阿权的书房

成堆的有用无用的纸、杂乱无章的书籍和办公用品散落在各处，这就是我们办公桌上的一般情形。在电脑的内部，在电脑的桌面上，在“资源管理器”中，也同样充斥着无序与混乱。这种虚拟的混乱极大地影响了电脑的性能和我们办公的效率，当许多人面临这个问题时，认为硬盘空间又不够了，电脑性能又不跟不上了，需要再换一台新的电脑了。事实上，我们真正需要的是坐下来，好好花时间将电脑里的文件真正管理起来，会为自己日后省下更多的时间。

   文件管理的真谛在于方便保存和迅速提取，所有的文件将通过文件夹分类被很好地组织起来，放在你最能方便找到的地方。解决这个问题目前最理想的方法就是分类管理，从硬盘分区开始到每一个文件夹的建立，我们都要按照自己的工作和生活需要，分为大大小小、多个层级的文件夹，建立合理的文件保存架构。此外所有的文件、文件夹，都要规范化地命名，并放入最合适的文件夹中。这样，当我们需要什么文件时，就知道到哪里去寻找。这种方法，对于相当数量的人来说，并不是一件轻松的事，因为他们习惯了随手存放文件和辛苦、茫无头绪地查找文件。下面，我们将帮你制订一套分类管理的原则，并敦促您养成好的文件管理习惯。以下是我们总结出的一些基本技巧，这些技巧并不是教条，可能并不适合你，但无论如何你必须要有自己的规则，并坚持下来，形成习惯。

   第一招 发挥我的文档的作用

   有很多理由让我们好好地利用“我的文档”，它能方便地在桌面上、开始菜单、资源管理器、保存/打开窗口中找到，有利于我们方便而快捷地打开、保存文件。我们可以利用“我的文档”中已有的目录，也可以创建自己的目录，将经常需要访问的文件存储在这里。至于“我的文档”存储在C盘，在重装系统时可能会误删除的问题，可以在非系统盘建立一个目录，然后右击桌面上的“我的文档”，选择“属性”。在弹出的“我的文档 属性”窗口中，单击目标文件夹下的“移动”按钮，然后在新的窗口中指定我们刚创建的文件夹。重装系统后再次执行以上操作，再重新指向此文件夹即可，即安全又便捷。

   提示
   如果你使用Windows 2000/XP，则移动“我的文档”文件夹时，其下的所有文件会自动移过去，但如果你使用Windows 9x，则需要手工将C:My Documents下的所有文件手工移到新指定的文件夹中，否则可能会丢失数据。

   第二招 建立最适合自己的文件夹结构

   文件夹是文件管理系统的骨架，对文件管理来说至关重要。建立适合自己的文件夹结构，需要首先对自己接触到的各种信息、工作和生活内容进行归纳分析。每个人的工作和生活有所不同，接受的信息也会有很大差异，因此分析自己的信息类别是建立结构的前提。比如，有相当多的IT自由撰稿人和编辑就是以软件、硬件的类别建立文件夹;而很多老师，就是以自己的工作内容比如教学工作、班主任工作建立文件夹。

   同类的文件名字可用相同字母前缀的文件来命名，同类的文件最好存储在同一目录，如图片目录用image，多媒体目录用media，文档用doc等等，简洁易懂，一目了然，而且方便用一个软件打开。这样，当我们想要找到一个文件时，能立刻想到它可能保存的地方。

   第三招 控制文件夹与文件的数目

   文件夹里的数目不应当过多，一个文件夹里面有50个以内的文件数是比较容易浏览和检索的。如果超过100个文件，浏览和打开的速度就会变慢且不方便查看了。这种情况下，就得考虑存档、删除一些文件，或将此文件夹分为几个文件或建立一些子文件夹。另一方面，如果有文件夹的文件数目长期只有少得可怜的几个文件，也建议将此文件夹合并到其他文件夹中。

