反病毒常見問題及解答

反病毒常見問題及解答  轉自卡卡社群《反病毒論壇》

 ——————————————————————————————————

問：XXX是個什麼病毒？

答：

http://it.rising.com.cn/newSite/Channels/Anti_Virus/index.htm

使用病毒名可以在上頁查詢瑞星的資料庫。

_____________________________________________

問：我感染了XXX病毒，該怎麼殺啊？

答：

請使用查出此病毒的軟體，在安全模式下斷網全盤殺毒。

進入安全模式的方法:重新啟動電腦, 開機檢測完後, 按[F8]鍵(可以一直按到啟動菜單出來為止), 選擇安全模式進入Windows

還不行的話，建議将防毒軟體更新到最新版，在DOS下斷網全盤殺毒。

DOS殺毒簡要說明

在BIOS裡設定從CD光牒或者軟碟啟動，然後用瑞星的CD光牒或者A盤啟動，有提示，按照提示殺毒(使用其它防毒軟體的話，請參考相關軟體說明書)。

請參考

BIOS設定圖解說明

http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1724648&page=1

簡單說，進CMOS設定（一般是開機過程中按Del，也可能是其它鍵，參考你的主機闆說明書），并選擇BIOS FEATURES SETUP——>Boot Sequence，将其值設為A,C或A;C,SCSI（注：用PageUp/PageDown設定），按ESC退出，選擇SAVE&EXIT SETUP儲存設定并重新啟動。這就設成了從軟驅優先啟動，即可以用瑞星A盤在純DOS下清除。（注：不同主機闆的電腦進入CMOS設定有可能不一樣，但設定大體相似）

_____________________________________________

問：殺毒後，我的大部分程式不能運作了，怎麼辦？

答：

試試瑞星的系統資料庫修複器（這是個com檔案，如果隻是更改了exe關聯，這個還能運作）

http://download.rising.com.cn/zsgj/RegClean.com

或者

下載下傳下面網址提供的檔案後輕按兩下

http://it.rising.com.cn/service/technology/Sircam_download.htm

_____________________________________________

問：殺毒時，瑞星提示“請解壓”是怎麼回事？

答：

如果提示“請解壓”

1 病毒在/Temporary Internet Files目錄下

請清空IE臨時檔案(打開IE浏覽器——工具——internet選項——删除檔案，

可以把“删除所有脫機内容”選上。)。

普通模式不行的話，在安全模式重複上述操作。

進入安全模式的方法:重新啟動電腦, 開機檢測完後, 按[F8]鍵(可以一直按到啟動菜單出來為止), 選擇安全模式進入Windows

如果還不行，試試看，啟動到安全模式，在檔案夾選項中，顯示隐藏檔案和取消“隐藏受保護的作業系統檔案”。然後到C:/Documents and Settings/Local Settings/Temporary Internet Files/下面，把能删除的都删掉。(這是XP下的步驟，其它系統參照)

2 病毒在/_Restore目錄下(WinMe)或者System Volume Information目錄下(WinXP)，請關閉系統還原。

/_Restore目錄(WinMe)或者System Volume Information目錄(WinXP)都是系統還原用到的目錄，要是病毒藏身在那裡，需要關閉系統還原。

作業系統是WindowsMe的話，系統還原目錄為/_Restore，需要禁用系統還原，DOS下删除。具體請參考下文:

http://community.rising.com.cn/Forum/msg_read.asp?FmID=33&SubjectID=2028691&page=1

XP關閉系統還原的方法：右鍵單擊“我的電腦”，選“屬性”——“系統還原”——在“在所有驅動器上關閉系統還原”前面打勾——按“确定”退出。

XP關閉系統還原的同時，裡面的内容會自己清空，裡面的病毒也沒有了。不放心的話，您再查一下毒看看。

3 病毒在windows安裝目錄的Downloaded Program Files目錄下，一般為cab檔案，可能您需要在檔案夾選項中顯示隐藏檔案和取消“隐藏受保護的作業系統檔案”才能看到這個目錄和其中的檔案。找到該cab檔案後在上面點右鍵，選“删除”。

