2007/04/28
在线支持新手上路----微软在线支持网站使用指南
使用微软软件遇到问题怎么办?
遇到软件问题怎么办?有人说我自己就是电脑高手,自己就能轻松搞定,也有人说我会打电话给电脑或软件销售商的支持热线获得帮助,还有人说我会向懂电 脑的朋友请教。不同的人可能有不同的回答。不管您是亲自上阵还是寻求他人帮助,解决问题都需要一个过程,那就是运用掌握的知识对遇到的症状和现象具体分 析,找到问题的根本原因,然后对症下药,运用掌握的解决方案消除根本原因。从而使问题得到彻底的解决。所以解决问题的要素可以浓缩为:明确症状,找到原因,制定和应用解决方案。不管是从症状找原因,还是找到原因后制定解决方案,都需要解决问题的人有丰富的知识和经验。
可是软件的问题纷繁复杂,即使是最有经验的电脑工程师也不可能熟知所有的问题,况且每时每刻还有许多的新问题产生。怎么办?特别是普通的电脑用户怎 么办?幸运的是现在我们有了互联网。它可以让您站在巨人的肩上,从容应对各种软件问题。而微软中文在线支持网站正是微软公司为了更好的为中国客户服务,解 决使用微软软件遇到的问题的专业网站。在这里您可以获得各种微软产品热门问题的信息,最新的下载和更新。您还可以查阅丰富的微软知识库文章,轻松掌握庞大 的微软技术支持专家知识系统。同时网站还为您提供微软技术新闻组,您可以在这个技术论坛中和广大的网友交流技术心得,获得来之微软最有价值专家(MVP) 的帮助。如果这些还不能帮您解决问题,您还可以通过我们的网站使用微软提供的技术支持或服务,在线联系一位微软技术支持专家为您排忧解难,答疑解惑。下面 将分别介绍如何使用这些资源。
以上信息源自微软帮助与支持站点,更多信息参见:
http://support.microsoft.com/gp/newguide/zh-cn
其实可以直接来HelpOnline在线技术支持寻求帮助嘛,呵呵。
IE7绝杀——RIES(重置 Internet Explorer 设置)
在IE6时代,我们经常会碰到IE6无法正常使用,无法启动,弹出广告等问题,皆因IE6相对较差的安全性(往深里谈当然还牵扯到用户权限的问题, 如果降权使用系统,那么IE6也不会碰到如此多的问题了)以至于流氓软件太容易侵入IE6。不过在IE7,我们有了绝杀武器——RIES!
RIES即“重置 Internet Explorer 设置”,在IE7使用RIES会重置:
- 主页
- 搜索范围
- 浏览历史记录
- 表单数据
- 密码
- 外观设置
- 工具栏
- ActiveX 控件
这些已能解决大多数莫名其妙的问题了的,那么如何“重置 Internet Explorer 设置”呢?
打开IE7,选择“工具/Internet选项”菜单命令,单击“高级”选项卡下单击“重置”按钮,在而后弹出的“重置 Internet Explorer 设置”对话框中单击“重置”按钮。现在IE7就开始重置 Internet Explorer 设置了,当完成操作。可以关闭所有打开的设置窗口。现在重启IE7即可完成重置了。
要想了解RIES到底重置了什么,请阅读微软帮助与支持文档:
http://support.microsoft.com/kb/923737/zh-cn
Windows无法显示防火墙设置
关键字词:
Due to an unidentified problem, Windows cannot display Windows firewall.
由于不可识别问题,Windows无法显示防火墙设置。
1、下载下面链接地址中的注册表文件:
http://help-online.org/download/Tools/firewallfix.reg
双击导入这个注册表文件来导入系统,导入成功后请重启计算机。
2、重启完毕后,单击『开始』菜单中的“运行”,在“运行”对话框中键入“CMD”(不包括双引号)后单击“确定”按钮。
3、在命令行下键入“NETSH FIREWALL RESET”(不包括双引号)后回车。
现在应该可以开启Windows防火墙了。
如果上面方法依旧无效,请进行下面操作:
在“运行”对话框中键入“rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf”(不包括双引号)后单击“确定”按钮
执行完后重启计算机,然后在“运行”对话框中键入“CMD”(不包括双引号)后单击“确定”按钮。在命令行下键入“NETSH FIREWALL RESET”(不包括双引号)后回车。
注:别忘了运行 serivces.msc 启动“服务”查看Windows Firewall/Internet Connection Sharing(ICS)服务有无启动。
如何选择适合自己的版本的Vista
Windows XP主要有五个版本,用户对象是很清晰的。
Windows XP Home Edition面向普通家庭用户,满足一般家庭数码需要。对比Pro版仅缺少部署、域、组策略等功能。
Windows XP Professional Edition面向专业IT用户,满足较为高端的IT需要。包含部署、域、组策略等专业IT功能。
Windows XP Tablet PC Edtion面向Tablet PC硬件用户,满足Tablet PC应用。
Windows XP Professional X64 Edition同样面向专业IT用户,对比Windows XP Professional Edition增加了对X64指令的CPU的支持,主要有AMD64、Intel的EMT64。不支持Intel的安腾IA64。
Windows XP Professional IA64 Edition面向安腾IA64专用用户。
这无个XP版本的面对对象都很清楚,时值Vista即将正式上市。那么作为用户量最大的Windows XP Home Edition和Professional Editon这两个版本的用户在升级到Vista应该如何去选择呢?
