反病毒常见问题及解答

 反病毒常见问题及解答
反病毒常见问题及解答  转自卡卡社区《反病毒论坛》

 ——————————————————————————————————

问:XXX是个什么病毒?

答:
http://it.rising.com.cn/newSite/Channels/Anti_Virus/index.htm
使用病毒名可以在上页查询瑞星的资料库。

_____________________________________________

问:我感染了XXX病毒,该怎么杀啊?

答:
请使用查出此病毒的软件,在安全模式下断网全盘杀毒。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

还不行的话,建议将杀毒软件升级到最新版,在DOS下断网全盘杀毒。
DOS杀毒简要说明
在BIOS里设置从光盘或者软盘启动,然后用瑞星的光盘或者A盘启动,有提示,按照提示杀毒(使用其它杀毒软件的话,请参考相关软件说明书)。
请参考
BIOS设置图解说明
http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1724648&page=1
简单说,进CMOS设置(一般是开机过程中按Del,也可能是其它键,参考你的主板说明书),并选择BIOS FEATURES SETUP——>Boot Sequence,将其值设为A,C或A;C,SCSI(注:用PageUp/PageDown设置),按ESC退出,选择SAVE&EXIT SETUP保存设置并重新启动。这就设成了从软驱优先启动,即可以用瑞星A盘在纯DOS下查杀。(注:不同主板的电脑进入CMOS设置有可能不一样,但设置大体相似)

_____________________________________________

问:杀毒后,我的大部分程序不能运行了,怎么办?

答:
试试瑞星的注册表修复器(这是个com文件,如果只是更改了exe关联,这个还能运行)
http://download.rising.com.cn/zsgj/RegClean.com
或者
下载下面网址提供的文件后双击
http://it.rising.com.cn/service/technology/Sircam_download.htm

_____________________________________________

问:杀毒时,瑞星提示“请解压”是怎么回事?

答:
如果提示“请解压”

1 病毒在/Temporary Internet Files目录下

请清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,
可以把“删除所有脱机内容”选上。)。

普通模式不行的话,在安全模式重复上述操作。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

如果还不行,试试看,启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:/Documents and Settings/Local Settings/Temporary Internet Files/下面,把能删除的都删掉。(这是XP下的步骤,其它系统参照)

2 病毒在/_Restore目录下(WinMe)或者System Volume Information目录下(WinXP),请关闭系统还原。

/_Restore目录(WinMe)或者System Volume Information目录(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。

操作系统是WindowsMe的话,系统还原目录为/_Restore,需要禁用系统还原,DOS下删除。具体请参考下文:
http://community.rising.com.cn/Forum/msg_read.asp?FmID=33&SubjectID=2028691&page=1

XP关闭系统还原的方法:右键单击“我的电脑”,选“属性”——“系统还原”——在“在所有驱动器上关闭系统还原”前面打勾——按“确定”退出。
XP关闭系统还原的同时,里面的内容会自己清空,里面的病毒也没有了。不放心的话,您再查一下毒看看。

3 病毒在windows安装目录的Downloaded Program Files目录下,一般为cab文件,可能您需要在文件夹选项中显示隐藏文件和取消“隐藏受保护的操作系统文件”才能看到这个目录和其中的文件。找到该cab文件后在上面点右键,选“删除”。

4 其它情况,请参考下文相关章节
【圣诞节礼物】新手常见问题解答
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2487737&page=1

_____________________________________________

问:(倒计时关机、2000不能粘贴复制等冲击波、高波症状)

答:
怀疑冲击波病毒。
可以使用瑞星的冲击波专杀来杀,最好断网在安全模式查杀。
http://download.rising.com.cn/zsgj/ravblaster.exe

要给系统打RPC漏洞补丁,补丁下载地址,参考此页http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200308/12-164011274.htm

杀毒后,打补丁,打开防火墙,才能正常上网。

提醒一下,“高波”病毒利用“冲击波”利用的RPC漏洞以及其它几个不为常知的漏洞,所以建议杀毒后使用windows update(打开IE——工具——windows update)给系统打上所有关键补丁、安全补丁。