4 其它情況，請參考下文相關章節

【聖誕節禮物】新手常見問題解答

http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2487737&page=1

_____________________________________________

問：（倒計時關機、2000不能粘貼複制等沖擊波、高波症狀）

答：

懷疑疾風病毒。

可以使用瑞星的沖擊波專殺來殺，最好斷網在安全模式清除。

http://download.rising.com.cn/zsgj/ravblaster.exe

要給系統打RPC漏洞更新檔，更新檔下載下傳位址，參考此頁http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200308/12-164011274.htm

殺毒後，打更新檔，打開防火牆，才能正常上網。

提醒一下，“高波”病毒利用“沖擊波”利用的RPC漏洞以及其它幾個不為常知的漏洞，是以建議殺毒後使用windows update(打開IE——工具——windows update)給系統打上所有關鍵更新檔、安全更新檔。

XP的話，是否能打更新檔要考慮好。

_____________________________________________

問：（關于感染WORM_NACHI.A、W32.Welchia.Worm、W32.Nachi.worm、Win32.Nachi.Worm、Welchia、W32/Nachi-A、WORM_KillMSBlaster.10240）

答：

這是“沖擊波殺手”病毒。

可以使用瑞星的沖擊波專殺來殺，最好在安全模式。

http://download.rising.com.cn/zsgj/ravblaster.exe

轉貼手動清除方法(建議還是使用上面的專殺，那樣友善):

如果您的計算機感染了Welchia蠕蟲，可以用如下方法清除：

1、停止如下兩項服務（開始->控制台->管理工具->服務）：

WINS Client

Network Connections Sharing

2、檢查、并删除檔案:

%SYSTEMROOT%/SYSTEM32/WINS/DLLHOST.EXE

%SYSTEMROOT%/SYSTEM32/WINS/SVCHOST.EXE

%SYSTEMROOT%指的是你的系統安裝目錄

對于Windows 2000，預設在C:/Winnt/SYSTEM32/WINS/

對于Windows XP，預設在C:/Windows/SYSTEM32/WINS/

3. 進入系統資料庫（開始->運作：regedit），删除如下鍵值：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

RpcTftpd

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

RpcPatch

要給系統打RPC漏洞更新檔（否則很快被再次感染）

更新檔下載下傳位址，參考此頁http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200308/12-164011274.htm

殺毒後，打更新檔，打開防火牆，才能正常上網。

.............................................

注意，對于新的變種Worm.Welchia.b，需要“禁用”的服務為Wkspatch

重新啟動電腦，然後您可以删除檔案

%System%/drivers/svchost.exe

%System%指的是你的系統檔案目錄

對于2000，删除X:/WINNT/system32/drivers/svchost.exe

對于XP，删除X:/WINDOWS/system32/drivers/svchost.exe

這裡的X指的是你的系統盤的盤符。

_____________________________________________

Sasser震蕩波相關的問題，請見

【通知、非原創】Sasser震蕩波蠕蟲對策(avserve.exe檔案自啟動、lsass出錯重新開機動等)(已有變種)

http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3536239&page=1

_____________________________________________

問：（反複中毒、中木馬）

答：（主要針對NT核心的系統）

如果在區域網路，需要斷網清除所有電腦。

建議給你的管理者賬号設定個複雜的密碼。停用Guest賬号。

建議使用windows update(打開IE——工具——windows update)給系統打上所有關鍵更新檔、安全更新檔。

XP的話，是否能打更新檔要考慮好。

不能打更新檔的話，也要：

更新IE到6.0sp1，然後打上IE最新的更新檔，這樣可以增加安全性。

下載下傳位址（華軍軟體園）：

Microsoft Internet Explorer 6.0 SP1 簡體中文完全版

http://www.onlinedown.net/soft/17441.htm

至少打上這個更新檔：IE6修補iFrame漏洞更新檔（注意，要選對語言版本，一般用簡體中文更新檔，這個包含在IE6sp1中）：

http://www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp

其它安全注意事項:

禁止建立空連接配接

運作regedit，找到如下主鍵[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把RestrictAnonymous（DWORD）的鍵值改為：00000001。

禁止隐含共享

windows2000禁止隐含共享的方法

在計算機管理器中先删掉這些預設共享。

(控制台——管理工具——計算機管理——共享檔案夾，在這裡删除。

或者運作下列指令删掉這些預設共享

net share IPC$ /delete

net share admin$ /delete

net share C$ /delete

net share D$ /delete

net share E$ /delete

直到最後一個硬碟分區)