Vista的版本细化到分了有6个版本:
Windows Vista Starter
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Business
Windows Vista Enterprice
Windows Vista Ultimete
面对如此多的版本的Vista,XP Home和XP Pro用户该如何选择升级呢。这里就做一下讨论,首先先大概介绍各个版本的官方说明。
Windows Vista Starter:这是一个面向非发达地区的版本,对于硬件配置要求低,也同时极大 的限制了操作系统性能。只能同时运行三个应用程序(主要指前台)和最高1024×768的分辨率,不支持局域网,不支持DVD,没有密码登录,没有用户快 速切换最大只支持256M物理内存,仅有32Bit版本,仅支持AMD的Duron、Sempron、Geode以及Intel的Celeron和 PIII处理器。由于这个版本并不在中国地区销售,所以这个版本毋需考虑。
Windows Vista Home Basic: 这是一个Vista基础版本(最基础的),面向普通家庭用户。对比Windows XP Home Edition增加了一些功能,相当于Windows XP Home Edition升级版(其中和XP Home相同的是只支持同时连接5台计算机),缺少Aero特效支持。其64Bit版本最大支持8G物理内存,并且微软将提供更新支持到2012年。此版 本最适合原Windows XP Home Edition版本的用户选择。
Windows Vista Home Premimu: 这是一个基于Home Basic版本的基础上,增加了高级家庭媒体功能的版本。如媒体中心和数字电视卡,DVD视频制作(包括DVD刻录支持),支持HDTV,支持 Tablet PC。包含Windows辅助显示组件,支持计划任务备份,支持连接10台计算机,包含有限功能的远程桌面(只能被控制,不能控制他人)。其64Bit版 本最大支持16G物理内存,并且微软将提供更新支持到2012年。此版本适合对于视频制作、媒体中心、DVD刻录、HDTV等高级家庭多媒体有要求的用 户。
Windows Vista Business: 这个版本就相当于完整版的Windows XP Profession Edtion和Windows XP Tablet PC Edtion,包含了Windows Vista Home Premimu的所有功能,主要面向商务用户。支持IIS,支持Fax,支持RMS,支持系统镜像备份和回复,支持脱机文件,包含完整版本的远程桌面,支 持Previous Version和一些在Home Premimu里不具备的商务功能。其64Bit版本最大支持128G物理内存,并且微软将提供更新支持到2017年。此版本适合绝大多数IT Pro和办公人员。
Windows Vista Enterprice:这个版本在Vista Business的基础上增加支持MUI(多语言包),BitLocker和UNIX应用程序支持。这个版本并不准备零售,仅OEM提供给用户。有需要的用户可以通过购买品牌机获得此版本。
Windows Vista Ultimate:即Vista终极版,包含Vista所有特性和功能。适合高端需求的用户使用。
需要说明的是Windows Vista不只这6个版本,还包括只面向欧洲和韩国的N版和K版,其仅仅只是不包含Windows Media Player。但这就不在我们考虑之列了。
对于中国绝大多数用户而言,用电脑仅仅只是上网浏览网页、看看电影(普通RMVB、WMV等)、听听音乐、收发电子邮件、玩一些网络游戏,上QQ、 上Windows Live Messenger(MSN 8.0)等普通应用,那么从购买成本上考虑,Windows Vista Home Basic将是你的不二选择。但是希望用电脑来编辑DVD视频和欣赏HDTV以及刻录DVD的就应该选择Vista Home Premimu版本。希望使用Tablet PC或媒体中心(包括数字电视卡)的也应该考虑Vista Home Premimu版本。至于更高的版本毋需我多废话了,IT Pro当然是知道自己的需求的了。
最基本的Vista Home Basic包含哪些基础功能呢。
Windows Vista Basic UI(用户界面)、Windows Flip(Alt+Tab)、即时搜索、资源管理器即时内容管理、用户帐户控制(UAC)、Windows安全中心、Windows Defender、Windows防火墙、Internet Explorer7保护模式、反钓鱼(IE7、Windows Mail)、Windows Update、父母控制、ReadyDrive、ReadyBoost、64Bit支持、定时备份和恢复、SuperFetch、自动整理磁盘碎片、 Internet Explorer7、RSS支持、Windows Mail、Windows日历、Windows联系人、Windows Sidebar、Windows Media Player11、网络和共享中心、增强版无线网络、同步中心等基础功能。
标签: Vista, Windows Vista
安全删除Vista和XP双系统中的Vista
日前,Windows Vista RC1 Build 5600开始了公测,必定有好多人下载来在自己的爱机上测试,笔者就是这一拨人之一了。Windows Vista RC1 Build5600比起前面的Windows Vista Beta2版本,在安装速度、功能使用上已经有了很大的进步,并且剔除了很多Bug。相比较以前的版本,这个RC1 Build5600非常值得一用。但是就像是笔者一样的,很多人用的机子配置并不高,还属于无法开启Vista的Aero Glass特效的那种配置。并且是在基于原有的Windows XP下安装的双系统来试用Vista的,那么在测试完了这次的RC1 Build5600版本后,相信还是有不少用户觉得自己的爱机还是不足以流畅运行Vista而想要恢复成原有的Windows XP单系统的。格式化重装Windows XP系统非常容易,但也非常耗费时间,单是安装完系统后的Windows Update也要耗费不少时间,还不算安装其它软件的时间。所以我们还有选择,就是手动删除Vista来恢复原有的Windows XP单系统引导。
由于Windows Vista的设计使然,使用Vista时的引导程序从ntldr转交到新的引导程序,名为Windows Boot Manager,所以我们要想删除Vista和XP双系统的Vista,关键就在于这个Windows Boot Manager。我们可以选择保留Windows Boot Manager来引导Windows XP,也可以选择删除Windows Boot Manager来将引导转交回ntldr。
一、保留Windows Boot Manager
我们要保留Windows Boot Manager,就要用到用来管理Windows Boot Mananger的小工具——bcdedit.exe,这个工具位于Vista OS所在分区的Windows\system32下。我们可以在Windows Vista下的命令行使用这个工具,也可以在Windows XP下使用这个工具。笔者的环境为C盘是Windows XP所在分区,Windows Vista在F盘。笔者选择在Windows XP下使用这个工具。在『开始』菜单的“运行”中键入“CMD”(不包括双引号)来启动命令行,在命令行下键入“cd f:\windows\system32”后回车,然后再键入“f:”即可直接进入F:\Windows\System32目录。我们可以开始使用 bcdedit.exe这个小工具了:
1、键入 bcdedit 后回车;
2、把“Windows Boot Loader”下方的“resumeobject”后的那串ID即Windows Vista的GUID记住,如图1所示;
图1
3、键入 bcdedit /export "X:\Backup\" 后回车,这条命令的意思是指将启动配置数据备份到X盘下的Backup目录中,X盘由用户来决定;
4、在Windows XP下安装Vista生成的双系统启动菜单是将Windows XP描述为“Earlier Version of Windows”的,我们可以更改一下这个描述。笔者的Windows XP是Pro版的,所以笔者的修改为:键入 bcdedit /set {legacy} Description "Windows XP Professional" ,当反馈“操作成功完成”时,修改描述就成功了,这个时候再键入 bcdedit 回车,在Windows Legacy OS Loader下看到的description就成了刚才修改的“Windows XP Professional”了。
5、由于安装好Vista后Boot Manager默认的首选启动操作系统是Windows Vista,所以我们要修改首选启动操作系统为Windows XP。在命令行下键入 bcdedit /default {legact} 后回车,当反馈“操作成功完成”时,再键入 bcdedit 回车,我们可以在“Windows Boot Loader”下看到“default”已经是“