XP的话,是否能打补丁要考虑好。

_____________________________________________

问:(关于感染WORM_NACHI.A、W32.Welchia.Worm、W32.Nachi.worm、Win32.Nachi.Worm、Welchia、W32/Nachi-A、WORM_KillMSBlaster.10240)

答:
这是“冲击波杀手”病毒。
可以使用瑞星的冲击波专杀来杀,最好在安全模式。
http://download.rising.com.cn/zsgj/ravblaster.exe


转贴手动清除方法(建议还是使用上面的专杀,那样方便):

如果您的计算机感染了Welchia蠕虫,可以用如下方法清除:


1、停止如下两项服务(开始->控制面板->管理工具->服务):

WINS Client

Network Connections Sharing

2、检查、并删除文件:

%SYSTEMROOT%/SYSTEM32/WINS/DLLHOST.EXE

%SYSTEMROOT%/SYSTEM32/WINS/SVCHOST.EXE

%SYSTEMROOT%指的是你的系统安装目录

对于Windows 2000,默认在C:/Winnt/SYSTEM32/WINS/
对于Windows XP,默认在C:/Windows/SYSTEM32/WINS/

 

3. 进入注册表(开始->运行:regedit),删除如下键值:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

RpcTftpd

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

RpcPatch


要给系统打RPC漏洞补丁(否则很快被再次感染)
补丁下载地址,参考此页http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200308/12-164011274.htm

杀毒后,打补丁,打开防火墙,才能正常上网。

.............................................

注意,对于新的变种Worm.Welchia.b,需要“禁用”的服务为Wkspatch

重新启动电脑,然后您可以删除文件
%System%/drivers/svchost.exe

%System%指的是你的系统文件目录
对于2000,删除X:/WINNT/system32/drivers/svchost.exe
对于XP,删除X:/WINDOWS/system32/drivers/svchost.exe

这里的X指的是你的系统盘的盘符。

_____________________________________________

Sasser震荡波相关的问题,请见

【通知、非原创】Sasser震荡波蠕虫对策(avserve.exe文件自启动、lsass出错重启动等)(已有变种)
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3536239&page=1

_____________________________________________

问:(反复中毒、中木马)

答:(主要针对NT内核的系统)
如果在局域网,需要断网查杀所有电脑。

建议给你的管理员账号设置个复杂的密码。停用Guest账号。

建议使用windows update(打开IE——工具——windows update)给系统打上所有关键补丁、安全补丁。

XP的话,是否能打补丁要考虑好。

不能打补丁的话,也要:
升级IE到6.0sp1,然后打上IE最新的补丁,这样可以增加安全性。
下载地址(华军软件园):
Microsoft Internet Explorer 6.0 SP1 简体中文完全版
http://www.onlinedown.net/soft/17441.htm
至少打上这个补丁:IE6修补iFrame漏洞补丁(注意,要选对语言版本,一般用简体中文补丁,这个包含在IE6sp1中):
http://www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp

其它安全注意事项:

禁止建立空连接
运行regedit,找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把RestrictAnonymous(DWORD)的键值改为:00000001。

禁止隐含共享
windows2000禁止隐含共享的方法
在计算机管理器中先删掉这些默认共享。
(控制面板——管理工具——计算机管理——共享文件夹,在这里删除。
或者运行下列命令删掉这些默认共享
net share IPC$ /delete
net share admin$ /delete
net share C$ /delete
net share D$ /delete
net share E$ /delete
直到最后一个硬盘分区)

然后在注册表中操作,找到如下键:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
如果是服务器,在该键下增加一个名为“AutoShareServer”的DWORD值,值设为0。
如果是工作站(对于XP家庭版或者专业版也适用),在该键下增加一个名为“AutoShareWks”的DWORD值,值设为0。
最后重启即可!