然後在系統資料庫中操作，找到如下鍵:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters

如果是伺服器，在該鍵下增加一個名為“AutoShareServer”的DWORD值，值設為0。

如果是工作站（對于XP家庭版或者專業版也适用），在該鍵下增加一個名為“AutoShareWks”的DWORD值，值設為0。

最後重新開機即可！

或者幹脆禁止server這個服務，如果不使用IIS等，在停止共享的同時，不會有不良影響。

http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2431173&page=1

需要關閉的服務，請參考下文。

http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1706401&page=1

_____________________________________________

問：（QQ連發器）

答：

如果中了QQ連發器，請用最新版瑞星殺一下，或者用專殺試試看(最好在安全模式殺毒)

http://it.rising.com.cn/service/technology/RS_QQMsender.htm

http://www.spant.net/

先殺毒，殺毒後，試試瑞星的系統資料庫修複器

http://download.rising.com.cn/zsgj/RegClean.com

還不行的話，先把首頁改成空白的(工具——internet選項——正常，首頁改為空白頁)，運作msconfig檢視啟動項，看看是否有可疑的，禁止掉（比如字尾為url，html，htm，hta的都禁止掉），最好找到相關檔案，一并删除。

2000沒有msconfig，可以複制98、XP的。

或者請參考《HijackThis簡明教程（編譯+部分原創）》

http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1

看看能否用它修複。您也可以把HijackThis生成的log日志檔案的内容貼上來，友善大家分析。

_____________________________________________

問：（惡意網站修改首頁）

答：請用最新版瑞星殺一下，或者用專殺試試看。

專殺方面，若是上了某個中文的網引起的問題，請用spant試試(最好在安全模式使用)

http://www.spant.net/

若是上了某個外文的網引起的，請下載下傳下面的工具，4個位址，同一工具。

http://www.merijn.org/files/CWShredder.exe

http://www.zerosrealm.com/downloads/CWShredder.zip

http://www.spywareinfo.com/~merijn/files/CWShredder.exe

http://www.spywareinfo.com/~merijn/files/cwshredder.zip

關閉所有IE視窗，運作此工具讓它修複(Fix)，問題仍在的話，再用Hijackthis掃描一次貼上來。

（請參考《HijackThis簡明教程（編譯+部分原創）》

http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1

您可以把HijackThis生成的log日志檔案的内容貼上來，友善大家分析。）

_____________________________________________

問：hkcmd.exe是病毒嗎？

答：

這是intel晶片組（含顯示卡的那種）驅動中自帶的支援熱鍵改變顯示模式的程式。可以禁用，不是病毒，但可能被病毒替代。如果防毒軟體沒報，應該不必擔心。熱鍵程式自然會監視鍵盤輸入，某些老版本的優化大師會誤報。

_____________________________________________

問：程序裡的taskmgr.exe是什麼？

答：

taskmgr.exe是任務管理器，你用Ctrl+Alt+Del調出來的就是任務管理器，這種情況下，taskmgr.exe本身會占用大量CPU時間，但會很快降下來。

另外，一些病毒會感染或替換、注入taskmgr.exe。不放心的話，請将防毒軟體更新到最新版，在安全模式下斷網全盤殺毒。

進入安全模式的方法:重新啟動電腦, 開機檢測完後, 按[F8]鍵(可以一直按到啟動菜單出來為止), 選擇安全模式進入Windows

_____________________________________________

問：我把給瑞星設的密碼忘了，怎麼辦？

答：

找到rav.ini檔案，用記事本打開，删除如下兩行

[RavDlg]

MenuItem=*********

_____________________________________________

問：（無法打開網頁上的任何連結，包括不能複制、粘貼）

另外，安裝軟體時提示“不支援此接口”也可參照本題。

答：

先殺毒，看看是否中毒(如果查出是沖擊波請打更新檔)。

然後解除安裝3721和ACDSee5.0迷你版（如果裝了的話），接下來按下面的方法操作：

1.點選“開始”→“運作”，在彈出的“運作”對話框中輸入“regsvr32 actxprxy.dll”（注意輸入時沒有引号），然後點選“确定”按鈕，接着會出現一個資訊對話框

“DllRegisterServer in actxprxy.dll succeeded”,在該對話框中點“确定”按鈕；

2.再次點選“開始”→“運作”，在彈出的“運作”對話框中輸入“regsvr32 shdocvw.dll”（注意輸入時沒有引号），然後點選“确定”按鈕，接着會出現一個資訊對話框