6、既然要修改成为Windows XP单系统,那么我们也就不需要在启动菜单上等待了,那么我们就可以修改启动菜单的显示时间为0。在命令行下键入 bcdedit /timeout 0 后回车,然后再键入 bcdedit 回车,我们可以看到“Windows Boot Manager”下的“timeout”的值为 0 了。
7、虽然现在已经是默认Windows XP直接启动了,但是在Windows Boot Manager的启动配置数据中还存在这Windows Vista的数据,我们可以删除有关数据。在这里我们就要用到Windows Vista的GUID了,键入 bcdedit /delete {GUID} /cleanup 后回车(在{ }中键入那串GUID),显示“操作成功完成后”,再键入 bcdedit 回车,便看不到关于Windows Vista的启动配置数据了。
8、关于双系统的启动菜单我们已经修改成为单系统的启动了,此时我们便可以清除Windows Vista的数据了,可以选择格式化Windows Vista所在分区,如果不想格式化的话,我们可以删除Windows Vista所在分区的如下的文件夹和文件:Documents and Settings、Program Files、ProgramData、Users、Windows、autoexec.bat、config.sys、hiberfil.sys、 pagefile.sys以及Vista版的回收站文件夹$RECYCLE.BIN等文件。至此我们就达到了保留Windows Boot Manager并修改成为Windows XP单系统的启动的任务了。由于Vista只能在NTFS分区下安装,所以Vista的有关文件夹都是有权限的,在Windows XP的Explorer下可能无法直接删除,其实可以在命令行下使用rd /s /q来删除执行的目录。如果rd也无法删除的,我们只需要继承所有权即可删除。
PS:Windows Vista的一些文件是具有隐藏属性的,我们需要设置一下才能看到。在Windows XP下打开“我的电脑”,选择“工具/文件夹选项”菜单,在“查看”选项卡下去掉“隐藏受保护的操作系统文件(推荐)”复选框,选上“显示所有文件和文件 夹”单项框,单击“确定”按钮即可。
PS:也许有些读者觉得命令行下的操作实在太麻烦了,有没有GUI界面来管理呢,答案是肯定的。有一个在GUI下调用bcdedit的工具,名为VistaBootPro。可以使用这个GUI界面来管理启动配置数据,但原理还是调用bcdedit的。
二、清除Windows Boot Manager
在Windows Vista Beta2下,我们清除Windows Boot Manager只需要在Windows Vista所在分区的Boot目录下执行 Bootsect.exe -NT52 All 命令便可以完成了。但在现在的RC1 Build5600的Vista分区下并没有Boot目录,在C盘中的Boot目录中也找不到Bootsect.exe文件,所以原来的方法无效。在这里 我们需要用到Windows XP的安装光盘来完成清除Windows Boot Manager。
用Windows XP安装光盘引导计算机,当显示了“Press Any Key To Boot From CD...”时按下任意键以从光盘引导,然后开始加载数据,如果使用的是SATA硬盘还需要在加载过程当下方显示“Press F6 if you need to install a third party SCSI or RAID driver...”按下F6来加载SATA驱动。当显示到Windows XP安装程序界面时,如图2所示:
图2
按下 R键 进入恢复控制台。进入恢复控制台后会提示要求选择登录Windows,根据显示来按键选择数字,选择后还需要键入Windows XP中的管理员帐户密码,之后便会显示命令行。在命令行下键入 fixboot c: 后回车,根据提示按下 Y键即可完成将引导转交到ntldr,至此Windows Boot Manager便清除了。然后我们只需要根据自己的情况选择格式化Vista所在分区或者删除有关目录和文件。
PS:删除Vista的有关文件夹和文件需要继承权限,操作需要登录管理员帐户。首先在XP中的“文件夹选项”的“查看”选项卡下去掉“使用简单文件共享 (推荐)”复选框,然后单击“确定”按钮。在要删除的目录上右击,选择“属性”,在“安全”选项卡下单击“高级”按钮,在“所有者”选项卡下如果“目前该 项目的所有者”下是类似“S-1-5-21-1528117516-2020809315-3846545974-1000”这样子的代码,那么在“将所 有者更改为”下方选择自己当前的管理员帐户,然后勾选“替换子容器及对象的所有者”复选框,然后单击“确定”按钮。再次重复刚才的操作打开至“高级安全设 置”的“权限”选项卡下,勾选“从父项继承那些可用应用到子对象的权限项目,包括那些在此明确定义的项目”复选框和“用在此显示的可以应用到子对象的项目 替代所有子对象的权限项目”复选框,然后单击“确定”按钮,此后会有一些应用动作,待这些动作完成后就可以直接删除那些“拒绝访问”的文件夹了,包括 Vista的Windows文件夹等文件。
说明:此文的“简化版”已刊登至2006年10月15日出版的第20期《电脑爱好者》,题目为“安全 卸载双系统中的Vista”。本文基于Windows Vista RC1 Build5600撰写,在后续的Windows Vista RTM Build6000中的方法可能略有改变,请注意。
标签: Vista, Windows Vista, WindowsXP
[下载]紫光拼音输入法皮肤:Royale Noir
为配合Royale Noir(黑色版Royale主题)的效果,给紫光也弄上了个黑色版Royale皮肤,效果如图:
主题名称:Windows Royale Noir
修改者:shixinyu
发布时间:01/11/2006
下载:
点击下载此主题
推荐使用版本:紫光华宇拼音输入法 V5
下载主题文件压缩包后,将里面的royale_n文件夹里的三个文件解压至
%WinDir%\system32\IME\Unispim (注:%WinDir%即你的系统的Windows文件夹)后打开紫光拼音输入法的设置,如上图在左侧栏的“外观”中设置选择“Windows Royale Noir”皮肤,Enjoy!
[下载]Royale-Noir----黑色版Royale主题
CnBeta和西行资讯都有报道这个“秘密”主题,为什么说是“秘密”主题呢,因为目前不好说这个黑色版是官方制作还是民间制作的。不过根据某些说法,这个主题早在两年前就有了的,只是可能没有那么流行和为人所知。效果看图说话:
下载链接:
http://www.mvpdream.org/download/royale_noir.rar
下载上面压缩包后解压里面的royale_noir文件夹里的所有文件到%WinDir%\Resources\Themes下(%WinDir%指你的系统的Windows文件夹),然后双击运行luna.msstyles,而后会弹出如下图的设置窗口:
选择“Royale Noir ”后单击“确定”按钮即可变换为黑色版Royale主题,Enjoy!
你应该认识的Vista![TechNET文章汇聚]
不仅仅是靓丽的主题、外观和特效,你应该认识Vista的内涵:
Windows Vista 网络:
http://www.microsoft.com/china/technet/prodtechnol/windowsvista/network/default.mspx
BitLocker 驱动器加密:
http://www.microsoft.com/china/technet/prodtechnol/windowsvista/security/bitlockr.mspx
Windows Vista 任务计划程序:
http://www.microsoft.com/china/technet/prodtechnol/windowsvista/mgmntops/taskschd.mspx
Windows Vista 安全性和数据保护改进:
http://www.microsoft.com/china/technet/prodtechnol/windowsvista/evaluate/feat/secfeat.mspx
通过用户状态迁移工具迁移到 Windows Vista:
http://www.microsoft.com/china/technet/prodtechnol/windowsvista/deploy/migusmt.mspx
http://www.microsoft.com/china/technet/prodtechnol/windowsvista/deplo...at/acshims.mspx
标签: TechNet, Vista, Windows Vista
Windows Vista 帮助和操作方法 (Help and Support)
[Funny Tip].LOG文本文件的特殊功能
1、右击,选择“新建”,选择“文件TXT”来新建一个文本文件(只要能新建一个文本文件,方法随便了);
2、在新建的文本文件正文中键入“.LOG”(不包含双引号&字母必须大写),保存,文件名也是随便,但不得更改文件扩展名;
3、现在再打开这个文本文件,看到了什么?
