转 computer

<IMG diary5963606')).style.display=='none') {(document.getElementById('diary5963606')).style.display='block'; this.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5963606')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> Windows杀进程的方法

　　Windows XP/2000的任务管理器是一个非常有用的工具，能让你看到系统中正在运行哪些程序(进程)，只要你平时多看任务管理器中的进程列表，熟悉系统的基本进程，就可以随时发现可疑进程，这对防范木马和病毒大有裨益！不过有一些可疑进程，你用任务管理器却无法杀掉，这该怎么办呢？

　　一、哪些系统进程不能关掉

　　Windows运行的时候，会启动多个进程。只要你按下“Ctrl+Alt+Del”键打开任务管理器，点击“查看”/选择列，勾选“PIO(进程标识符)”，然后单击“进程”标签，即可看到这些进程。不过有一些进程个人用户根本用不到，例如Systray.exe(显示系统托盘小喇叭图标)、Ctfmon.exe(微软Office输入法)、Winampa.exe等，我们完全可以禁止它们，这样做并不会影响系统的正常运行。

　　二、如何关闭任务管理器杀不了的进程

　　如果你在任务管理器中无法关闭某个可疑进程，可以使用下面的方法强行关闭，注意不要杀掉进程表中的系统核心进程：

　　1．使用Windows XP/2000自带的工具

　　从Windows 2000开始，Windows系统就自带了一个用户态调试工具Ntsd，它能够杀掉大部分进程，因为被调试器附着的进程会随调试器一起退出，所以只要你在命令行下使用Ntsd调出某进程，然后退出Ntsd即可终止该进程，而且使用Ntsd会自动获得Debug权限，因此Ntsd能杀掉大部分的进程。

　　操作方法：单击“开始”/程序/附件/命令提示符，输入命令：ntsd -c q -p PID(把最后那个PID，改成你要终止的进程的PID)。在进程列表中你可以查到某个进程的PID，例如我们要关闭图1中的Explorer.exe进程，输入：ntsd -c q -p 408即可。

　　以上参数-p表示后面跟随的是进程PID， -c q表示执行退出Ntsd的调试命令，从命令行把以上参数传递过去就行了。

　　2． 使用专门的软件来杀进程

　　任务管理器杀不掉的进程，你可以使用专门的软件关闭。有很多软件可以杀进程，下面是一个VB编写的杀进程的例子代码，供参考。

Dim objWMIService As Object
Dim colProcesslist As Object
Dim objProcess As Object
Set objWMIService = CreateObject("winmgmts:{impersonationLevel=Impersonate}!root\cimv2")
Set colProcesslist = objWMIService.ExecQuery("select * from win32_process where ")
For Each objProcess In colProcesslist
    objProcess.Terminate
Next

- 作者： <A http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')" href=";">沉路 2006年12月17日, 星期日 07:54　 回复（0） |　 引用（0） 加入博采

<IMG diary5735035')).style.display=='none') {(document.getElementById('diary5735035')).style.display='block'; this.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5735035')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> 黑客入门必须掌握8个DOS命令

一，ping

　　它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧，在DOS窗口中键入:ping /? 回车，。所示的帮助画面。在此，我们只掌握一些基本的很有用的参数就可以了(下同)。

　　-t 表示将不间断向目标IP发数据包，直到我们强迫其停止。试想，如果你使用100M的宽带接入，而目标IP是56K的小猫，那么要不了多久，目标IP就因为承受不了这么多的数据而掉线，呵呵，一次攻击就这么简单的实现了。

　　-l 定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用，会有更好的效果哦。

　　-n 定义向目标IP发送数据包的次数，默认为3次。如果网络速度比较慢，3次对我们来说也浪费了不少时间，因为现在我们的目的仅仅是判断目标IP是否存在，那么就定义为一次吧。

　　说明一下，如果-t 参数和 -n参数一起使用，ping命令就以放在后面的参数为标准，比如“ping IP -t -n 3”，虽然使用了-t参数，但并不是一直ping下去，而是只ping 3次。另外，ping命令不一定非得ping IP，也可以直接ping主机域名，这样就可以得到主机的IP。

　　下面我们举个例子来说明一下具体用法。

　　这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒，从这里可以判断网络连接速度的大小 。从TTL的返回值可以初步判断被ping主机的操作系统，之所以说“初步判断”是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。

