2007/04/28
Hijackthis的两个扫描盲区
hijack vt. 抢劫,劫持。
众所周知的,hijackthis是一款著名的用于修复被劫持的Internet Explorer(下文简称IE)浏览器的,现今的网络环境错综复杂,任何访问的网络都有可能中招,而IE浏览器便是这个通道。
当我们用hijackthis分析的时候习惯单击“Do a system scan only”按钮来扫描并显示列表或者单击“Do a system scan and save a logfile”按钮来扫描后生成扫描日志文件来分析。实际上这种扫描存在着两个盲区:
在注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
下的启动项并不会出现在这两种扫描的结果中,所以以至于我们的HelpOnline论坛中存在的这么一类问题没有得到及时的解决:
开机提示“加载 C:\DOCUME~1\a\LOCALS~1\Temp\RarSFX0\DTSERV~1.DLL时出错,找不到指定的模块。”的对话框。
其实这个启动项是在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
这个注册表项下的,所以我们需要进入注册表编辑器来在这个注册表项下删除“DTService”的启动项即可消除每次开机的那个提示。
虽然Hijackthis的这两种扫描存在这么两个盲区,但是Hijackthis是不是就对这两个盲区就束手无策了呢?答案是否定的,Hijackthis其实还有个更全面的启动项扫描,如下面动画所示:
单击“Generate StartupList Log”按钮后弹出提示对话框询问是否继续,单击“Yes”按钮即可在扫描完成后自动弹出记事本或log关联的程序来打开Hijackthis扫描的所有 启动项的扫描日志。在这个日志里就不存在上文中所提到的两个盲区的问题了。
下面给出常见的启动项注册表位置:
Registry Local Machine Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Registry Current User Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Registry Local Machine RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Registry Current User RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Registry Local Machine RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Registry Current User RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Registry Local Machine RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Registry Local Machine RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Registry Current User RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Registry Local Machine Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Registry Current User Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Load Key and Run Key
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\
+load
+run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
+load
+run
至于“服务”的那些注册表项就无需再列了,因为Hijackthis会自动扫描非Microsoft自带服务的。
PS:微软MVP SmallFrogs编写的System Repair Engineer不存在上文提到的两个盲区,值得推荐!
标签: Hijackthis, 注册表
“磁盘管理”不可用故障又一例
关键字词: 磁盘管理无法打开 错误126:找不到指定的模块 逻辑磁盘管理器:依存服务或组无法启动 Logical Disk Manager服务无法启动
“磁盘管理”无法打开,显示如图所示“逻辑磁盘管理器:依存服务或组无法启动”对话框:
启动“服务”查看“Logical Disk Manager”和“Logical Disk Manager Administrative Service”服务均处于停止状态,并且无法启动“Logical Disk Manager”服务,反馈“错误 126: 找不到指定的模块”显示如图所示:
也无法启动“Logical Disk Manager Administrative Service”服务,因为此服务依赖“Logical Disk Manager”服务。
在“Logical Disk Manager”服务中所指定的模块信息处于注册表中,所以我们需要在注册表中给出正确的指定模块的信息。
解决办法:
1、单击『开始』菜单中的“运行”并键入“regedit”后单击“确定”按钮启动“注册表编辑器”;
2、在“注册表编辑器”中依存展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
3、确保右侧窗口的名为“ServiceDll”的类型为“REG_EXPAND_SZ”(可扩充字符串值)的注册表键值数据为“%SystemRoot%\System32\dmserver.dll”;
4、修改完毕需要重启计算机,才可以启动“Logical Disk Manager”服务,便可以启动“磁盘管理”程序了。
用户帐户:找不到指定的模块
关键字词: 用户帐户 用户帐户一片空白 找不到指定的模块 无法使用“欢迎屏幕” 无法使用快速用户切换 无法选择登录和注销选项 仅能使用经典登录
用户帐户:找不到指定的模块 故障一
打开“控制面板”中的“用户帐户”,显示如图所示:
单击“确定”按钮后的“用户帐户”就只是一片空白。
这种情况需指定正确的模块,而模块信息是在注册表的某键值中指定的,请安装下面步骤来操作:
1、单击『开始』菜单中的“运行”并键入“regedit”后单击“确定”启动“注册表编辑器”;
2、在“注册表编辑器”中展开至
HKCR\CLSID\{13709620-C279-11CE-A49E-444553540000}\InProcServer32