对了,是当前日期和时间。
这个有趣的小技巧可以用来干什么?写日记?就由你来自己想想了。
注:这是Windows自带的Notepad.exe的小技巧,也算是彩蛋吧,所以使用其它的文本编辑器无效。
其实这个技巧在微软KB文档中有记录的:
http://support.microsoft.com/kb/260563/en-us
开机弹出无标题的记事本——后续分析
关键字词: wincfgs.exe autorun.exe KB20060111.exe TrojanSpy.USBSpy.a Worm.USBSpy.aj.42868 Trojan.Spy.UsbSpy.a Worm/Delf.AJ.1 Trojan.Agent.AAE Worm.Win32.Delf.aj
由于成功获取wincfgs.exe样本文件,可以准确分析此样本行为,在此谢谢Zhengxin朋友提供样本。
实际情况和《开机弹出无标题的记事本》一文分析的那样差不多,只是有些细节需要说明一下。
此样本有如下行为:
【创建注册表项】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
修改其下的名为Load注册表键的键值内容为“C:\windows\system32\wincfgs.exe”
【创建文件】
C:\WINDOWS\system32\wincfgs.exe(注释:和在移动存储设备中的autorun.exe是同一个文件)
C:\WINDOWS\KB20060111.exe(注释:纯粹是一个记事本程序)
【写入移动存储设备】
在移动存储设备中生成autorun.inf,其中的内容为
----------------------------------------------------
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
----------------------------------------------------
并且在移动存储设备中生成名为RECYCLER的文件夹,在其下再生成名为RECYCLER的文件夹,在这个文件夹下生成desktop.ini文件,内容如下
----------------------------------------------------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
----------------------------------------------------
这个desktop.ini将第二个RECYCLER文件夹伪装成回收站,在第二个RECYCLER文件夹中便存储着autorun.exe文件。
正是当接入移动存储设备后autorun.inf文件激活autorun.exe文件以至于中毒。
前文猜测这仅仅是一个Joke程序,但由于行为特点,被众多安全厂商定义为Worm(蠕虫病毒)。
此病毒的解决方法:
1、修改注册表
a.运行“regedit”启动注册表编辑器;
b.清空注册表键值内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的Load注册表键里的键值内容。(请不要将Load注册表键一并删除)
2、删除文件
C:\WINDOWS\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe
清理被感染的移动存储设备的方法:
删除移动存储设备下的autorun.inf文件,删除移动存储设备下的RECYCLER文件夹。
autorun.inf和RECYCLER文件夹均被隐藏,请先设置显示所有文件和文件夹选项才可以看到并删除。
国产三大(江民KV、瑞星、金山毒霸)均可查杀此蠕虫病毒/USB间谍,国外的Antivir、BitDefender、Dr.Web(驱逐舰)、卡巴斯基等均可查杀,使用这些安全软件的用户可以查杀并防御。
开机弹出无标题的记事本
关键字词:无标题的记事本 开机弹出记事本 wincfgs.exe KB20060111.exe
近日在HelpOnline论坛中碰到如此案例,某用户反馈在接入自己的闪盘的计算机都会出现开机弹出无标题的记事本,很是烦人。
由于该用户提交样本时没有提交母体文件Wincfgs.exe,不能准确分析。只有分情况来讨论了。
由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的,所以导致根源应该在闪盘上所存储的文件。
1、蠕虫病毒的可能性:
这个闪盘可能被感染有蠕虫病毒,在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况,不过蠕虫病毒至少需要激活,也就是执行一下这个蠕虫病毒。但仅仅从症状来看又没有什么危害,应该不至于称作蠕虫病毒,所以暂时定为Joke程序
2、autorun.ini的小把戏:
在这个闪盘中存储有autorun.ini,也就是上面提到的可以用于激活程序的原因。如果autorun.ini中指定了程序,那么便会在双击打开闪盘的时候就激活了这个Joke程序。
当激活了这个Joke程序应该会有如下行为:
修改注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的名为Load的注册表键为:
C:\windows\system32\wincfgs.exe
修改%SystemRoot%\Notepad.exe文件的文件名为KB20060111.exe(或其它文件名),或者只是复制了一份Notepad.exe文件并命名为KB20060111.exe(或其它文件名)。
开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。
就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么 KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备 可能会再次传染这个移动存储设备。
那么解决办法就出来了:
1、修改注册表
a.运行“regedit”启动注册表编辑器;
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
由于没有得到wincfgs.exe样本文件,所以无法准确判断有关注册表项,但是可以直接使用Hijackthis修复类似这个项目:
F3 - REG:win.ini: load=C:\windows\system32\wincfgs.exe
2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
上述是解决被感染的计算机的解决办法,下面还要处理一下有问题的移动存储设备:
打开移动存储设备下的autorun.ini文件,查看其中指定的文件是哪个并且删除这个文件。
删除移动存储设备下的autorun.ini文件,这个文件一般是隐藏的,所以需要设置文件夹选项为显示所有文件和文件夹选项的。
开机弹出desktop.ini标题的记事本
关键字词:开机弹出记事本 desktop.ini 开机弹出desktop.ini记事本
在HelpOnline论坛曾经碰到如此案例:
开机弹出标题为desktop.ini的记事本,并且正文内容如下:
----------------------------------------------------------------
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
----------------------------------------------------------------
遇到此故障的用户所提交的Hijackthis扫描日志均未发现可疑启动项,但是使用江民的木马一扫光(此组件在KV2005/KV2006中均包含)可以发现有关启动项,如图所示:
所以解决办法为删除下面位置所含有的desktop.ini文件:
%SystemDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动
%SystemDrive%\Documents and Settings\All Users\「开始」菜单\程序\
%SystemDrive%\Documents and Settings\All Users\「开始」菜单
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单\程序\启动
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单\程序\
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单
*[CurrentUser]=当前用户
一篇微软的帮助与支持文档也证实了上述方法的准确性:
http://support.microsoft.com/kb/330132/zh-cn
KB3617622.LOG传奇木马
关键字词:KB3617622.LOG Lmir Lemir Trojan.Lmir 传奇木马
KB3617622.LOG是一个传奇木马,通常存储在系统Windows文件夹下。
下面是部分安全软件的病毒定义:
江民KV2006:Trojan/PSW.LMir.oy
瑞星2006:Trojan.DL.Agent.fya
金山2006:Win32.Troj.Lmir.sd.49152
费尔:PWSteal.Lemir.atp.xp.dll
诺顿:PWSteal.Lemir
麦咖啡:PWS-LegMir
NOD32:Win32/PSW.Legendmir.AQS
卡巴斯基:Trojan-PSW.Win32.Lmir.atp
Dr.Web/驱逐舰(viruschaser):Trojan.PWS.Legmir.515
PS:这篇Post是为了让搜索引擎作索引,虽然这个传奇木马几乎很多安全软件都能处理,但是为了方便用户查询这个KB3617622.LOG这个关键字词,于是有了这篇Post。
标签: 木马
找不到组件msidcrl40.dll的解决办法
关键字词:msidcrl40.dll 没有找到 msidcrl40.dll,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。
没有找到 msidcrl40.dll,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。
一些用户在试用Beta版的Windows Live Messenger的时候卸载之并倒回使用MSN Messenger就有可能收到上面这个msidcrl40.dll错误提示对话框以至于无法启动MSN Messenger,那么我们需要手动来卸载这个错误的MSN Messenger后重装一下MSN Messenger。
首先我们先下载 Windows Installer 清理实用工具 ,然后安装并且运行。
如图所示,我们选择列表中显示的所有版本的MSN Messenger,然后单击“Remove”按钮。
卸载操作完成后重启。
删除 %SystemDrive%\Program Files 下的 MSN Messenger文件夹。
打开“Internet 属性”,单击“常规”选项卡下的“Internet 临时文件”框中的“删除文件”按钮,然后在弹出的对话框中勾选“删除所有脱机内容”复选框后单击“确定”按钮。
现在就可以下载MSN Messenger来安装了。
MSN Messenger:
http://messenger.msn.com/
本文参考AskMarvin!中的帖子翻译而来,非版权所有,随便拷贝!