或者干脆禁止server这个服务,如果不使用IIS等,在停止共享的同时,不会有不良影响。
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2431173&page=1
需要关闭的服务,请参考下文。
http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1706401&page=1

_____________________________________________

问:(QQ连发器)

答:
如果中了QQ连发器,请用最新版瑞星杀一下,或者用专杀试试看(最好在安全模式杀毒)
http://it.rising.com.cn/service/technology/RS_QQMsender.htm
http://www.spant.net/

先杀毒,杀毒后,试试瑞星的注册表修复器
http://download.rising.com.cn/zsgj/RegClean.com

还不行的话,先把主页改成空白的(工具——internet选项——常规,主页改为空白页),运行msconfig查看启动项,看看是否有可疑的,禁止掉(比如后缀为url,html,htm,hta的都禁止掉),最好找到相关文件,一并删除。

2000没有msconfig,可以复制98、XP的。

或者请参考《HijackThis简明教程(编译+部分原创)》
http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1
看看能否用它修复。您也可以把HijackThis生成的log日志文件的内容贴上来,方便大家分析。

_____________________________________________

问:(恶意网站修改主页)

答:请用最新版瑞星杀一下,或者用专杀试试看。
专杀方面,若是上了某个中文的网引起的问题,请用spant试试(最好在安全模式使用)
http://www.spant.net/
若是上了某个外文的网引起的,请下载下面的工具,4个地址,同一工具。
http://www.merijn.org/files/CWShredder.exe
http://www.zerosrealm.com/downloads/CWShredder.zip
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
http://www.spywareinfo.com/~merijn/files/cwshredder.zip

关闭所有IE窗口,运行此工具让它修复(Fix),问题仍在的话,再用Hijackthis扫描一次贴上来。
(请参考《HijackThis简明教程(编译+部分原创)》
http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1
您可以把HijackThis生成的log日志文件的内容贴上来,方便大家分析。)
_____________________________________________

问:hkcmd.exe是病毒吗?

答:
这是intel芯片组(含显卡的那种)驱动中自带的支持热键改变显示模式的程序。可以禁用,不是病毒,但可能被病毒替代。如果杀毒软件没报,应该不必担心。热键程序自然会监视键盘输入,某些老版本的优化大师会误报。

_____________________________________________

问:进程里的taskmgr.exe是什么?

答:
taskmgr.exe是任务管理器,你用Ctrl+Alt+Del调出来的就是任务管理器,这种情况下,taskmgr.exe本身会占用大量CPU时间,但会很快降下来。
另外,一些病毒会感染或替换、注入taskmgr.exe。不放心的话,请将杀毒软件升级到最新版,在安全模式下断网全盘杀毒。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

_____________________________________________

问:我把给瑞星设的密码忘了,怎么办?

答:
找到rav.ini文件,用记事本打开,删除如下两行

[RavDlg]
MenuItem=*********

_____________________________________________

问:(无法打开网页上的任何链接,包括不能复制、粘贴)
另外,安装软件时提示“不支持此接口”也可参照本题。

答:
先杀毒,看看是否中毒(如果查出是冲击波请打补丁)。
然后卸载3721和ACDSee5.0迷你版(如果装了的话),接下来按下面的方法操作:

1.点击“开始”→“运行”,在弹出的“运行”对话框中输入“regsvr32 actxprxy.dll”(注意输入时没有引号),然后点击“确定”按钮,接着会出现一个信息对话框
“DllRegisterServer in actxprxy.dll succeeded”,在该对话框中点“确定”按钮;
2.再次点击“开始”→“运行”,在弹出的“运行”对话框中输入“regsvr32 shdocvw.dll”(注意输入时没有引号),然后点击“确定”按钮,接着会出现一个信息对话框
“DllRegisterServer in shdocvw.dll succeeded”,在该对话框中点“确定”按钮;
3.重新启动。

不行的话,运行下面的
regsvr32 shdocvw.dll ,确定,接着出现一个消息框,确定
regsvr32 oleaut32.dll,确定,接着出现一个消息框,确定
regsvr32 actxprxy.dll,确定,接着出现一个消息框,确定
regsvr32 mshtml.dll,确定,接着出现一个消息框,确定
regsvr32 msjava.dll,确定,接着出现一个消息框,确定
regsvr32 browseui.dll,确定,接着出现一个消息框,确定
regsvr32 urlmon.dll,确定,接着出现一个消息框,确定
重新启动