“DllRegisterServer in shdocvw.dll succeeded”，在該對話框中點“确定”按鈕；

3.重新啟動。

不行的話,運作下面的

regsvr32 shdocvw.dll ,确定，接着出現一個消息框，确定

regsvr32 oleaut32.dll,确定，接着出現一個消息框，确定

regsvr32 actxprxy.dll,确定，接着出現一個消息框，确定

regsvr32 mshtml.dll,确定，接着出現一個消息框，确定

regsvr32 msjava.dll,确定，接着出現一個消息框，确定

regsvr32 browseui.dll,确定，接着出現一個消息框，确定

regsvr32 urlmon.dll,确定，接着出現一個消息框，确定

重新啟動

仍舊不行的話,運作下面的

regsvr32 /i /s MFC42.DLL

regsvr32 /i /s advpack.dll

regsvr32 /i /s browselc.dll

regsvr32 /i /s WSOCK32.DLL

regsvr32 /i /s jscript.dll

regsvr32 /i /s rpcrt4.dll

regsvr32 /i /s MSHTMLED.DLL

regsvr32 /i /s oleaut32.dll

regsvr32 /i /s MSRATING.DLL

regsvr32 /i /s comctl32.dll

regsvr32 /i /s msratelc.dll

regsvr32 /i /s URL.DLL

regsvr32 /i /s URLMON.DLL

regsvr32 /i /s WININET.DLL

regsvr32 /i /s SHDOCVW.DLL

regsvr32 /i /s OLE32.DLL

regsvr32 /i /s mydocs.dll

regsvr32 /i /s ACTXPRXY.DLL

regsvr32 /i /s RPCRT4.dll

regsvr32 /i /s mshtml.dll

regsvr32 /i /s MSVCRT.DLL

regsvr32 /i /s DXTMSFT.DLL

regsvr32 /i /s DDRAWEX.DLL

regsvr32 /i /s DDRAW.DLL

regsvr32 /i /s DXTRANS.DLL

regsvr32 /i /s ATL.DLL

regsvr32 /i /s DINFO.DLL

regsvr32 /i /s LOCSCRCH.DLL

regsvr32 /i /s CONCL.DLL

regsvr32 /i /s SHDOCLC.DLL

regsvr32 /i /s MSLS31.DLL

regsvr32 /i /s SHDOCLC.DLL

regsvr32 /i /s CESWEB.DLL

regsvr32 /i /s NETAPI32.DLL

regsvr32 /i /s NETBIOS.DLL

regsvr32 /i /s MSI.DLL

regsvr32 /i /s MSOSS.DLL

regsvr32 /i /s BROWSELC.DLL

regsvr32 /i /s MFC42LOC.DLL

regsvr32 /i /s imm32.dll

regsvr32 /i /s VERSION.dll

regsvr32 /i /s ADVAPI32.dll

regsvr32 /i /s OLEPRO32.DLL

regsvr32 /i /s shell32.dll

regsvr32 /i /s shlwapi.dll

重新啟動

_____________________________________________

問：如何關閉信差服務？

答：

XP服務設定法

　　打開“控制台”，單擊“性能和維護”，單擊“管理工具”，輕按兩下“服務”。單擊“Messenger”，然後在“操作”菜單中，單擊“屬性”。進入“正常”頁籤，單擊“停止”按鈕，再将“啟動類型”改為“手動”或“已禁用”。如果“Messenger”服務被停止，Alerter消息不會被傳輸。如果“Messenger”服務被禁用，任何直接依賴于它的服務将無法啟動，這正是我們所希望的。最後單擊“确定”按鈕。

以後，惱人的“信差服務”就不會再打擾你了。

2000服務設定法

點選“開始”并選擇“運作”，輸入“services.msc”，點選“确定”。然後，輕按兩下Messenger服務并按“停止”。從“啟動類型”清單中，選擇“禁用”，此後Windows啟動時就不會自動載入Messenger了。