标签: MSN
KB896435.log病毒木马的处理
在HelpOnline论坛上有一个案例关于开机提示对话 框提示“加载KB896435.log时出错,找不到指定的模块。”,由于没有获取该KB896435.log本体文件,无法确认是病毒还是木马或者广告 软件(流氓软件),所以暂且称之为病毒木马。这个案例中的用户安装有卡巴斯基杀毒软件,故而可以了解是卡巴斯基清除了这个KB896435.log病毒木 马,可惜和大多数杀毒软件一样,仅仅处理病毒木马本体文件,而不处理启动项等有关注册表项。所以就造成了这个开机提示对话框提示“找不到指定的模块”的问 题,如图:
通常情况下在开机显示类似提示对话框,首先会运行“msconfig”(Win2000不带“系统配置实用程序,可拷贝Windows XP下的msconfig.exe文件”),在“系统配置实用程序”的“启动”选项卡下找这个有关的启动项来去掉这个启动项的复选框。但是本案例在这里找 不到。通过SREng提交的智能扫描报告中也没有发现有关启动项,可见这个KB896435.log病毒木马并非通过常规手段来启动自身的。
在案例中引导用户去搜索在注册表中的记录,发现KB896435.log是通过隐藏服务手段来作为启动项启动的,这就可以说明SREng扫描不到的原因了。
对这个KB896435.log病毒木马的处理办法为:
本体文件通常存储在 %SystemRoot%\system32 下,文件名为KB896435.log。
即删除 %SystemRoot%\system32\KB896435.log 这个文件。
运行“regedit”启动注册表编辑器,展开至:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Services
在上面的这些注册表项中删除名为 NetWorkLogon 的注册表项即可。本案例即是在注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services下删除名为 NetWorkLogon 的注册表项解决问题的。
本案例处理方法来自HelpOnline论坛:
http://help-online.org/bbs/thread-2827-1-1.html
对于这一类的隐藏服务、驱动,我们可以用RootkitRevealer来扫描出来。
标签: 病毒
Hijackthis的两个扫描盲区
hijack vt. 抢劫,劫持。
众所周知的,hijackthis是一款著名的用于修复被劫持的Internet Explorer(下文简称IE)浏览器的,现今的网络环境错综复杂,任何访问的网络都有可能中招,而IE浏览器便是这个通道。
当我们用hijackthis分析的时候习惯单击“Do a system scan only”按钮来扫描并显示列表或者单击“Do a system scan and save a logfile”按钮来扫描后生成扫描日志文件来分析。实际上这种扫描存在着两个盲区:
在注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
下的启动项并不会出现在这两种扫描的结果中,所以以至于我们的HelpOnline论坛中存在的这么一类问题没有得到及时的解决:
开机提示“加载 C:\DOCUME~1\a\LOCALS~1\Temp\RarSFX0\DTSERV~1.DLL时出错,找不到指定的模块。”的对话框。
其实这个启动项是在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
这个注册表项下的,所以我们需要进入注册表编辑器来在这个注册表项下删除“DTService”的启动项即可消除每次开机的那个提示。
虽然Hijackthis的这两种扫描存在这么两个盲区,但是Hijackthis是不是就对这两个盲区就束手无策了呢?答案是否定的,Hijackthis其实还有个更全面的启动项扫描,如下面动画所示:
单击“Generate StartupList Log”按钮后弹出提示对话框询问是否继续,单击“Yes”按钮即可在扫描完成后自动弹出记事本或log关联的程序来打开Hijackthis扫描的所有 启动项的扫描日志。在这个日志里就不存在上文中所提到的两个盲区的问题了。
下面给出常见的启动项注册表位置:
Registry Local Machine Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Registry Current User Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Registry Local Machine RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Registry Current User RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Registry Local Machine RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Registry Current User RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Registry Local Machine RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Registry Local Machine RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Registry Current User RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Registry Local Machine Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Registry Current User Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Load Key and Run Key
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\
+load
+run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
+load
+run
至于“服务”的那些注册表项就无需再列了,因为Hijackthis会自动扫描非Microsoft自带服务的。
PS:微软MVP SmallFrogs编写的System Repair Engineer不存在上文提到的两个盲区,值得推荐!
标签: Hijackthis, 注册表
“磁盘管理”不可用故障又一例
关键字词: 磁盘管理无法打开 错误126:找不到指定的模块 逻辑磁盘管理器:依存服务或组无法启动 Logical Disk Manager服务无法启动
“磁盘管理”无法打开,显示如图所示“逻辑磁盘管理器:依存服务或组无法启动”对话框:
启动“服务”查看“Logical Disk Manager”和“Logical Disk Manager Administrative Service”服务均处于停止状态,并且无法启动“Logical Disk Manager”服务,反馈“错误 126: 找不到指定的模块”显示如图所示:
也无法启动“Logical Disk Manager Administrative Service”服务,因为此服务依赖“Logical Disk Manager”服务。
在“Logical Disk Manager”服务中所指定的模块信息处于注册表中,所以我们需要在注册表中给出正确的指定模块的信息。
解决办法:
1、单击『开始』菜单中的“运行”并键入“regedit”后单击“确定”按钮启动“注册表编辑器”;
2、在“注册表编辑器”中依存展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
3、确保右侧窗口的名为“ServiceDll”的类型为“REG_EXPAND_SZ”(可扩充字符串值)的注册表键值数据为“%SystemRoot%\System32\dmserver.dll”;
4、修改完毕需要重启计算机,才可以启动“Logical Disk Manager”服务,便可以启动“磁盘管理”程序了。
[学习]稀疏文件—Sparse File Bit
在微软中文新闻组中看到这样子的一个我没有见过的概念:稀疏文件。 众所周知的,NTFS文件系统作为微软推崇的存储系统,其功能和安全性是FAT32文件系统不可比拟的。不过对于我个人所知,NTFS有EFS加密、压 缩、磁盘配额、权限、索引、动态卷等功能。今天碰到这个NTFS的一个功能:稀疏文件(Sparse File Bit),有必要学习了解一下。
引用《文件和打印服务》一文:
------------------------------------------------------------------------------------------------
NTFS 5对稀疏数据(即存在较大连续0数位区域的数据)的处理是通过创建无需为每一字节(而这些字节又是文件最终将包含的)而实际占用磁盘空间的大文件来节省磁 盘空间并提高磁盘性能的。管理员或应用程序能够使用新的、由用户控制的文件系统属性将包括较大连续0数位区域的文件标记为稀疏文件,而NTFS接着就将物 理空间仅分配给那些有意义的数据(即那些将被事实写入的部分)。例如,如果一个42GB大小文件已被标记为稀疏文件,则其数据将只被写入该文件的前 64KB和后64KB中,这样,NTFS只占用了128KB的磁盘空间,尽管从另一方面来看,该文件仍象一个42GB大小的文件那样发挥着作用。使用稀疏 数据设置的应用程序包括图像处理软件和高速数据库。
------------------------------------------------------------------------------------------------
URL:http://www.microsoft.com/china/window...ures/fileprint.asp
------------------------------------------------------------------------------------------------
引用《Windows 2000存储应用的开发思路》一文:
------------------------------------------------------------------------------------------------
·稀疏文件:对这些类型文件的支持在NTFS中得到增强。以新的用户控制文件系统属性来指示的文件利用了这一特性。NTFS剥离稀疏数据流,在分配 时仅维护有意义的数据。 在文件访问中,文件系统分配实际的数据,剥离零数据。API允许应用程序开发者不必进行文件扩展并直接读取分配值域。这就使应用程序不必处理由文件系统产 生的大量零数据流,并能够使用稀疏数据流以高效方式复制或移动大文件。
