電腦病毒看不見，卻無處不在，有時(shí)防護(hù)措施不夠或者不當(dāng)操作都會導(dǎo)致病毒入侵。前幾天，同學(xué)在QQ上收到一個(gè)人傳來的文件(見圖1)，十分欣喜地打開，結(jié)果什么都沒有，然后就發(fā)現(xiàn)自己也在不停地給人傳文件，于是找我?guī)兔η宄Ｆ洳闅⑦^程一波三折，現(xiàn)成此文，以供大家參閱。

　　案例分析

　　1.輕松搞定偽裝品

　　先刪除了他接收到的文件，然后用進(jìn)程查看軟件TroyanFindInfo(下載地址:http:// nj.onlinedown.net/soft/36670.htm)查看一下系統(tǒng)中所有進(jìn)程。很快發(fā)現(xiàn)了一個(gè)很奇怪的進(jìn)程(見圖2)，雖然名稱是RUNDLL32.EXE，但其他的諸如版本、產(chǎn)品名、說明都和微軟的RUNDLL32.EXE不同。

　　另外，該文件保存在System目錄下，而同學(xué)的系統(tǒng)是Windows 2000，系統(tǒng)自帶的RUNDLL32.EXE應(yīng)該保存在System32的文件夾中?；谝陨系呐袛?，初步斷定該進(jìn)程為木馬進(jìn)程，于是就用TroyanFindInfo中的“Edit→Kill process”(編輯→結(jié)束進(jìn)程)關(guān)閉掉該進(jìn)程。同時(shí)把C:\WINNT\System\目錄下的木馬原文件也刪除。最后在注冊表中查找所有的開機(jī)自啟動項(xiàng)目，找到和剛才刪除的RUNDLL32.EXE有關(guān)的鍵值即可。

　　小提示

　　★進(jìn)程查看軟件很多，比如以前介紹過的IceSword，本文介紹的TroyanFindInfo等。我個(gè)人喜歡用TroyanFindInfo，因?yàn)樗容^小巧，信息也比較全面，實(shí)用。當(dāng)你自己不能判斷出進(jìn)程文件時(shí)，還可以點(diǎn)擊“Save”(保存)按鈕，保存好LOG文件，然后傳給高手，讓他幫忙分析。

　　★以前大多數(shù)QQ病毒都是通過發(fā)送病毒網(wǎng)站地址來傳播的，現(xiàn)在也有不少通過QQ直接發(fā)送病毒文件，比如，使用圖片圖標(biāo)的EXE文件，大家在接收來自好友或陌生人的消息及文件時(shí)一定要提高警惕，最好先詢問一下對方是否發(fā)過該信息或文件，以免無畏中招。

　　★開機(jī)自啟動在注冊表里的具體位置可以參見本刊2005年第1期的《中毒后遺癥，妙手來清除》。

　　2.清除病毒的“幕后黑手”

　　本來以為是一個(gè)Easy Case，可剛回到家，同學(xué)就打來電話說好像木馬沒清除干凈。過去一看，果然又出現(xiàn)了原來的狀況。按照剛才介紹的方法先行處理過后，再回想一下整個(gè)操作，推斷出可能木馬把自己的分身隱藏到了系統(tǒng)的某個(gè)角落。

　　于是打開“我的電腦”，在菜單欄上點(diǎn)擊“工具→文件夾選項(xiàng)”，在彈出的“查看”選項(xiàng)卡里將“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”和“隱藏已知文件類型的擴(kuò)展名”兩項(xiàng)的勾選去除，再選中“隱藏文件和文件夾”里的“顯示所有文件和文件夾”(見圖3)。

　　QQ

　　進(jìn)入系統(tǒng)目錄里，仔細(xì)看了一下WINNT、System、System32的目錄，果然不出所料，發(fā)現(xiàn)了“?.exe”和“notepad?.exe”兩個(gè)特殊的文件，根據(jù)剛才查殺System目錄下RUNDLL32.EXE的經(jīng)驗(yàn)，這些文件既不是系統(tǒng)自帶的程序，文件的屬性又和剛才刪除的RUNDLL32.EXE屬性類似，可以推斷出這些文件就是木馬文件，自然將其刪除。最后，再去注冊表，檢查一下所有的啟動項(xiàng)目。