_____________________________________________

問：我新打開的IE視窗為什麼不是最大化的？

答：

試試看，關閉所有IE視窗，打開一個IE視窗，從中再打開一個新視窗，關閉原視窗，把新視窗手動用滑鼠左鍵拉到最大，關閉這個視窗。

重新打開IE，應該解決了。

_____________________________________________

問：開機報告“Boot.ini檔案非法”，怎麼辦？

答：

這個問題一般是由于boot.ini檔案丢失或格式不正确造成的。

boot.ini檔案的格式一般是下面這種類型的——

　　[boot loader]

　　timeout=30

　　default=multi(0)disk(0)rdisk(0)partition(1)＼Windows

　　[operating systems]

　　multi(0)disk(0)rdisk(0)partition(1)＼Windows="Microsoft Windows XP Professional" /fastdetect

請參考

解讀多重新開機動引導檔案——BOOT.INI

日期：2002-7-3 9:19:29

出處：電腦愛好者

作者：-

Windows NT類的*作系統，也就是Windows NT/2000/XP中，有一個特殊檔案，也就是“BOOT.INI”檔案，這個檔案會很輕松地按照我們的需求設定好多重新開機動系統。

“BOOT.INI”檔案會在已經安裝了Windows NT/2000/XP的*作系統的所在分區，一般預設為C:/下面存在。但是它預設具有隐藏和系統屬性，是以你要設定你的檔案夾選項，以便把“BOOT.INI”檔案顯示出來。我們可以用任何一種文本編輯器來打開他它。一般情況下，它的内容如下:

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)/Windows

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)/Windows="Microsoft Windows XP Professional" /fastdetect

　　在Windows 2000或者是XP系統中，我們可以很容易的設定“BOOT.INI”檔案。那就是在“我的電腦”上面點選右鍵，選擇“屬性”打開“系統屬性”對話框，再點選“進階”頁籤，在“啟動和故障修複”裡面點選“設定”按鈕，就可以打開“啟動和故障修複”對話框了，在這裡面我們就可以對它進行詳細設定。

　　如果你擁有Windows XP*作系統，那麼你可以用“系統配置實用程式”來更友善的編輯“BOOT.INI”檔案。具體做法是:打開“開始”菜單，點選“運作”指令，再在彈出的文本框中輸入“msconfig”點選“确定”後就會彈出“系統配置實用程式”，再點選“BOOT.INI”頁籤，就會出現如圖所示的界面。在這裡，我們可以很友善地設定檔案。

言歸正傳，現在，來說明一下這個檔案内容的含義。

　　1.系統加載部分（[boot loader]）

　　這一部分很簡單，隻有兩個設定。那就是“timeout=”和“default=”。

“timeout=”就是設定開機時系統引導菜單顯示的時間，超過設定值則自動加載下面“default=”指定的*作系統。預設值是30，機關為秒。我們可以在這裡面設定等待時間的長短。如果将其設為“0”那麼就是不顯示系統引導菜單。

　　“default=”則是設定預設引導的*作系統。而等号後面的*作系統必須是已經在“[operating systems]”中存在的。如果想預設為加載另外的*作系統，我們可以參看“[operating systems]”中的*作系統清單，然後把想要加載的*作系統按照格式寫到“default=”後面就可以了。

　　2.*作系統部分（[operating systems]）

　　在這裡面，列出了機器上所安裝的全部*作系統。比如機器上隻有一個*作系統，那麼就隻有一條資訊，那就是“multi(0)disk(0)rdisk(0)partition(1)/Windows="Microsoft Windows XP Professional" /fastdetect”

在這裡需要注意的是，在英文引号内的文字就是引導*作系統菜單時顯示出來的讓我們選擇*作系統的提示文字，在這裡面我們可以随意更改。而“multi(0)disk(0)rdisk(0)partition(1) /Windows”這一句就需要些解釋了。因為它涉及ARC（進階RISC計算機）命名，它是x86或RISC計算機中用于辨別裝置的動态方法。

ARC命名的第一部分用于辨別硬體适配卡/磁盤控制器，它有兩個選項:SCSI和Multi。

Multi表示一個非SCSI硬碟或一個由SCSI BIOS通路的SCSI硬碟，而SCSI則表示一個SCSI BIOS禁止的SCSI硬碟。是硬體适配卡序号。Disk表示SCSI總線号。如果硬體适配卡為Multi，其正确表示方法就為disk(0)，rdisk則表示硬碟的序号，如果硬體适配卡為SCSI則忽略此值;

　　partition表示硬碟的分區序号。了解這些，我們就可以解釋前面那條資訊的含義了，即“multi(0)disk(0)rdisk(0)partition(1) /Windows”為，在0号非SCSI裝置上的第0号磁盤上的第一個分區裡面的“Windows”目錄下可以找到能夠啟動的*作系統。