仍旧不行的话,运行下面的
regsvr32 /i /s MFC42.DLL
regsvr32 /i /s advpack.dll
regsvr32 /i /s browselc.dll
regsvr32 /i /s WSOCK32.DLL
regsvr32 /i /s jscript.dll
regsvr32 /i /s rpcrt4.dll
regsvr32 /i /s MSHTMLED.DLL
regsvr32 /i /s oleaut32.dll
regsvr32 /i /s MSRATING.DLL
regsvr32 /i /s comctl32.dll
regsvr32 /i /s msratelc.dll
regsvr32 /i /s URL.DLL
regsvr32 /i /s URLMON.DLL
regsvr32 /i /s WININET.DLL
regsvr32 /i /s SHDOCVW.DLL
regsvr32 /i /s OLE32.DLL
regsvr32 /i /s mydocs.dll
regsvr32 /i /s ACTXPRXY.DLL
regsvr32 /i /s RPCRT4.dll
regsvr32 /i /s mshtml.dll
regsvr32 /i /s MSVCRT.DLL
regsvr32 /i /s DXTMSFT.DLL
regsvr32 /i /s DDRAWEX.DLL
regsvr32 /i /s DDRAW.DLL
regsvr32 /i /s DXTRANS.DLL
regsvr32 /i /s ATL.DLL
regsvr32 /i /s DINFO.DLL
regsvr32 /i /s LOCSCRCH.DLL
regsvr32 /i /s CONCL.DLL
regsvr32 /i /s SHDOCLC.DLL
regsvr32 /i /s MSLS31.DLL
regsvr32 /i /s SHDOCLC.DLL
regsvr32 /i /s CESWEB.DLL
regsvr32 /i /s NETAPI32.DLL
regsvr32 /i /s NETBIOS.DLL
regsvr32 /i /s MSI.DLL
regsvr32 /i /s MSOSS.DLL
regsvr32 /i /s BROWSELC.DLL
regsvr32 /i /s MFC42LOC.DLL
regsvr32 /i /s imm32.dll
regsvr32 /i /s VERSION.dll
regsvr32 /i /s ADVAPI32.dll
regsvr32 /i /s OLEPRO32.DLL
regsvr32 /i /s shell32.dll
regsvr32 /i /s shlwapi.dll
重新启动

_____________________________________________

问:如何关闭信使服务?

答:
XP服务设置法

  打开“控制面板”,单击“性能和维护”,单击“管理工具”,双击“服务”。单击“Messenger”,然后在“操作”菜单中,单击“属性”。进入“常规”选项卡,单击“停止”按钮,再将“启动类型”改为“手动”或“已禁用”。如果“Messenger”服务被停止,Alerter消息不会被传输。如果“Messenger”服务被禁用,任何直接依赖于它的服务将无法启动,这正是我们所希望的。最后单击“确定”按钮。
以后,恼人的“信使服务”就不会再打扰你了。

2000服务设置法

点击“开始”并选择“运行”,输入“services.msc”,点击“确定”。然后,双击Messenger服务并按“停止”。从“启动类型”列表中,选择“禁用”,此后Windows启动时就不会自动载入Messenger了。

_____________________________________________

问:我新打开的IE窗口为什么不是最大化的?

答:
试试看,关闭所有IE窗口,打开一个IE窗口,从中再打开一个新窗口,关闭原窗口,把新窗口手动用鼠标左键拉到最大,关闭这个窗口。
重新打开IE,应该解决了。

_____________________________________________

问:开机报告“Boot.ini文件非法”,怎么办?

答:
这个问题一般是由于boot.ini文件丢失或格式不正确造成的。
boot.ini文件的格式一般是下面这种类型的——

  [boot loader]
  timeout=30
  default=multi(0)disk(0)rdisk(0)partition(1)\Windows
  [operating systems]
  multi(0)disk(0)rdisk(0)partition(1)\Windows="Microsoft Windows XP Professional" /fastdetect