------------------------------------------------------------------------------------------------
URL:http://www.microsoft.com/china/window...andprint/stordev.asp
------------------------------------------------------------------------------------------------
《Windows 2000的企业级存储》DOC文档下载:
学习了一些概念之后,我们便会去想,我们的应用中哪些应用到这个存储应用呢?其实在我们常常用到的eMule(电螺)便应用到此点,如图所示:
还有最近流行起来的Live Messenger也有此存储应用,Live Messenger带有一个新功能,便是Sharing Folders(共享文件夹),这是一种远程存储,而稀疏文件的一个应用便是远程存储。安装了Live Messenger的朋友可以查看一下此文件夹:
C:\Documents and Settings\****\Local Settings\Application Data\Microsoft\Messenger\****@hotmail.com\SharingMetadata\Working
此文件夹下有个SimilarityTable_1文件,这个文件足足 8GB ,但是这个文件所在的目录的属性显示为“大小:8.02 GB (8,616,189,996 字节)”“占用空间:20MB左右”,这便是“稀疏文件”存储应用的表现。
查看Live Messenger研发组的Blog的评论上一个用户的反馈:
点击查看MSN Space
MadNinja用户首个提出这个问题。
用户帐户:找不到指定的模块
关键字词: 用户帐户 用户帐户一片空白 找不到指定的模块 无法使用“欢迎屏幕” 无法使用快速用户切换 无法选择登录和注销选项 仅能使用经典登录
用户帐户:找不到指定的模块 故障一
打开“控制面板”中的“用户帐户”,显示如图所示:
单击“确定”按钮后的“用户帐户”就只是一片空白。
这种情况需指定正确的模块,而模块信息是在注册表的某键值中指定的,请安装下面步骤来操作:
1、单击『开始』菜单中的“运行”并键入“regedit”后单击“确定”启动“注册表编辑器”;
2、在“注册表编辑器”中展开至
HKCR\CLSID\{13709620-C279-11CE-A49E-444553540000}\InProcServer32
3、在右侧中的“(默认)”键值确保键值内容为
%SystemRoot%\system32\SHELL32.dll
4、修正后重启计算机。
用户帐户:找不到指定的模块 故障二
打开“控制面板”中的“用户帐户”,在“用户帐户”中单击“更改用户登录或注销的方式”链接,则出现如图所示“用户帐户:找不到指定的模块”对话框:
单击“确定”按钮后无论如何勾选“使用欢迎屏幕”和“使用快速用户切换”复选框后单击“应用选项”按钮,再次进来还是非选中状态且系统无法使用欢迎屏幕和快速用户切换,只能使用经典登录来登录系统。
同样是需要指定正确的模块,请安装下面步骤来操作:
1、单击『开始』菜单中的“运行”并键入“regedit”后单击“确定”按钮启动“注册表编辑器”;
2、在“注册表编辑器”中展开至
HKCR\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}\InProcServer32
3、在右侧中的“(默认)”键值确保键值内容为
C:\Windows\system32\wshom.ocx
(如果你的操作系统并非在C盘,请根据实际情况操作。)
4、修正后重启计算机。
PS:安装有“日月光华”杀毒软件的朋友,如果在你禁止了光华的服务后双击启动光华杀毒软件,那么光华有可能重新启用Windows Installer来修复安装光华,这种情况下,光华杀毒软件就会错误的修改了“用户帐户”的模块信息,而导致 故障二 的问题,按照文章提出的办法可解决问题。
解决“帮助和支持”中心故障(Fix HelpandSupport Error)
关键字词: 帮助和支持中心 不能打开帮助与支持 错误1083:配置成在该可执行程序中运行的这个服务不能执行该服务 Helpsvc "Help and Support"
从HelpOnline论坛中得到不少故障求助,说是“帮助和支持”中心无法打开。并且求助的人均反 馈说系统提示【Windows不能打开帮助与支持,因为一个系统服务没有运行。要修复此问题,启动名为“帮助与支持”的服务】,当时从第一印象便是提示他 们启动“Help and Support”服务,但是他们的反馈均说在“服务”中找不到名为“Help and Support”的服务,于是提供了一个重置“Help and Support”服务的注册表文件下载:
http://help-online.org/download/Tools/helpandsupport/helpandsupportdefault.reg
当他们下载这个注册表文件后导入,根据反馈信息为可以在“服务”列表中找到“Help and Support”服务了,但是却没法启动这个服务,反馈说系统提示“在本地计算机无法启动Help and Support
错误1083:配置成在该可执行程序中运行的这个服务不能执行该服务”。
这种情况可以先下载下面链接地址中的文件:
http://help-online.org/download/Tools/helpandsupport/helpsvcfix.zip
运行压缩文件中的helpsvcfix.exe,然后在如图所示的对话框中单击“Inspect and Fix Helpsvc”按钮:
然后根据提示重启计算机,重启计算机后再进入“服务”中启动“Help and Support”服务看看是否正常。如果故障依旧,那么请根据下面的详细步骤来操作修复:
1、单击『开始』菜单中的“运行”并键入“cmd”(不包括双引号)后单击“确定”按钮;
2、在命令提示符下键入“net stop helpsvc”(不包括双引号)后按下Enter键(回车键);
3、待 Help and Support 服务成功停止后,不必关闭该命令提示符,直接打开“我的电脑”,进入目录:
C:\windows\pchealth\helpctr (如果你的Windows XP不在C盘,请根据实际情况操作)
4、在这个目录中删除名为 PackageStore 的文件夹;
5、确保“任务管理器”中的“进程”选项卡列表中的以下进程没有运行中:
helpsvc.exe helphost.exe helpctr.exe
6、在刚才的命令提示符下键入“cd /d c:\windows\pchealth\helpctr\binaries”(不包括双引号,如果你的Windows XP不在C盘,请根据实际情况操作)后按下Enter键(回车键);
7、键入“start /w helpsvc /svchost netsvcs /regserver /install”(不包括双引号)后按下Enter键(回车键),此时便会有重置Help and Support的过程,请等待一会儿;
8、待可以键入命令后,在命令提示符下键入“net start helpsvc”(不包括双引号)后按下Enter键(回车键);
9、键入“exit”(不包括双引号)来退出 命令提示符。
此时可以在“运行”中键入“services.msc”(不包括双引号)来在“服务”中检查“Help and Support”服务的启动状态,然后再单击“帮助与支持中心”快捷方式看看是否可以打开了。
Helpsvcfix.zip 这个文件引用mvps.org的Windowsxp板块:
http://windowsxp.mvps.org/helpsvcfix.htm
http://help-online.org/bbs/thread-938-1-1.html
标签: WindowsXP
“控制台”管理远程计算机失败的解决办法
使用“控制台”(MMC)我们不但可以方便的管理本地计算机还可以方便的管理可访问的远程计算机。但是如果欲访问的远程计算机是Windows XP With ServicePack2,那么在用“控制台”(MMC)添加了该远程计算机之后进行管理会无法进行操作。在进行管理操作时便会收到“计算机 计算机名 不能被管理。未找到网络路径。要管理不同的计算机,请在‘操作’菜单上,单击‘连接到另一台计算机’。”的反馈对话框。
“控制台”对远程计算机的管理是通过远程计算机的TCP 445端口来实现的,而Windows XP With ServicePack2的“Windows 防火墙”默认是没有开启TCP 445端口的,所以导致了“控制台”对远程计算机的管理失败。所以解决办法即开启远程计算机的TCP 445端口。
解决办法:
GUI法:
1、打开“Windows 防火墙”;
2、在“Windows 防火墙”的“例外”选项卡下的例外名单中勾选“文件和打印机共享”复选框或者单击选择了“文件和打印机共享”之后单击“编辑”按钮,在“编辑服务”对话框中勾选名称为“TCP 445”的复选框后单击“确定”按钮返回“Windows 防火墙”;
3、再单击“确定”按钮退出“Windows 防火墙”。
CMD法:
1、单击『开始』菜单中的“运行”并键入“CMD”(不包括双引号)后单击“确定”按钮;
2、在命令提示符下键入 netsh firewall set portopening TCP 445 ENABLE 后回车。
注:以上操作是在欲管理的远程计算机上进行的。
更多信息参见微软的Microsoft Windows XP Service Pack2的功能变更说明文档:
http://www.microsoft.com/technet/prodtechnol/winxppro/zh-chs...sp2netwk.mspx
标签: WindowsXP
“磁盘管理”不可用故障一例
解决办法:开启 DCOM Server Process Launcher(DcomLaunch)服务即可。
具体做法:
1、单击『开始』菜单中的“运行”并键入“services.msc”(不包括双引号)后单击“确定”按钮;
2、在“服 务”中的服我列表中找到显示名称为 DCOM Server Process Launcher 的服务,如果其为“已禁止”状态,那么双击之,在“DCOM Server Process Launcher 的属性(本地计算机)”对话框中将“启动类型”下拉菜单更改为“自动”
3、单击“确定”按钮后重启即可。
标签: WindowsXP
Windows XP USB Mass Storage Device Security FAQ
我们单位是个安全单位,对于数据的安 全有很高的要求。我们单位的计算机上均装有Windows XP但我们单位有不少些同事使用USB FlashDisk(闪盘)接在我们单位的计算机上。领导很担心数据的外泄,也挺担心个别同事的闪盘上带有间谍软件进入计算机系统来,怎么办呢?