　　等号後的内容前面已經說過，那個就是引導菜單顯示出來的供我們選擇的提示文字。而後面的“/fastdetect”又是作什麼用的呢？這是一個開關符，用來控制啟動該*作系統時的具體選項，下面再來詳細的介紹各種開關符的含義:

/3GB:這是Win2000 SP3新引入的。這使得使用者區和系統區分為3G比1G的比例。隻有使用者使用NT企業版，應用程式也支援3GB選項時，此選項才生效。

　　/BASEVIDEO:使用标準VGA方式啟動。這種方式主要用于顯示驅動程式失效時。

　　/BAUDRATE:指出用于排程的波特率，如果使用者不設定，則使用預設的9600，而對于線纜Modem則使用19200。

　　/BOOTLOG:使Win2000将日志寫入 %SystemRoot%/NTBTLOG.TXT 。

　　/BURNMEMORY=:使NT在已知的記憶體上少使用指定的數量，如果/burnmemory=64，則有64M記憶體NT不使用。

　　/CRASHDEBUG:排程器在NT啟動時啟動，隻有在核心錯誤時才有用，如果系統經常會無故出錯，這個選項就很有用了。

　　/DEBUG:在啟動NT時調入排程器，它可以在任何時間激活，在錯誤可以再次出現時使用它比較合适。

　　/DEBUGPORT= comx :指定用于排程的端口，其它X就指端口号。

　　/FASTDETECT:對于Win2000啟動時，它使系統不檢查串行口和并行口。

　　/HAL=<hal>:允許使用者不使用預設的HAL。

　　/INTAFFINITY:設定多處理器HAL(HALMPS.DLL)，使編号最大的處理器接收中斷請求。如果不設定此選項，Win2000會使所有處理器接收中斷請求。

　　/KERNEL=<kernel>:與上面的功能相同，不過是針對SMP中的核心而言的。

　　/MAXMEM:n:指定NT可以使用的最大記憶體數，如果一個記憶體片損壞，這個開關就十分有用了。

　　/NODEBUG:不使用調試資訊。

　　/NOGUIBOOT:指定此選項會使Win2000不加載VGA驅動程式，也就不會顯示啟動過程和失敗時的蘭屏資訊。

　　/NOSERIALMICE=[COMx | COMx,y,z…]:在特定的COM中上禁止對串行滑鼠的檢測。如果使用者有一個非滑鼠裝置接在COM口上，這個選項會十分有用。如果此開關未加參數，系統會禁止所有COM口。

　　/NUMPROC=n:隻允許前N個系統處理器工作。

　　/ONECPU:在多處理器中隻使用一個處理器。

　　/PCILOCK:不讓NT為PCI設定配置設定IO/IRQ資源，而啟用BIOS設定。

　　/SAFEBOOT:安全啟動，這個大家一定十分熟悉，Win2000隻啟動HKLM/System/CurrentControlSetControl/SafeBoot中的驅動程式和服務，其後跟三個參數MINIMAL，NETWORK或DSREPAIR之一。MINIMAL和NETWORK在允許網絡下啟動系統。而DSREPAIR要求系統從備份裝置中調入活動目錄的設定。還有一個選項是"(ALTERNATESHELL)"，它讓系統調入由HKLM/System/CurrentControlSetSafeBoot/AlternateShell指定的SHELL程式，而不使用預設的Explorer。

　　/SOS:在調入驅動程式名時顯示它的名字，在因驅動問題而無法啟動時使用比較好。

　　/WIN95:在裝有三個系統DOS、Win9x和Windows NT的系統上，讓NTLDR直接調用Win9x。啟動檔案BOOTSECT.W40。

　　/WIN95DOS:在裝有三個系統DOS、Win9x和Windows NT的系統上，讓NTLDR直接調用DOS啟動檔案BOOTSECT.DOS

　　/YEAR=:使用指定的年份，如果設定為/YEAR=2005，那現在的時間就是2005年，此選項僅對NT4+SP4和Win2000生效。

了解了以上這些，我們就可以更加輕松控制好我們系統的啟動了。

_____________________________________________

問：我的程序裡有svchost，是不是沖擊波/沖擊波殺手？

答：

2000/XP系統中正常情況下可以有3到5個svchost程序。

如果最新版的防毒軟體未報告病毒，不必過于擔心。

Svchost.exe說明

精華序号：166

來自論壇：小熊線上 《軟體論壇》

内容說明：解除對Svchost的困惑

Svchost.exe說明~~~解疑對Svchost的困惑~~~(1256字) 雨浪飄零 (279834)于2003/06/27(14:08:51)..