   第四招 注意结构的级数

   分类的细化必然带来结构级别的增多，级数越多，检索和浏览的效率就会越低，建议整个结构最好控制在二、三级。另外，级别最好与自己经常处理的信息相结合。越常用的类别，级别就越高，比如负责多媒体栏目的编辑，那多媒体这个文件夹就应当是一级文件夹，老师本学期所教授的课程、所管理班级的资料文件夹，也应当是一级文件夹。文件夹的数目，文件夹里文件的数目以及文件夹的层级，往往不能两全，我们只能找一个最佳的结合点。

   第五招 文件和文件夹的命名

   为文件和文件夹取一个好名字至关重要，但什么是好名字，却没有固定的含义，以最短的词句描述此文件夹类别和作用，能让你自己不需要打开就能记起文件的大概内容，能就是好的名称。要为电脑中所有的文件和文件夹使用统一的命名规则，这些规则需要我们自己来制订。最开始使用这些规则时，肯定不会像往常一样随便输入几个字那样轻松，但一旦你体会到了规则命名方便查看和检索的好处时，相信你会坚持不懈地执行下去。

   另外，从排序的角度上来说，我们常用的文件夹或文件在起名时，可以加一些特殊的标示符，让他们排在前面。比如当某一个文件夹或文件相比于同一级别的来说，要访问次数多得多时，笔者就会在此名字前加上一个“1”或“★”，这可以使这些文件和文件夹排列在同目录下所有文件的最前面，而相对次要但也经常访问的，就可以加上“2”或“★★”，以此类推。

   此外，文件名要力求简短，虽然Windows已经支持长文件名了，但长文件名也会给我们的识别、浏览带来混乱。

   第六招 注意分开要处理的与已经完成的

   如果一年前的文件还和你现在正要处理的文件摆在一起，如果几个月前的邮件还和新邮件放在一块，那你将会很难一眼找到你想要的东西。及时地处理过期的文件，备份该备份的，删除不需要的，是一个良好的习惯。以老师为例，上学期教授课程的教案与资料，本学期使用的频率会非常小，所以应当专门将到存放后另一个级别较低的文件夹中，甚至于刻录到光盘中。而并本学期的一些文档，因为要经常访问，最好放置在“我的文档”中以方便时时访问。对于老师来说，一个学期就是一个周期，过一个周期，就相应地处理本周期的文件夹。对于其他行业的人来说，也有不同的周期，我们要根据自己的实际工作和生活需要对文件夹、文件进行归档。

   小提示

   为了数据安全，及时备份是必需要的，有关备份请参见本期《把复杂的备份变简单》，及时备份文件并删除不需要再使用的文件。

   第七招 发挥快捷方式的便利

   如果我们经常要快速访问文件或文件夹，那可以右击选择“创建快捷方式”，再将生成的快捷方式放置到你经常停留的地方。当然，当文件和文件夹不再需要经常访问时，你需要及时将快捷方式删除，以免快捷方式塞堵了太多空间或牵扯了你的注意力。

   第八招 现在开始与长期坚持

   建立完善的结构、规范化地命名、周期性地归档，这就是我们要做的。这并不复杂的操作却能大大提高我们的工作效率，节省我们已经很有限的时间。

   如果你现在就开始，那请首先拿出一张纸，明了你的信息类别，明确准备创建的文件夹个数与位置，还有为重要的文件夹制订文件命名规则及归档规则。然后按此规则将电脑中已经存在的大量信息进行移动、更名、删除等操作，而且要在以后操作中克服自己的陋习。

   也许开头会很难，也许规则会很繁琐，但相信过不了多久，你就已经习惯于看到井井有条的文件与文件夹，并享受高效管理带来的快乐了。

虽然Windows XP在功能和易用性比以往的系统增强很多，但更多的功能就意味着需要占用更多的系统资源。其实Windows XP一些自带的功能并不比第三方软件强，为了使系统更清爽，笔者收集了一些撤消Windows XP自带功能方法，与大家分享。

　　一、撤消对压缩文件的支持

　　从Windows Me开始，微软就在系统内置了对ZIP文件的支持，用户可以把ZIP文件当成文件夹浏览。
　　
　　现在WinRAR已经是时下最流行的压缩软件，想必你的系统装上了这套软件。禁Zip文件功能，只需取消zipfldr.dll的注册就可以了。点击“开始→运行”，在运行输入框中输入“regsvr32 /u zipfldr.dll”(不包括引号，下同)，回车即可。