3、在右侧中的“(默认)”键值确保键值内容为
%SystemRoot%\system32\SHELL32.dll
4、修正后重启计算机。
用户帐户:找不到指定的模块 故障二
打开“控制面板”中的“用户帐户”,在“用户帐户”中单击“更改用户登录或注销的方式”链接,则出现如图所示“用户帐户:找不到指定的模块”对话框:
单击“确定”按钮后无论如何勾选“使用欢迎屏幕”和“使用快速用户切换”复选框后单击“应用选项”按钮,再次进来还是非选中状态且系统无法使用欢迎屏幕和快速用户切换,只能使用经典登录来登录系统。
同样是需要指定正确的模块,请安装下面步骤来操作:
1、单击『开始』菜单中的“运行”并键入“regedit”后单击“确定”按钮启动“注册表编辑器”;
2、在“注册表编辑器”中展开至
HKCR\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}\InProcServer32
3、在右侧中的“(默认)”键值确保键值内容为
C:\Windows\system32\wshom.ocx
(如果你的操作系统并非在C盘,请根据实际情况操作。)
4、修正后重启计算机。
PS:安装有“日月光华”杀毒软件的朋友,如果在你禁止了光华的服务后双击启动光华杀毒软件,那么光华有可能重新启用Windows Installer来修复安装光华,这种情况下,光华杀毒软件就会错误的修改了“用户帐户”的模块信息,而导致 故障二 的问题,按照文章提出的办法可解决问题。
How to Enable TaskMgr.exe
Q:
在一次中毒后,经过反病毒软件的扫描后留下了一个后遗症:任务管理器打不开了,无论是通过“任务栏”上的右键菜单还是组合键Ctrl+Alt+Del都不能打开,怎么办?
A:
一般情况下打不开任务管理器有两方面的因素:
1、任务管理器的运行文件丢失:
任务管理器的运行文件是%SystemRoot%\system32\TaskMgr.EXE,但是当这个文件被更名或者被删除就会从% systemroot%\system32\dllcache或%SystemRoot%\ServicePackFiles\i386下顺序调出 TaskMgr.exe到%SystemRoot%\system32\下,所以如果一旦%systemroot%\system32\dllcache 和%SystemRoot%\ServicePackFiles\i386下的TaskMgr.exe也被更名或者被删除,那么就无法直接运行任务管理器(一旦%systemroot%\system32\dllcache里的TaskMgr.exe被更名或删除,而又在ServicePackFiles下找不到或并非SP1、SP2版本的XP,Windows文件保护会提示要求插入Windows安装光盘)。 那么根据上面提到的特性,只有从他机拷贝该任务管理器运行文件TaskMgr.exe到%SystemRoot%\system32或% SystemRoot%\ServicePackFiles\i386或%systemroot%\system32\dllcache这三个地方,因为 只要有其中一个地方存在正确的 TaskMgr.exe 文件,其它地方会被自动拷贝复件的。
2、权限方面的原因:
“组策略”法,请按照下面步骤进行组策略操作:
1、点击『开始』菜单
2、点击“运行”并键入"gpedit.msc"(不包括双引号)后确定
3、在“组策略”中依次展开
"本地计算机"策略/用户配置/管理模板/系统/Ctrl+Alt+Del 选项
4、在该列表中打开 删除“任务管理器” 的属性
5、在 删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项,确定。
注:该策略的效果为,“任务栏”上的右键菜单上的“任务管理器”呈不可点击状,而按下组合键Ctrl+Alt+Del之后会弹出题目为“任务管理器”的对话框,内容是“任务管理器已被系统管理员停用”。
上述策略须在管理员帐户下操作
上述方法因需用到“组策略”,故该法适用于:
·Microsoft Windows XP Professional
“注册表”法,请按照下面步骤进行注册表编辑操作:
1、点击『开始』
2、点击“运行”并键入"regedit"(不包括双引号)后确定
3、在“注册表编辑器”中依次展开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
在该注册表项下建立名为 System 的项(如在Policies分支下已有System项,则无须此步骤)
在 System 项下建立名为 DisableTaskMgr 的“字串符值”或者“DWORD值”
键值为1则禁止任务管理器,键值为0则不禁止。
注:该注册表键值的修改效果同上述“组策略”法。
Windows XP均带有注册表编辑器,故该“注册表”法适用于:
·Microsoft Windows XP Home
·Microsoft Windows XP Professional
·Microsoft Windows XP Media Center Edtion 2005
无法访问计算机XXXX。错误是:库没有注册
在“计算机管理”中的“本地用户和组”无法打开,并反馈“无法访问计算机××××,错误是:库没有注册”,见图:
这个问题得到高手“翼手龙”的解答:将下面内容粘贴至记事本中保存为.reg文件后导入即可
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}]
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0]
@="Active DS Type Library"
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0\0]
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0\0\win32]
@="%windir%\\system32\\activeds.tlb"
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0\FLAGS]
@="0"
[HKEY_CLASSES_ROOT\TypeLib\{97d25db0-0363-11cf-abc4-02608c9e7553}\1.0\HELPDIR]
@="%windir%\\system32"
Copy&Right By 翼手龙
为了方便修复,现提供该注册表文件下载,直接下载到本地上运行导入即可:
http://help-online.org/download/Tools/Fixlusrmgr.reg
How to:隐藏任意显示在“我的电脑”中的盘符
Q:
如何隐藏I盘,在组策略里设置不了?