请参考
解读多重启动引导文件——BOOT.INI

日期:2002-7-3 9:19:29
出处:电脑爱好者
作者:-

Windows NT类的*作系统,也就是Windows NT/2000/XP中,有一个特殊文件,也就是“BOOT.INI”文件,这个文件会很轻松地按照我们的需求设置好多重启动系统。
“BOOT.INI”文件会在已经安装了Windows NT/2000/XP的*作系统的所在分区,一般默认为C:/下面存在。但是它默认具有隐藏和系统属性,所以你要设置你的文件夹选项,以便把“BOOT.INI”文件显示出来。我们可以用任何一种文本编辑器来打开他它。一般情况下,它的内容如下:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)/Windows
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)/Windows="Microsoft Windows XP Professional" /fastdetect
  在Windows 2000或者是XP系统中,我们可以很容易的设置“BOOT.INI”文件。那就是在“我的电脑”上面点击右键,选择“属性”打开“系统属性”对话框,再点击“高级”选项卡,在“启动和故障修复”里面点击“设置”按钮,就可以打开“启动和故障修复”对话框了,在这里面我们就可以对它进行详细设置。
  如果你拥有Windows XP*作系统,那么你可以用“系统配置实用程序”来更方便的编辑“BOOT.INI”文件。具体做法是:打开“开始”菜单,点击“运行”命令,再在弹出的文本框中输入“msconfig”点击“确定”后就会弹出“系统配置实用程序”,再点击“BOOT.INI”选项卡,就会出现如图所示的界面。在这里,我们可以很方便地设置文件。
言归正传,现在,来说明一下这个文件内容的含义。
  1.系统加载部分([boot loader])
  这一部分很简单,只有两个设定。那就是“timeout=”和“default=”。
“timeout=”就是设定开机时系统引导菜单显示的时间,超过设定值则自动加载下面“default=”指定的*作系统。默认值是30,单位为秒。我们可以在这里面设定等待时间的长短。如果将其设为“0”那么就是不显示系统引导菜单。
  “default=”则是设定默认引导的*作系统。而等号后面的*作系统必须是已经在“[operating systems]”中存在的。如果想默认为加载另外的*作系统,我们可以参看“[operating systems]”中的*作系统列表,然后把想要加载的*作系统按照格式写到“default=”后面就可以了。
  2.*作系统部分([operating systems])
  在这里面,列出了机器上所安装的全部*作系统。比如机器上只有一个*作系统,那么就只有一条信息,那就是“multi(0)disk(0)rdisk(0)partition(1)/Windows="Microsoft Windows XP Professional" /fastdetect”
在这里需要注意的是,在英文引号内的文字就是引导*作系统菜单时显示出来的让我们选择*作系统的提示文字,在这里面我们可以随意更改。而“multi(0)disk(0)rdisk(0)partition(1) /Windows”这一句就需要些解释了。因为它涉及ARC(高级RISC计算机)命名,它是x86或RISC计算机中用于标识设备的动态方法。
ARC命名的第一部分用于标识硬件适配卡/磁盘控制器,它有两个选项:SCSI和Multi。
Multi表示一个非SCSI硬盘或一个由SCSI BIOS访问的SCSI硬盘,而SCSI则表示一个SCSI BIOS禁止的SCSI硬盘。是硬件适配卡序号。Disk表示SCSI总线号。如果硬件适配卡为Multi,其正确表示方法就为disk(0),rdisk则表示硬盘的序号,如果硬件适配卡为SCSI则忽略此值;
  partition表示硬盘的分区序号。了解这些,我们就可以解释前面那条信息的含义了,即“multi(0)disk(0)rdisk(0)partition(1) /Windows”为,在0号非SCSI设备上的第0号磁盘上的第一个分区里面的“Windows”目录下可以找到能够启动的*作系统。
  等号后的内容前面已经说过,那个就是引导菜单显示出来的供我们选择的提示文字。而后面的“/fastdetect”又是作什么用的呢?这是一个开关符,用来控制启动该*作系统时的具体选项,下面再来详细的介绍各种开关符的含义:
/3GB:这是Win2000 SP3新引入的。这使得用户区和系统区分为3G比1G的比例。只有用户使用NT企业版,应用程序也支持3GB选项时,此选项才生效。
  /BASEVIDEO:使用标准VGA方式启动。这种方式主要用于显示驱动程序失效时。
  /BAUDRATE:指出用于调度的波特率,如果用户不设置,则使用默认的9600,而对于线缆Modem则使用19200。
  /BOOTLOG:使Win2000将日志写入 %SystemRoot%/NTBTLOG.TXT 。
  /BURNMEMORY=:使NT在已知的内存上少使用指定的数量,如果/burnmemory=64,则有64M内存NT不使用。
  /CRASHDEBUG:调度器在NT启动时启动,只有在内核错误时才有用,如果系统经常会无故出错,这个选项就很有用了。
  /DEBUG:在启动NT时调入调度器,它可以在任何时间激活,在错误可以再次出现时使用它比较合适。
  /DEBUGPORT= comx :指定用于调度的端口,其它X就指端口号。
  /FASTDETECT:对于Win2000启动时,它使系统不检查串行口和并行口。
  /HAL=<hal>:允许用户不使用默认的HAL。
  /INTAFFINITY:设置多处理器HAL(HALMPS.DLL),使编号最大的处理器接收中断请求。如果不设置此选项,Win2000会使所有处理器接收中断请求。
  /KERNEL=<kernel>:与上面的功能相同,不过是针对SMP中的内核而言的。
  /MAXMEM:n:指定NT可以使用的最大内存数,如果一个内存片损坏,这个开关就十分有用了。
  /NODEBUG:不使用调试信息。
  /NOGUIBOOT:指定此选项会使Win2000不加载VGA驱动程序,也就不会显示启动过程和失败时的兰屏信息。
  /NOSERIALMICE=[COMx | COMx,y,z…]:在特定的COM中上禁止对串行鼠标的检测。如果用户有一个非鼠标设备接在COM口上,这个选项会十分有用。如果此开关未加参数,系统会禁止所有COM口。
  /NUMPROC=n:只允许前N个系统处理器工作。
  /ONECPU:在多处理器中只使用一个处理器。
  /PCILOCK:不让NT为PCI设置分配IO/IRQ资源,而启用BIOS设置。
  /SAFEBOOT:安全启动,这个大家一定十分熟悉,Win2000只启动HKLM/System/CurrentControlSetControl/SafeBoot中的驱动程序和服务,其后跟三个参数MINIMAL,NETWORK或DSREPAIR之一。MINIMAL和NETWORK在允许网络下启动系统。而DSREPAIR要求系统从备份设备中调入活动目录的设置。还有一个选项是"(ALTERNATESHELL)",它让系统调入由HKLM/System/CurrentControlSetSafeBoot/AlternateShell指定的SHELL程序,而不使用默认的Explorer。
  /SOS:在调入驱动程序名时显示它的名字,在因驱动问题而无法启动时使用比较好。
  /WIN95:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用Win9x。启动文件BOOTSECT.W40。
  /WIN95DOS:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用DOS启动文件BOOTSECT.DOS
  /YEAR=:使用指定的年份,如果设置为/YEAR=2005,那现在的时间就是2005年,此选项仅对NT4+SP4和Win2000生效。
了解了以上这些,我们就可以更加轻松控制好我们系统的启动了。