　　同样，如果不喜欢系统查看CAB压缩包，输入“regsvr32 /u cabview.dll”来取消对cabview.dll的注册。

　　二、撤消视频预览和刻录功能

　　每当用资源管理器选中一个视频文件时，XP会在左侧面板预览显示，不过这对于较大的视频文件时，往往要读上半天。
　　
　　用户在大多数情况下并不需要预览，禁止的方法也非常简单，在运行输入框中输入“regsvr32 /u schmedia.dll”即可撤消视频预览。

　　Windows Media Player从8.0开始加入了刻录功能，且不说它的Bug，单单功能上无法与Nero等专业软件相比。禁止这项功能得修改注册表，在注册表编辑器中展开主键[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion]，
在右面板新建一名为“NoCDBurning”双字节值（DWORD），值修改为“1”即可。

　　三、撤消注册表编辑器的记忆功能

　　Windows XP继承了在Windows Me时注册表编辑器的记忆能力，但这项功能却起了事得其反的效果，造成用户操作不便，撤消要经过两个步骤：

　　1.运行注册表编辑器，依次找到主键[HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionAppletsRegedit]，将右面板的“LastKey”键值删除；

　　2.在左面板的Regedit分支上单击鼠标右键，在弹出的快捷菜单中择选“权限”命令，在“Administrators 的权限”窗口中将“完全控制”和“读取”两项设置为“拒绝”即可。

　　四、撤消检查预定的任务

　　每当系统连接到其他的计算机后会检查对方计算机上所有预定的任务，检查时需要30秒的等待时间。我们可不希望把时间耗在这上面，在注册表编辑器中展开主键
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer
RemoteComputerNameSpace]，删除其子键——，Windows就不再检查预定任务了。

　　五、撤消IE组件自动安装功能

　　由于系统采用了IE组件自动安装，有时使用Internet Explorer浏览器访问某些网页时，会弹出下载安装IE组件程序的对话框。这项功能笔者并不是很喜欢，如果你也有这种感觉的话，可以通过组策略按下面的步骤撤消：

　　1.在“运行”对话框中输入“gpedit.msc”，激活“组策略”管理窗口。

　　2.在左边的控制台树中依次展开“计算机配置→管理模板→Windows组件→Internet Explorer”，然后在右面板双击“禁用Internet Explorer组件的自动安装”选项，打开“禁用Internet Explorer组件的自动安装 属性”对话框。

　　3.在“设置”选项卡中将“禁用Internet Explorer组件的自动安装”设置为“已启用”，点击“确定”按钮让设置生效即可。

　　以后当你使用IE时，系统就不会自动安装IE组件程序了。如果以后你想要重新使用Internet Explorer组件自动安装功能时，只要将“禁用Internet Explorer组件的自动安装”设置为“已禁用”即可。

　　同法设置“禁用定期检查Internet Explorer软件更新”选项可以定制是否进行IE的定期更新操作。

这是一个W32病毒，长度 45,147 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，利用局域网共享传播，感染可执行文件，当收到、打开此病毒后，有以下现象:



清除方法：
在安全模式下，删除相应文件。清理注册表相应键值。
如果.exe文件已经被感染，可试着使用最新的杀毒软件进行杀毒恢复。
建议重新安装系统。

查杀软件:
这个软件大家下载以后安装上，请到下面地址下载：
Ewido Anti-Spyware 汉化版：
下载地址一：http://www.51ct.cn/downinfo/585.html
下载地址二：http://pute.net.ru/article.asp?id=113
下载地址三：http://www.greendown.cn/soft/2876.html
原版破解版：http://www.ttian.net/website/2005/0923/534.html
这个软件是杀木马工具，这个毒也可以杀，装上升级，杀毒的时候运行，不杀的时候它不运行也不占用系统资源。

　　Xfs 和xft 是外部服务程序. xfs 是系统级的字体服务程序， 也可以作为X的内部模块， 使用的是X 内部的freetype2. Xft 和其他类库一样， 只有被调用的时候才被加载. 其中只有xft才有antialias 支持.
　　这里有必要讲讲freetype. Freetype 是开源字体渲染引擎， 并不只为X设计. 它的功能就是读取Truetype字体信息， 如大小， 分辨率， 编码等， 然后渲染成所需的位图数据输出. Freetype 现在的版本是 2.x， 与1.0 相比， 最大的差别就是加入了抗锯齿功能.