A:
这只有说明该组策略对于隐藏任意盘符方面的策略不够灵活了。可以通过下面方法来实现你的要求:
1、“注册表”法:
a、点击『开始』菜单中的“运行”
b、在“运行”中键入"regedit"(不包括双引号)并确定
c、在“注册表编辑器”中依次展开注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
在该注册表项下新建名为 Explorer 的项(如果已有此项则可免此步骤)
d、在 Explorer 注册表项下新建名为 NoDrives 的二进制值(类型:REG_BINARY)
e、根据所需隐藏盘符来定义其二进制值键值,定义完毕后注销或重启即可生效。
定义详解:
| 对应盘符字母 | A | B | C | D | E | F | G | H | I | J | K | L | M | …… |
| 定义值数字(十进制) | 1 | 2 | 4 | 8 | 10 | 20 | 40 | 80 | 100 | 200 | 400 | 800 | 1000 | …… |
上表为对应盘符字母的对应数字列表,很容易地,能看出其中的规律,就1,2,4,8这四个数字一周期增长10倍的循环直到最后一位字母对应的数字。
以 你需要隐藏的 I 盘为例,可见 I 盘符对应的数字为 100 ,那么就应该将该注册表键值 NoDrives 定义为 100 ,但是这是一个二进制值的键值,其表达方式为二进位,和十进制的表达方式略有区别。十进制是从右向左的个十百递进,而这个二进位是从左向右的个十百递进, 并且这个二进位值以每两个字节为一组的分组方式表达的。那么你的例子的十进制数字是 100 ,则需要在该 NoDrives 键值定义为 00 01 00 00 。
注:
①如果欲隐藏单个盘符,按照上表规律中的数字来定义;那如果欲隐藏的不只一个盘符,怎 么办呢?其实只要将欲隐藏的多个盘符字母对应的多个定义值加起来即可。如,欲隐藏A,C,E这三个盘符,其对应定义值数字分别为1,4,10。将这三个数 字加起来得 15 ,那么就是将该 NoDrives 键值定义为 15 00 00 00 。
②定义完该键值后不能立即生效,需要注销或重启。 但其实可以立即生效的办法是:按下组合键“Ctrl+Alt+Del”呼出“任务管理器”,在其“进程” 选项卡下的进程列表中将 explorer.exe 进程关闭,然后在其“文件”菜单下的菜单项“新建任务(运行...)”中键入 "explorer"(不包括双引号)确定之后即可生效。
③隐藏盘符只有隐藏确实可以显示的盘符,包括虚拟光驱等虚拟设备所占用的盘符才有所谓的意义;隐藏那些并未启用的盘符并无意义。
2、类“TweakUI”的注册表工具修改法:
运行TweakUI之后展开其导航树状目录到 My Computer\Drives ,去掉右边欲隐藏的盘符复选项的勾即可。见图:
注:在完成对欲隐藏的盘符复选项的操作之后按下Apply或OK即可立即生效。
类似TweakUI的不少注册表工具均带有此隐藏盘符功能,如“超级兔子魔法设置”,可根据自己的喜好来选择。
关于TweakUI的下载,请参见:
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
上述两个方法均只能达到隐藏显示盘符的效果而已,并无法阻止用户对其访问,如在“地址栏”中直接输入被隐藏的盘符路径即可进入。
How to:延长“气泡通知”的显示时间
A:通过注册表的修改能满足你的要求
请按照下面步骤进行操作:
1、点击『开始』菜单中的“运行”
2、在“运行”中键入"regedit"(不包括双引号)并确定
3、在“注册表编辑器”中依次展开注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify
并在右侧新建名为 BalloonTip 的DWORD值,其键值定义为以秒为单位的显示时间长度。
注:如果需要显示为10秒,那么则定义该键值为十进制的 10 即可。