A:
1、给所有用户设上非管理员权限的帐户
a、点击『开始』菜单中的“运行”并键入"control userpasswords2"(不包括双引号)後确定
b、在“用户帐户”中添加用户时注意选择何种级别的访问权限时选择受限用户或更改现有用户 的属性时在其“属性”页中的“组成员”标签页中选择“受限用户”
2、将系统以及数据所在分区使用 convert 命令转换为NTFS文件格式分区
a、点击『开始』菜单中的“运行”并键入"cmd"(不包括双引号)後确定
b、在CMD命令行下键入"convert x: /FS:NTFS"(不包括双引号且其中的x表示欲转换的盘符)
3、为%SystemRoot%\Inf下的Usbstor.pnf和Usbstor.inf这两个文件设置用户权限
a、右击这两个文件,点击“属性”,在其“属性”页中点“安全”标签
b、将Users组的“完全控制”中选择“拒绝”复选项
c、点击“高级”按钮,在打开的“权限”页中去掉“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定
[注:欲看到文件属性的“安全”标签,需要先在“文件夹选项”中的“查看”页中去掉“使用简单文件共享(推荐)”之后才可见。并且Home版需要进入安全模式下进行了前面文件夹选项设置後才可见]
Q:
上面的办法确实有效果,不过有不少机子已经装过USB Mass Storage Device了,好像已经加载过上面提到的两个文件了,对于那些机子似乎就没什么作用了,对于这一类的机子该怎么办呢?
A:
对于已经加载过上面提到的Usbstor.pnf和Usbstor.inf这两个文件的系统使用上面提到的办法确实无效了,那么请使用下面方法
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
将名为 Start 的DWORD键键值修改为十六进制的 4
[注:此法达到的效果为插入USB 存储设备无任何反应,并且盘符也不会出现,在“磁盘管理”中也看不到该移动存储设备。达到无处外泄数据和病毒无法被读取的目的]
Q:
确实,按照上面的方法去做, 没有任何反应了,也不会有盘符弹出,在“磁盘管理”中也看不到该移动存储设备了,不过不少同事可是一般把要完成的在家完成后存到闪盘里再带到单位来提交, 如果按照上面的办法的话,连闪盘上的东西都无法保存转移到计算机上来。我们这边有病毒实时监控,而且给用户设上了受限权限,即使有病毒也是没什么大碍的, 而且还升到了SP2了,应该不用担心太多安全方面的问题,所以该怎么办呢?
A:
如果有病毒实时监控,可要注意经常更新病毒定义库。如果是Windows XP with SP2的话,那就好办了,可以通过下面办法达到,可以读取闪盘上的数据,但却无法将计算机上的数据保存到闪盘上,从而保证了数据的不外泄。
1、卸载所有挂载着的USB 存储设备
2、修改注册表
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)後确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
如果在注册表项 Control下找不到名为 StorageDevicePolicies 的注册表项,那么则手动建立即可
c、在 StorageDevicePolicies 注册表项下建立名为 WriteProtect 的DWORD值,并将其键值定义为 1 即生效
[注: 此法的效果为使用闪盘时插入闪盘,系统会如常显示出盘符,但是只能读出闪盘中的数据文件,而无法往闪盘中写入数据,从而达到防止数据外泄的目的。此法仅对 Windows XP SP2有效,考虑到2003Server SP1其本质和XP SP2很像,故而大胆预测2003Server SP1应用此法一样有效。]
Q:
看来当初升级到SP2确实没 白装啊,用了上面的办法到Windows XP RTM上居然是无效的。上面的方法似乎已经是最完美的了,不过发现有些同事不知道用了什么办法好像突破了这个限制,而往他的MP3上拷贝了MP3,虽然他 没拷贝重要数据文件,但说明是有漏洞的啊,这该怎么办呢?
A:
估计是该用户的权限太高,要么更改为受限用户,要么去掉他对该注册表键值的控制权限即可。
如果该用户确实需要有足够的权限来完成某些任务,那么只有去掉他对该注册表键值的控制权限了
a、点击『开始』菜单中的“运行”并键入"regedit"(不包括双引号)后确定
b、在“注册表编辑器”中依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
在该StorageDevicePolicies注册表项上右击菜单后点“权限”
c、在 “StorageDevicePolicies 的权限”中点击该用户后在“完全控制”后勾选“拒绝”复选项
d、点击“高级”按钮后去掉从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选项後确定两次即可
编后总结:
该FAQ以一个安全单位的管理员的疑问角度来撰写,并且就 WinXP的USB存储设备的这方面的应用提出几个安全相关的疑问和解决办法。但实际上还有不少其它的数据外移手段如软盘、刻录光盘、网络等手段。所以要 做好数据的防外泄有关工作光在这个USB闪盘上还不够,USB闪盘或移动硬盘只是因为普及且易携带,所以应该着重于这方面的防外泄工作。上面都是有关于技 术防外泄的,实际操作中还应配合着制度等的规定来达到防外泄的目的以保护单位数据安全。
How to Enable TaskMgr.exe
Q:
在一次中毒后,经过反病毒软件的扫描后留下了一个后遗症:任务管理器打不开了,无论是通过“任务栏”上的右键菜单还是组合键Ctrl+Alt+Del都不能打开,怎么办?