　　有这么多引擎，到底要用哪个好? 其实我们目前为止， 支持中文最好的还是xtt. 因为小字体的时候， 用函数描述法算出来的中文字体效果不能让人满意， 所以很多中文字体公司就在Truetype字体里嵌入了位图字体. 这些位图字体需要用特殊的方式读出来， 所有的引擎中就只有xtt能做到这一点.

　　我们下一步就是将字体添加到X中， 使xtt可以正确读取， 这样就可以了.

　　首先， 由于要配置Linux系统文件， 我们需要用root帐号进入， 相当于windows下的administrator.

　　X的配置文件是/etc/XF86Config-4 (比较新的显卡) 或者是 XF86Config (比较老的显卡). 用你喜欢的文本编辑器打开， 如 kedit或gedit.

　　打开后我们发现配置文件分成很多个Section， 我们首先要配置的就是 Section "Files" ， 这个部分描述了X所要调用的文件信息.

　　要加入一个字体目录， 只需在里面插入一行 FontPath "目录名" 就可以了， 如:

　　Section "Files"

　　# Multiple FontPath entries are allowed (they are concatenated together)

　　# By default， Mandrake 6.0 and later now use a font server independent of

　　# the X server to render fonts.

　　FontPath "unix/:-1"

　　FontPath "/truetype" # 插入一个字体目录

　　EndSection

　　然后， 我们让X加载xtt字体引擎:

　　找到Section "Module"， 像这样修改:

　　Section "Module"

　　# Load "dbe" # Double-Buffering Extension

　　# Load "v4l" # Video for Linux

　　Load "extmod"

　　Load "glx

　　# Load "type1" # type1 模组是渲染type1字体的， 和xtt冲突， 必需屏蔽

　　# Load "freetype" # freetype 模组是渲染Truetype字体的， 和xtt冲突， 必需屏蔽

　　Load "xtt" # 加入xtt模组引擎

　　EndSection

　　好了， 现在xtt会自动去 /truetype 里找字体.

　　现在开始拷贝字体到 /truetype里去， 先要在根目录建一个truetype目录， 打

　　mkdir /truetype

　　就可以了.

　　从windows分区拷贝要先mount， 就是作一个联接， 将Linux目录连到windows分区. 在根目录下建一个"c"目录.

　　mkdir /c

　　然后

　　mount /dev/hda1 /c

　　这样就将windows下的C盘 联接到我们Linux下的/c目录了， 进入/c， 应该可以看到你C盘的文件.

　　然后， 进入/c 中的字体文件目录， 一般在window下面的Fonts里， 注意目录名大小写在Linux下面是有区别的.

　　拷贝字体文件到 /truetype里， 打

　　cp simsun.ttc /truetype/simsun.ttf

　　cp tahoma* /truetype/

　　这样就将我们所需要的字体文件拷贝到truetype 里了.

　　下一步我们要设置字体文件， Linux中X的字体设置很烦锁， 不像windows一拷贝就完事， 初级阶段嘛， 大家还是忍忍吧， 呵呵.

