计算机看问题是否能够解决。如果问题仍然存在,则排除主板驱动程序问题。关闭计算机,拆下显示器,将它连接到其它计算机上,看是否工作正常,如工作正常,排除显示器问题引起故障。因为集成显卡显存是从内存共享得到,而且该故障是在添加内存后出现的,所以初步怀疑问题应该出在内存上。打开电脑主机箱,将两条内存拔下,用毛刷清理内存插槽,然后分别在插接一条内存的情况下启动计算机,看故障是否出现,从而判断是哪条内存引起的问题。如果两条内存均正常,而两条全部插接使用才会出现故障,说明问题应该是两条内存不兼容引起的。
这是一个典型的“串联故障”,所谓串联故障就是指由一个部件出现问题,导致另一部件无法正常工作的故障。具体到这个例子,由于集成显卡显存由内存提供,而两条内存的不兼容,造成显存工作异常出现故障。
From:http://www.itcomputer.com.cn/Article/Network/201309/135.html