A:
一般情况下打不开任务管理器有两方面的因素:
1、任务管理器的运行文件丢失:
任务管理器的运行文件是%SystemRoot%\system32\TaskMgr.EXE,但是当这个文件被更名或者被删除就会从% systemroot%\system32\dllcache或%SystemRoot%\ServicePackFiles\i386下顺序调出 TaskMgr.exe到%SystemRoot%\system32\下,所以如果一旦%systemroot%\system32\dllcache 和%SystemRoot%\ServicePackFiles\i386下的TaskMgr.exe也被更名或者被删除,那么就无法直接运行任务管理器(一旦%systemroot%\system32\dllcache里的TaskMgr.exe被更名或删除,而又在ServicePackFiles下找不到或并非SP1、SP2版本的XP,Windows文件保护会提示要求插入Windows安装光盘)。 那么根据上面提到的特性,只有从他机拷贝该任务管理器运行文件TaskMgr.exe到%SystemRoot%\system32或% SystemRoot%\ServicePackFiles\i386或%systemroot%\system32\dllcache这三个地方,因为 只要有其中一个地方存在正确的 TaskMgr.exe 文件,其它地方会被自动拷贝复件的。
2、权限方面的原因:
“组策略”法,请按照下面步骤进行组策略操作:
1、点击『开始』菜单
2、点击“运行”并键入"gpedit.msc"(不包括双引号)后确定
3、在“组策略”中依次展开
"本地计算机"策略/用户配置/管理模板/系统/Ctrl+Alt+Del 选项
4、在该列表中打开 删除“任务管理器” 的属性
5、在 删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项,确定。
注:该策略的效果为,“任务栏”上的右键菜单上的“任务管理器”呈不可点击状,而按下组合键Ctrl+Alt+Del之后会弹出题目为“任务管理器”的对话框,内容是“任务管理器已被系统管理员停用”。
上述策略须在管理员帐户下操作
上述方法因需用到“组策略”,故该法适用于:
·Microsoft Windows XP Professional
“注册表”法,请按照下面步骤进行注册表编辑操作:
1、点击『开始』
2、点击“运行”并键入"regedit"(不包括双引号)后确定
3、在“注册表编辑器”中依次展开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
在该注册表项下建立名为 System 的项(如在Policies分支下已有System项,则无须此步骤)
在 System 项下建立名为 DisableTaskMgr 的“字串符值”或者“DWORD值”
键值为1则禁止任务管理器,键值为0则不禁止。
注:该注册表键值的修改效果同上述“组策略”法。
Windows XP均带有注册表编辑器,故该“注册表”法适用于:
·Microsoft Windows XP Home
·Microsoft Windows XP Professional
·Microsoft Windows XP Media Center Edtion 2005
无法访问计算机XXXX。错误是:库没有注册
在“计算机管理”中的“本地用户和组”无法打开,并反馈“无法访问计算机××××,错误是:库没有注册”,见图:
这个问题得到高手“翼手龙”的解答:将下面内容粘贴至记事本中保存为.reg文件后导入即可
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}]
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0]
@="Active DS Type Library"
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0\0]
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0\0\win32]
@="%windir%\\system32\\activeds.tlb"
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0\FLAGS]
@="0"
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0\HELPDIR]
@="%windir%\\system32"
Copy&Right By 翼手龙
为了方便修复,现提供该注册表文件下载,直接下载到本地上运行导入即可:
http://help-online.org/download/Tools/Fixlusrmgr.reg
How to:隐藏任意显示在“我的电脑”中的盘符
Q:
如何隐藏I盘,在组策略里设置不了?
A:
这只有说明该组策略对于隐藏任意盘符方面的策略不够灵活了。可以通过下面方法来实现你的要求:
1、“注册表”法:
a、点击『开始』菜单中的“运行”
b、在“运行”中键入"regedit"(不包括双引号)并确定
c、在“注册表编辑器”中依次展开注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
在该注册表项下新建名为 Explorer 的项(如果已有此项则可免此步骤)
d、在 Explorer 注册表项下新建名为 NoDrives 的二进制值(类型:REG_BINARY)
e、根据所需隐藏盘符来定义其二进制值键值,定义完毕后注销或重启即可生效。
定义详解:
| 对应盘符字母 | A | B | C | D | E | F | G | H | I | J | K | L | M | …… |
| 定义值数字(十进制) | 1 | 2 | 4 | 8 | 10 | 20 | 40 | 80 | 100 | 200 | 400 | 800 | 1000 | …… |
上表为对应盘符字母的对应数字列表,很容易地,能看出其中的规律,就1,2,4,8这四个数字一周期增长10倍的循环直到最后一位字母对应的数字。
以 你需要隐藏的 I 盘为例,可见 I 盘符对应的数字为 100 ,那么就应该将该注册表键值 NoDrives 定义为 100 ,但是这是一个二进制值的键值,其表达方式为二进位,和十进制的表达方式略有区别。十进制是从右向左的个十百递进,而这个二进位是从左向右的个十百递进, 并且这个二进位值以每两个字节为一组的分组方式表达的。那么你的例子的十进制数字是 100 ,则需要在该 NoDrives 键值定义为 00 01 00 00 。
注:
①如果欲隐藏单个盘符,按照上表规律中的数字来定义;那如果欲隐藏的不只一个盘符,怎 么办呢?其实只要将欲隐藏的多个盘符字母对应的多个定义值加起来即可。如,欲隐藏A,C,E这三个盘符,其对应定义值数字分别为1,4,10。将这三个数 字加起来得 15 ,那么就是将该 NoDrives 键值定义为 15 00 00 00 。
②定义完该键值后不能立即生效,需要注销或重启。 但其实可以立即生效的办法是:按下组合键“Ctrl+Alt+Del”呼出“任务管理器”,在其“进程” 选项卡下的进程列表中将 explorer.exe 进程关闭,然后在其“文件”菜单下的菜单项“新建任务(运行...)”中键入 "explorer"(不包括双引号)确定之后即可生效。
③隐藏盘符只有隐藏确实可以显示的盘符,包括虚拟光驱等虚拟设备所占用的盘符才有所谓的意义;隐藏那些并未启用的盘符并无意义。
2、类“TweakUI”的注册表工具修改法:
运行TweakUI之后展开其导航树状目录到 My Computer\Drives ,去掉右边欲隐藏的盘符复选项的勾即可。见图:
注:在完成对欲隐藏的盘符复选项的操作之后按下Apply或OK即可立即生效。
类似TweakUI的不少注册表工具均带有此隐藏盘符功能,如“超级兔子魔法设置”,可根据自己的喜好来选择。
关于TweakUI的下载,请参见:
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
上述两个方法均只能达到隐藏显示盘符的效果而已,并无法阻止用户对其访问,如在“地址栏”中直接输入被隐藏的盘符路径即可进入。
How to:延长“气泡通知”的显示时间
A:通过注册表的修改能满足你的要求
请按照下面步骤进行操作:
1、点击『开始』菜单中的“运行”
2、在“运行”中键入"regedit"(不包括双引号)并确定
3、在“注册表编辑器”中依次展开注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify
并在右侧新建名为 BalloonTip 的DWORD值,其键值定义为以秒为单位的显示时间长度。
注:如果需要显示为10秒,那么则定义该键值为十进制的 10 即可。
更多信息:
1、编辑注册表有风险,可能会造成需要重装操作系统的故障,故而建议用户操作注册表编辑器之前进行备份工作,编辑注册表的风险需要用户自行承担。
2、安装设备时候的“气泡通知”是动态的,这个是会变化的。上述的操作是不能将这个变化之间的时间也更改了的。
3、像是问题中提到的“拨号连接”后的在通知区域中的两个小电脑连接样式的图标所显示出的气泡通知。如果在连接完毕之后不进行任何操作(包括对键盘和鼠标的操作),那么这个气泡通知一般会持续显示着,直到你关闭气泡通知上的“×”或激活其它程序窗口等的操作。