　　1. 建立字体信息文件fonts.dir

　　如下

　　24

　　simsun.ttf -misc-SimSun-medium-r-normal--0-0-0-0-c-0-gb2312.1980-0

　　ai=0.3:simsun.ttf -misc-SimSun-medium-i-normal--0-0-0-0-c-0-gb2312.1980-0

　　ds=y:simsun.ttf -misc-SimSun-bold-r-normal--0-0-0-0-c-0-gb2312.1980-0

　　ds=y:ai=0.3:simsun.ttf -misc-SimSun-bold-i-normal--0-0-0-0-c-0-gb2312.1980-0

　　tahoma.ttf -misc-SimSun-medium-r-normal--0-0-0-0-p-0-iso8859-1

　　ai=0.3:tahoma.ttf -misc-SimSun-medium-i-normal--0-0-0-0-p-0-iso8859-1

　　tahomabd.ttf -misc-SimSun-bold-r-normal--0-0-0-0-p-0-iso8859-1

　　ai=0.3:tahomabd.ttf -misc-SimSun-bold-i-normal--0-0-0-0-p-0-iso8859-1

　　simsun.ttf -misc-SimSun-medium-r-normal--0-0-0-0-p-0-gbk-0

　　ai=0.3:simsun.ttf -misc-SimSun-medium-i-normal--0-0-0-0-p-0-gbk-0

　　ds=y:simsun.ttf -misc-SimSun-bold-r-normal--0-0-0-0-p-0-gbk-0

　　ds=y:ai=0.3:simsun.ttf -misc-SimSun-bold-i-normal--0-0-0-0-p-0-gbk-0

　　simsun.ttf -misc-SimSun-medium-r-normal--0-0-0-0-p-0-fcd8859-15

　　ai=0.3:simsun.ttf -misc-SimSun-medium-i-normal--0-0-0-0-p-0-fcd8859-15

　　ds=y:simsun.ttf -misc-SimSun-bold-r-normal--0-0-0-0-p-0-fcd8859-15

　　ds=y:ai=0.3:simsun.ttf -misc-SimSun-bold-i-normal--0-0-0-0-p-0-fcd8859-15

　　simsun.ttf -misc-SimSun-medium-r-normal--0-0-0-0-p-0-iso8859-15

　　ai=0.3:simsun.ttf -misc-SimSun-medium-i-normal--0-0-0-0-p-0-iso8859-15

　　ds=y:simsun.ttf -misc-SimSun-bold-r-normal--0-0-0-0-p-0-iso8859-15

　　ds=y:ai=0.3:simsun.ttf -misc-SimSun-bold-i-normal--0-0-0-0-p-0-iso8859-15

　　simsun.ttf -misc-SimSun-medium-r-normal--0-0-0-0-c-0-iso10646-1

　　ai=0.3:simsun.ttf -misc-SimSun-medium-i-normal--0-0-0-0-c-0-iso10646-1

　　ds=y:simsun.ttf -misc-SimSun-bold-r-normal--0-0-0-0-c-0-iso10646-1

　　ds=y:ai=0.3:simsun.ttf -misc-SimSun-bold-i-normal--0-0-0-0-c-0-iso10646-1

　　第一行的24表示下面一共有24行设置 (好像有点傻) ， 其他的格式都差不多:

　　ds=y:ai=0.3:simsun.ttf -misc-SimSun-bold-i-normal--0-0-0-0-p-0-gbk-0

　　说明:

　　simsun.ttf: 字体文件名

　　ds=[yn]: ds是xtt的功能， 设成"y" 表示粗体， "n" 表示正常.

　　ai=Real_number: 表示倾斜度. 不设表示自动.

　　misc : 表示字体的类别

　　SimSun : 是字体的名称

　　bold : bold 表示粗体， 其他如medium表示正常，

　　i : 表示斜体， r 是正常

　　p: 可变长度， c 是正方形， m是固定宽度

　　gbk: 字体编码

　　这里大家发现我们还使用了tahoma英文字体， 这样替换， 系统读取Simsun英文字体的时候， 就会用pp的tahoma替代.

　　好了， 现在存盘. 然后拷贝一个到fonts.scale

　　cp fonts.dir fonts.scale

　　然后拷贝编码文件 encodings.dir 到目录里来.

　　cp /usr/X11R6/lib/X11/fonts/encodings/encodings.dir /truetype

　　好， 重起， 把KDE， mozilla， galeon 等等所有默认字体都改成simsun， 哈哈， 是不是比从前漂亮了很多?

　　大家还是把这几个配置文件备份起来， 以后安装的时候就不用再设置了.

　　这里顺带说一下其他几个字体引擎的配置:

　　xfs : 配置文件是 /etc/X11/fs/config

　　xft : 配置文件是 /etc/X11/Xftconfig

　　xft 的配置相对来说比较容易， 只要将字体拷到配置文件中dir 指定的任何一个目录就可以了. 如果要小字体不显示AA， 可以在末尾加入:

　　match

　　any size > 8

　　any size < 17

　　edit

　　antialias = false;

　　match

　　any pixelsize > 8

　　any pixelsize < 17

　　edit

　　antialias = false;

　　这样 8~17号的字体就不会用抗锯齿功能了.