Svchost.exe檔案對那些從動态連接配接庫中運作的服務來說是一個普通的主機程序名。Svhost.exe檔案定位在系統的%systemroot%/system32檔案夾下。在啟動的時候，Svchost.exe檢查系統資料庫中的位置來建構需要加載的服務清單。這就會使多個Svchost.exe在同一時間運作。每個Svchost.exe的回話期間都包含一組服務，以至于單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。

.

Svchost.exe 組是用下面的系統資料庫值來識别。

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost

每個在這個鍵下的值代表一個獨立的Svchost組，并且當你正在看活動的程序時，它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運作在Svchost組内的服務。每個Svchost組都包含一個或多個從系統資料庫值中選取的服務名，這個服務的參數值包含了一個ServiceDLL值。

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Service

.

.

更多的資訊

.

為了能看到正在運作在Svchost清單中的服務。

開始－運作－敲入cmd

然後在敲入 tlist -s （tlist 應該是win2k工具箱裡的東東）

Tlist 顯示一個活動程序的清單。開關 -s 顯示在每個程序中的活動服務清單。如果想知道更多的關于程序的資訊，可以敲 tlist pid。

Tlist 顯示Svchost.exe運作的兩個例子。

0 System Process

8 System

132 smss.exe

160 csrss.exe Title:

180 winlogon.exe Title: NetDDE Agent

208services.exe

Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst

ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi

220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs

404 svchost.exe Svcs: RpcSs

452 spoolsv.exe Svcs: Spooler

544 cisvc.exe Svcs: cisvc

556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv

580 regsvc.exe Svcs: RemoteRegistry

596 mstask.exe Svcs: Schedule

660 snmp.exe Svcs: SNMP

728 winmgmt.exe Svcs: WinMgmt

852 cidaemon.exe Title: OleMainThreadWndName

812 explorer.exe Title: Program Manager

1032 OSA.EXE Title: Reminder

1300 cmd.exe Title: D:/WINNT5/System32/cmd.exe - tlist -s

1080 MAPISP32.EXE Title: WMS Idle

1264 rundll32.exe Title:

1000 mmc.exe Title: Device Manager

1144 tlist.exe

在這個例子中系統資料庫設定了兩個組。

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost:

netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa

sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc

rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

這個是使用者模式Win32子系統的一部分。csrss代表客戶/伺服器運作子系統而且是一個基本的子系統必須一直運作。csrss 負責控制windows，建立或者删除線程和一些16位的虛拟MS-DOS環境。

_____________________________________________

問：在2000/XP下怎麼不能運作SFC？

答：

在Windows 2000和Windows XP中雖然也帶有一個SFC，但它的使用方法與Windows 9x下有所不同，在Windows 2000/XP下直接“運作”SFC得不到任何實質性效果，入眼隻是一閃而過的黑屏。這是因為，在Windows 2000/XP下使用“系統檔案檢查器”時，必須要帶上參數才能被Windows所接受。具體的參數及功能說明如下：

/scannow 立即掃描所有受保護的系統檔案；

/scanonce 掃描一次所有受保護的系統檔案；

/scanboot 每一次啟動掃描所有受保護的系統檔案；

/cancel 取消掃描所有暫停的受保護的系統檔案；

/enable 正常操作後用Windows檔案保護；

/purgecache 清除緩存并掃描受保護的系統檔案；

/cachesize=x 設定檔案緩存大小；

/quiet 不提示使用者而直接替換所有不正确的版本。

_____________________________________________

問：“windows檔案保護，系統檔案已被替換成不可識别的版本”——這是什麼意思？

答：

懷疑勞拉病毒。

勞拉(Win32.Xorala)病毒，又名：W32.Valla.2048（Norton）、W32/Valla.b(Mcafee)