更多信息:
1、编辑注册表有风险,可能会造成需要重装操作系统的故障,故而建议用户操作注册表编辑器之前进行备份工作,编辑注册表的风险需要用户自行承担。
2、安装设备时候的“气泡通知”是动态的,这个是会变化的。上述的操作是不能将这个变化之间的时间也更改了的。
3、像是问题中提到的“拨号连接”后的在通知区域中的两个小电脑连接样式的图标所显示出的气泡通知。如果在连接完毕之后不进行任何操作(包括对键盘和鼠标的操作),那么这个气泡通知一般会持续显示着,直到你关闭气泡通知上的“×”或激活其它程序窗口等的操作。
How to:隐藏显示在欢迎屏幕的帐户
我在我的WinXP Pro上一个Power帐户以及两个User帐户,并启用内置的Administrator帐户,现在我想让几个帐户隐藏起来不在欢迎屏幕中显示,怎么办?
A:
可以通过注册表实现此目的
请按照下面步骤进行操作:
1、点击『开始』菜单
2、点击“运行”,并键入"regedit"(不包括双引号)后确定
3、展开注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
在该注册表项下有对应帐户注册表键值名,想隐藏哪一个帐户,就将其键值更改为
0即可。
当你想以已被隐藏的帐户登录时,只要在“欢迎页”中按下组合键“Ctrl+Alt+Del”两遍即
有经典登录界面,你可以输入帐户名及密码来登录。
更多信息:
1、编辑注册表有风险,可能会造成需要重装操作系统的故障,故而建议用户操作注册表编辑器之前进行备份工作,编辑注册表的风险需要用户自行承担。
2、在登录了一个用户之后,若需要登录其它用户(已被隐藏,在欢迎屏幕中不可见),必须注销后才可登录。在使用注销中的“切换用户”之后退出到“欢迎屏幕”跟前前,这时无论如何按下组合键“Ctrl+Alt+Del”都不会弹出经典Logon登录界面。
3、 在有另外一个Admin帐户启用之后,Administrator这个系统内置帐户会自动从欢迎页中“离开”(实质上就是自行隐藏了)。Tweak UI中有可以将该Administrator 帐户显示在“欢迎屏幕”的选项,实际上直接就对应着上述注册表项中的名为 Administrator 注册表键值。
编者 注:笔者当时仅只想出如何灵活式隐藏用户想隐藏的帐户不出现在欢迎页中,并未想出此种情况的衍生问题:使用“切换用户”之后退出到欢迎页式无法启用经典 Logon界面的,除非注销。这是一位微软中文新闻组上的朋友的反馈。看来鱼与熊掌不可兼得,请用户酌情使用。由于个人水平有限,不可避免此文存在错误, 请多多指教。
How to:禁止更改桌面背景
Q:
我有几台电脑,有的装的是 WindowsXP Pro,有的装的是WindowsXP Home。总是有人在我的电脑上下载图片后作为桌面背景,很是讨厌,如何禁止更改桌面背景呢?只想用我自己喜好的一张作为固定桌面背景。
A:
“组策略”法,请按照下面步骤进行组策略操作:
1、点击『开始』菜单
2、点击“运行”并键入"gpedit.msc"(不包括双引号)后确定
3、在“组策略”中依次展开
"本地计算机"策略/用户配置/管理模板/桌面/Active Desktop
4、在该列表中打开 "Active Desktop 墙纸"的属性
5、在"Active Desktop 墙纸属性"中的“设置”选项卡中点选“已启用”单选项,并在“墙纸名称”中键入所要设为墙纸背景的图片或Html文件的具体路径和文件名(路径可以是本地路径也可以是UNC路径)。墙纸样式根据你自己的需要来设置。
注: 在“组策略”中的 "本地计算机"策略/用户配置/管理模板/控制面板/显示 列表下的"阻止更改墙纸"策略,如果将此策略设为启用,能达到使 “显示属性”中的“桌面”选项卡下的“背景”和“位置”呈不可操作状,但此策略效果有局限,如果在“资源管理器”中任意一图片文件的右键上下文菜单中点 “设为桌面背景”仍旧能更改桌面背景,第三方工具亦可更改桌面背景。