鼠标右键里有个 NVIDIA 显示器 选项，可以删除它：

regsvr32 /u /s igfxpph.dll
//反注册相关的dll
reg delete HKEY_CLASSES_ROOTDirectoryBackgroundshellexContextMenuHandlers /f
//删除该注册表值，把新建也去掉了，下面改回来
reg add HKEY_CLASSES_ROOTDirectoryBackgroundshellexContextMenuHandlers ew /ve /d {D969A300-E7FF-11d0-A93B-00A0C90F2719}

//删除相关的启动项
reg delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v HotKeysCmds /f
reg delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v IgfxTray /f

以上内容编个bat文件，一次搞定

查过资料，有以下可能：

---

你在安装显示卡驱动时，系统在注册表里头 注册了 igfxpph.dll 这个文件 igfxpph.dll 可以提供一些视频类的属性设置，当然你点右键的时候，会有调用文件、掉用内存的过程，所以会有点延时。 regsvr32 是注册dll文件的命令，加上/u 是反注册。

因为你是使用intel的集成显示卡
解决方法
开始-运行- 输入
regsvr32 /u igfxpph.dll
回车

---

一般是由于文件这个对象上，资源管理器shell中，上下文菜单中所关联的项目太多，或者有项目所对应的功能模块已经失去响应所致。您可以注意一下   regedit中，HKEY_CLASSES_ROOT*shellexContextMenuHandlers   下存在的一些项目，逐一排查它们看看。

---

在桌面按右键反应慢，通常都是集成显卡驱动程序惹的祸。如果楼主的显卡是集成的，那么十有九成是此原因。

解决方法有两种：1. 运行regsvr32 /u igfxpph.dll；2.如果第一种方法提示找不到igfxpph.dll，那么运行regedit，将HKEY_CLASSES_ROOTDirectoryBackgroundshellexContextMenuHandlers下面的子项除了 New(新建) 以外的都删掉就可以了。

关机时又问是否要立即结束或取消，默认情况下是等几秒钟才关闭的，但可以修改注册表来缩短之。运行regedit后，找到HKEY_CURRENT_USERControl PanelDesktop主键，在窗口右边将HungAppTimeout值改为200，再把WaitToKillAppTimeout的值改为100。

间谍软件InfoStealer
概述
别名
Infostealer.Salira [Symantec], PWS-Mafia [McAfee], Trojan-PSW.Win32.Bumaf.c [Kaspersky],

类别
Trojan : 有隐藏意图的任何程序。 特洛伊木马程序是侵入计算机的主要方式之一。 如果您的程序在访问聊天室、新的小组或阅读未经请求的邮件后被破坏，则该程序可能感染了具有某种破坏目的的特洛伊木马程序。 单词 Trojan（特洛伊）可以用作动词：要 trojan 一个程序意即向现有的程序添加破坏性功能。 例如，被 trojan 了的登录程序可能会被编程为接受某个不限定用户的特定密码，这样骇客就可以在任何时间使用该密码登录回系统。 Rootkit 经常包含像这样被 trojan 了的程序组。

发源
发源日期
2006年6月

检测和删除
手工删除
按照以下步骤从您的机器删除InfoStealer。先备份您的注册表和系统，并设置一个还原点，防止发生错误。
停止运行进程:
利用任务管理器停止以下运行进程：
%windows%ackup.exe
%system%winrarshell32.exe
w32bumaf-c.exe

删除自动运行的引用:
访问 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
如果找到值 HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversion un backup
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion un winrarshell，立即删除并重启机器

清除注册表:
使用注册表编辑器清除以下注册项（如果存在）：
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion un winrarshell
HKEY_CURRENT_USERsoftwaregm
HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversion un backup

删除文件:
使用资源管理器删除以下文件（如果存在）：
w32bumaf-c.exe
%system%winrarshell32.exe
%windows%ackup.exe

调查
文件分析
InfoStealer