_____________________________________________

问:我的进程里有svchost,是不是冲击波/冲击波杀手?

答:
2000/XP系统中正常情况下可以有3到5个svchost进程。
如果最新版的杀毒软件未报告病毒,不必过于担心。

Svchost.exe说明

精华序号:166
来自论坛:小熊在线 《软件论坛》
内容说明:解除对Svchost的困惑

Svchost.exe说明~~~解疑对Svchost的困惑~~~(1256字) 雨浪飘零 (279834)于2003/06/27(14:08:51)..
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%/system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
.
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Service
.
.
更多的信息
.
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的东东)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:/WINNT5/System32/cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。

_____________________________________________

问:在2000/XP下怎么不能运行SFC?

答:
在Windows 2000和Windows XP中虽然也带有一个SFC,但它的使用方法与Windows 9x下有所不同,在Windows 2000/XP下直接“运行”SFC得不到任何实质性效果,入眼只是一闪而过的黑屏。这是因为,在Windows 2000/XP下使用“系统文件检查器”时,必须要带上参数才能被Windows所接受。具体的参数及功能说明如下:

/scannow 立即扫描所有受保护的系统文件;

/scanonce 扫描一次所有受保护的系统文件;

/scanboot 每一次启动扫描所有受保护的系统文件;

/cancel 取消扫描所有暂停的受保护的系统文件;


/enable 正常操作后用Windows文件保护;

/purgecache 清除缓存并扫描受保护的系统文件;

/cachesize=x 设置文件缓存大小;

/quiet 不提示用户而直接替换所有不正确的版本。

_____________________________________________

问:“windows文件保护,系统文件已被替换成不可识别的版本”——这是什么意思?