上述策略在管理员帐户下操作,对所有用户均生效,即所有用户的桌面背景将设为一致的。
上述方法因需用到“组策略”,故该法适用于:
·Microsoft WindowsXP Professional
“注册表”法,请按照下面步骤进行注册表编辑操作:
1、点击『开始』
2、点击“运行”并键入"regedit"(不包括双引号)后确定
3、在“注册表编辑器”中依次展开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
在该注册表项下建立名为 System 的项(如在Policies分支下已有System项,则无须此步骤)
在 System 项下建立名为 Wallpaper 和 WallpaperStyle 的两个“字串符值”
对于字串符值定义的解释:
Wallpaper 有两个可以定义的值:
空 或 某图片具体路径位置及文件名(路径可以允许设为本地路径或 UNC 路径)
如 果 Wallpaper 字串符值为空,则桌面背景固定为添加该字串符值前所设的图片,且在“显示属性”中的“桌面”选项卡中的“背景”框中呈不可操作状。并且在“资源管理器”中 浏览图片时,右键.jpg、.bmp图片文件中的上下文菜单的“设为桌面背景”操作将无效。但是该法有一缺点,使用第三方工具如ACDSee依旧可以更改 桌面背景。
(注:此项比“组策略”法中的"阻止更改桌面"策略略强,能使得上下文菜单中的“设为桌面背景”无效)
如果 Wallpaper 字串符值设置为某图片或Html文件的路径及文件名(如F:\abc.jpg或F:\abc.html),那么桌面背景将强制更改为该值中所指定的图片文 件或Html文件(F:\abc.jpg或F:\abc.html),且在“显示属性”中的“桌面”选项卡中的“背景”框中仍然呈不可操作状,并且第三方 工具的桌面背景设置将无效。但是该法也有一缺点:桌面上的图标将消失“阴影”特效,很是难看。
WallpaperStyle 有三个可以定义的值:
0=居中
1=平铺
2=拉伸
当 WallpaperStyle 设置为上述三个值(数字)中的一个,那么将强制“显示属性”中的“桌面”选项卡中的“位置”下拉菜单为对应值效果,并同样呈不可操作状。
更多信息:
· 在上述的注册表项(System 项)中建立名为 NoDispBackgroundPage 的 DWORD 值,且定义键值为 1 (有效,相反设为0为无效),则“显示属性”中将没有“桌面”选项卡。(此项对应“组策略”中的 "本地计算机"策略/用户配置/管理模板/控制面板/显示 中的 隐藏“桌面”选项卡 策略)
·在下面注册表项中新建名为 ActiveDesktop 的项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
并 在 ActiveDesktop 项中建立名为 NoChangingWallPaper 的DWORD值,定义键值为1(有效,相反设为0为无效),则“显示属性”中的“桌面”选项卡下的“背景”、“浏览”和“位置”下拉菜单呈不可操作状(此 键值对应“组策略”的 "本地计算机"策略/用户配置/管理模板/控制面板/显示 列表下的"阻止更改墙纸"策略)。图片文件的上下文菜单中的“设为桌面背景”和第三方工具均可更改桌面背景。
使用管理员帐户对注册表编辑上述相关键值,对所有用户均生效,即所有用户的桌面背景将设为一致的。
由于注册表具有的可自定义性,因此相对“组策略”较灵活。
WindowsXP均带有注册表编辑器,故该“注册表”法适用于:
·Microsoft WindowsXP Home
·Microsoft WindowsXP Professional
·Microsoft WindowsXP Media Center Edtion 2005
请根据你自己的需要和上述的“组策略”法以及对于注册表相应键值的解释来进行具体操作。
注:修改注册表有风险,可能会导致重装系统,操作注册表之前请先备份,使用注册表编辑器需要你自行承担风险!