瑞星的專殺——針對“勞拉(Win32.Xorala)”病毒的專殺工具。下載下傳工具後直接運作即可。

http://download.rising.com.cn/zsgj/RavXorala.com

注意避免交叉感染。

建議給你的管理者賬号設定個複雜的密碼。停用Guest賬号。

可以參考其他會員的經驗

Win32.Xorala勞拉病毒的解決方案——歡迎大家一起探讨！

http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=1470092&page=1

徹底清除 xorala 病毒的方子（原創百分百）--成功解救4台win 2k 特以此方獻給苦苦掙紮于NTFS的病友們

http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=1176858&page=1

_____________________________________________

問：如何檢視本機的ip位址？

答：

可以運作ipconfig來檢視（開始——運作——輸入 command——按“确定”——這會打開DOS視窗，然後輸入 ipconfig——按“回車”）。

如果在ipconfig後面加參數 /all的話，可以得到更詳細的資料（DNS、網關等）

_____________________________________________

問：Trojan.PSW.Legendmir.17.hook怎麼總殺不死？（最近常見的問題）

答：

請參考——

木馬Trojan.PSW.Legendmir.17.hook手動清除方案（征求意見稿）

http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2483687&page=1

_____________________________________________

近期論壇中2個較常被提到的惡意網頁的解決方法(searchpage.html和http://aifind.info/)

http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3556320&page=1

近期論壇中2個較常被提到的惡意網頁的解決方法(searchpage.html和http://aifind.info/)

一、惡意網頁通用建議：

用最新版瑞星殺一下，或者用專殺試試看(最好在安全模式殺毒)

專殺方面——

若是上了某個中文的網引起的，請用spant試試

http://www.spant.net/

若是上了某個外文的網引起的，請下載下傳下面的工具，4個位址，同一工具。

http://www.merijn.org/files/CWShredder.exe

http://www.zerosrealm.com/downloads/CWShredder.zip

http://www.spywareinfo.com/~merijn/files/CWShredder.exe

http://www.spywareinfo.com/~merijn/files/cwshredder.zip

關閉所有IE視窗，運作此工具讓它修複(Fix)，問題仍在的話，請用Hijackthis掃描一次貼上來。

（請參考《HijackThis簡明教程（編譯+部分原創）》

http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1

您可以把HijackThis生成的log日志檔案的内容貼上來，友善大家分析。）

進入安全模式的方法:重新啟動電腦, 開機檢測完後, 按[F8]鍵(可以一直按到啟動菜單出來為止), 選擇安全模式進入Windows

二、對于searchpage.html這個問題，上面提到的CWShredder.exe可以修複（Fix），普通模式不能修複的話，請在安全模式使用CWShredder.exe修複（Fix），修複後清空IE臨時檔案(打開IE浏覽器——工具——internet選項——删除檔案，可以把“删除所有脫機内容”選上)，重新啟動。

三、對于http://aifind.info/

1 請先使用CWShredder.exe修複（Fix）一下

2 請關閉所有IE視窗，重新使用HijackThis掃描一次，選中下面建議修複的項目（如果有的話），讓HijackThis修複，修複前請允許HijackThis保留備份。注意，這裡的WINDOWS對于Windows 2000來說是WINNT，如果您的系統裝在其它盤請注意盤符的差別。

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:/WINDOWS/System32/msxslab.dll

O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present

O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:/MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:/windows/win.exe

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:/Program Files/Q330994.exe

O19 - User stylesheet: C:/WINDOWS/win32.bmp

修複後，重新啟動到安全模式，在檔案夾選項中，顯示隐藏檔案和取消“隐藏受保護的作業系統檔案”，最後找到如下檔案并删除（如果有的話）。如果擔心誤删正常檔案可以先把它壓縮儲存。

C:/WINDOWS/System32/msxslab.dll

c:/windows/win.exe

C:/Program Files/Q330994.exe

C:/WINDOWS/win32.bmp

（另外，如果出現下面的項目也請一并修複

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab

O16 - DPF: {11111111-1111-1111-1111-111111111171} - ms-its:mhtml:file://c:/nosuch.mht!http://list2004.com/help.chm::/help.exe

相關需删除項

cax.cab

在windows安裝目錄的Downloaded Program Files目錄下，找到cax.cab檔案，可能您需要在檔案夾選項中顯示隐藏檔案和取消“隐藏受保護的作業系統檔案”才能看到這個目錄和其中的檔案。找到該cab檔案後在上面點右鍵，選“删除”。）