答:
怀疑劳拉病毒。
劳拉(Win32.Xorala)病毒,又名:W32.Valla.2048(Norton)、W32/Valla.b(Mcafee)

瑞星的专杀——针对“劳拉(Win32.Xorala)”病毒的专杀工具。下载工具后直接运行即可。
http://download.rising.com.cn/zsgj/RavXorala.com

注意避免交叉感染。

建议给你的管理员账号设置个复杂的密码。停用Guest账号。

可以参考其他会员的经验
Win32.Xorala劳拉病毒的解决方案——欢迎大家一起探讨!
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=1470092&page=1
彻底查杀 xorala 病毒的方子(原创百分百)--成功解救4台win 2k 特以此方献给苦苦挣扎于NTFS的病友们
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=1176858&page=1

_____________________________________________

问:如何查看本机的ip地址?

答:
可以运行ipconfig来查看(开始——运行——输入 command——按“确定”——这会打开DOS窗口,然后输入 ipconfig——按“回车”)。

如果在ipconfig后面加参数 /all的话,可以得到更详细的资料(DNS、网关等)

_____________________________________________

问:Trojan.PSW.Legendmir.17.hook怎么总杀不死?(最近常见的问题)

答:
请参考——
木马Trojan.PSW.Legendmir.17.hook手动清除方案(征求意见稿)
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2483687&page=1

_____________________________________________

近期论坛中2个较常被提到的恶意网页的解决方法(searchpage.html和http://aifind.info/)
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3556320&page=1

近期论坛中2个较常被提到的恶意网页的解决方法(searchpage.html和http://aifind.info/)

一、恶意网页通用建议:
用最新版瑞星杀一下,或者用专杀试试看(最好在安全模式杀毒)
专杀方面——
若是上了某个中文的网引起的,请用spant试试
http://www.spant.net/
若是上了某个外文的网引起的,请下载下面的工具,4个地址,同一工具。
http://www.merijn.org/files/CWShredder.exe
http://www.zerosrealm.com/downloads/CWShredder.zip
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
http://www.spywareinfo.com/~merijn/files/cwshredder.zip
关闭所有IE窗口,运行此工具让它修复(Fix),问题仍在的话,请用Hijackthis扫描一次贴上来。
(请参考《HijackThis简明教程(编译+部分原创)》
http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1
您可以把HijackThis生成的log日志文件的内容贴上来,方便大家分析。)

进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

二、对于searchpage.html这个问题,上面提到的CWShredder.exe可以修复(Fix),普通模式不能修复的话,请在安全模式使用CWShredder.exe修复(Fix),修复后清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,可以把“删除所有脱机内容”选上),重新启动。

三、对于http://aifind.info/

1 请先使用CWShredder.exe修复(Fix)一下

2 请关闭所有IE窗口,重新使用HijackThis扫描一次,选中下面建议修复的项目(如果有的话),让HijackThis修复,修复前请允许HijackThis保留备份。注意,这里的WINDOWS对于Windows 2000来说是WINNT,如果您的系统装在其它盘请注意盘符的区别。
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:/WINDOWS/System32/msxslab.dll
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:/MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:/windows/win.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:/Program Files/Q330994.exe
O19 - User stylesheet: C:/WINDOWS/win32.bmp

修复后,重新启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”,最后找到如下文件并删除(如果有的话)。如果担心误删正常文件可以先把它压缩保存。
C:/WINDOWS/System32/msxslab.dll
c:/windows/win.exe
C:/Program Files/Q330994.exe
C:/WINDOWS/win32.bmp

(另外,如果出现下面的项目也请一并修复
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {11111111-1111-1111-1111-111111111171} - ms-its:mhtml:file://c:/nosuch.mht!http://list2004.com/help.chm::/help.exe
相关需删除项
cax.cab
在windows安装目录的Downloaded Program Files目录下,找到cax.cab文件,可能您需要在文件夹选项中显示隐藏文件和取消“隐藏受保护的操作系统文件”才能看到这个目录和其中的文件。找到该cab文件后在上面点右键,选“删除”。)
 


 

你可能感兴趣的:(windows,dos,Microsoft,工具,internet,杀毒软件)