　　小提示

　　★系統(tǒng)自帶程序都有各自特定位置和圖標(biāo)，比如開始要刪除的“RUNDLL32.EXE”，如果是系統(tǒng)自帶程序，那在Windows 2000/XP中保存在系統(tǒng)目錄里的System32文件夾里。

　　★類似于“ .exe”和“notepad?.exe”這類的木馬文件的命名抓住了人們心理上的弱點(diǎn)，對相似東西會忽略掉。如果隱藏了擴(kuò)展名，本例中的這兩個(gè)文件粗粗看一眼就很容易忽略掉。還有一種就是用比較類似的字母或者數(shù)字來代替，達(dá)到混淆的目的，比如“I”(大寫I)、“l”(小寫L)、“1”(數(shù)字1)或者是“O”(字母O)“0”(數(shù)字0)就很容易拿來混淆。

　　3.最終善后

　　好事多磨，當(dāng)我正暗自得意時(shí)，突然發(fā)現(xiàn)所有應(yīng)用程序都無法使用，還彈出如圖4所示提示，于是繼續(xù)解決問題:到Window的系統(tǒng)目錄里把“Regedit.exe”的擴(kuò)展名改為COM，不理會警告再運(yùn)行，即可打開“注冊表編輯器”，然后再到[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]將“默認(rèn)”鍵值改回“%1 %*”。再以“?”和“notepad?”為關(guān)鍵詞進(jìn)行搜索，結(jié)果又發(fā)現(xiàn)注冊表的一處鍵值，即[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]也被修改成了“notepad? %1”，修改回默認(rèn)的“NOTEPAD.EXE %1”即可。

　　最后，為了保險(xiǎn)起見，再用安裝的殺毒軟件對系統(tǒng)進(jìn)行了全面的查毒，發(fā)現(xiàn)QQ目錄中的“TIMPlatform.exe”也是木馬，去QQ的目錄里一看，發(fā)現(xiàn)還有一個(gè)文件“TIMP1atform.exe”，經(jīng)過查看屬性，查毒，確認(rèn)它是被木馬改名的原“TIMPlatform.exe”文件，改回后，一切正常。

　　相關(guān)閱讀：2018網(wǎng)絡(luò)安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的設(shè)備包括手機(jī)、電腦、服務(wù)器以及云計(jì)算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達(dá)1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀(jì)錄，美國一家服務(wù)提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達(dá)到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進(jìn)行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國有2.5萬 Memcached 服務(wù)器暴露在網(wǎng)上 。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網(wǎng)站 GitHub(軟件項(xiàng)目托管平臺)上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當(dāng)于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計(jì)的 iOS 設(shè)備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴(yán)重的一次泄漏事件。

　　四、韓國平昌冬季奧運(yùn)會遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運(yùn)會開幕式當(dāng)天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運(yùn)會官網(wǎng)均無法正常運(yùn)作，許多觀眾無法打印開幕式門票，最終未能正常入場。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺接入歐洲廢水處理設(shè)施運(yùn)營技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI 服務(wù)器 CPU，致歐洲廢水處理服務(wù)器癱瘓 。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商的運(yùn)營技術(shù)網(wǎng)絡(luò)展開攻擊。由于受感染的服務(wù)器為人機(jī)交互(簡稱HMI)設(shè)備，之所以導(dǎo)致廢水處理系統(tǒng)癱瘓，是因?yàn)檫@種惡意軟件會嚴(yán)重降低 HMI 的運(yùn)行速度。

QQ木馬病毒解決方法教程相關(guān)文章：

1.QQ病毒查殺完全手冊

2.QQ自行解除保護(hù)模式圖文教程

3.玩轉(zhuǎn)QQ的33個(gè)小技巧集錦

4.QQ電腦管家如何閃電查殺電腦木馬病毒

5.qq安全中心密碼鎖教程