　　(小知识:如果TTL=128，则表示目标主机可能是Win2000;如果TTL=250，则目标主机可能是Unix)

　　至于利用ping命令可以快速查找局域网故障，可以快速搜索最快的QQ服务器，可以对别人进行ping攻击……这些就靠大家自己发挥了。

　　二，nbtstat

　　该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接，使用这个命令你可以得到远程主机的NETBIOS信息，比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。

　　-a 使用这个参数，只要你知道了远程主机的机器名称，就可以得到它的NETBIOS信息(下同)。

　　-A 这个参数也可以得到远程主机的NETBIOS信息，但需要你知道它的IP。

　　-n 列出本地机器的NETBIOS信息。

　　当得到了对方的IP或者机器名的时候，就可以使用nbtstat命令来进一步得到对方的信息了，这又增加了我们入侵的保险系数。

　　三，netstat

　　这是一个用来查看网络状态的命令，操作简便功能强大。

　　-a 查看本地机器的所有开放端口，可以有效发现和预防木马，可以知道机器所开的服务等信息，如图4。

　　这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。

　　-r 列出当前的路由信息，告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。

　　四，tracert

　　跟踪路由信息，使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径，这对我们了解网络布局和结构很有帮助。如图5。

　　这里说明数据从本地机器传输到192.168.0.1的机器上，中间没有经过任何中转，说明这两台机器是在同一段局域网内。用法:tracert IP。

　　五，net

　　这个命令是网络命令中最重要的一个，必须透彻掌握它的每一个子命令的用法，因为它的功能实在是太强大了，这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令，键入net /?回车如图6。

　　在这里，我们重点掌握几个入侵常用的子命令。

　　net view

　　使用此命令查看远程主机的所以共享资源。命令格式为net view \\IP。

　　net use

　　把远程主机的某个共享资源影射为本地盘符，图形界面方便使用，呵呵。命令格式为net use x: \\IP\sharename。上面一个表示把192.168.0.5IP的共享名为magic的目录影射为本地的Z盘。下面表示和192.168.0.7建立IPC$连接(net use $">\\IP\IPC$ "password" /user:"name")，

　　建立了IPC$连接后，呵呵，就可以上传文件了:copy nc.exe $">\\192.168.0.7\admin$，表示把本地目录下的nc.exe传到远程主机，结合后面要介绍到的其他DOS命令就可以实现入侵了。

　　net start

　　使用它来启动远程主机上的服务。当你和远程主机建立连接后，如果发现它的什么服务没有启动，而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername，如图9，成功启动了telnet服务。

　　net stop

　　入侵后发现远程主机的某个服务碍手碍脚，怎么办?利用这个命令停掉就ok了，用法和net start同。 net user

　　查看和帐户有关的情况，包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的，最重要的，它为我们克隆帐户提供了前提。键入不带参数的net user，可以查看所有用户，包括已经禁用的。下面分别讲解。

　　1，net user abcd 1234 /add，新建一个用户名为abcd，密码为1234的帐户，默认为user组成员。

　　2，net user abcd /del，将用户名为abcd的用户删除。

　　3，net user abcd /active:no，将用户名为abcd的用户禁用。

　　4，net user abcd /active:yes，激活用户名为abcd的用户。

　　5，net user abcd，查看用户名为abcd的用户的情况

　　net localgroup

　　查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中，我们一般利用它来把某个帐户提升为administrator组帐户，这样我们利用这个帐户就可以控制整个远程主机了。用法:net localgroup groupname username /add。

　　现在我们把刚才新建的用户abcd加到administrator组里去了，这时候abcd用户已经是超级管理员了，呵呵，你可以再使用net user abcd来查看他的状态，和图10进行比较就可以看出来。但这样太明显了，网管一看用户情况就能漏出破绽，所以这种方法只能对付菜鸟网管，但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员，这是后话。

　　net time

　　这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面，那么也许就用不到这个命令了。但简单的入侵成功了，难道只是看看吗?我们需要进一步渗透。这就连远程主机当前的时间都需要知道，因为利用时间和其他手段(后面会讲到)可以实现某个命令和程序的定时启动，为我们进一步入侵打好基础。用法:net time \\IP。

　　六，at

　　这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间，就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command \\computer。

　　表示在6点55分时，让名称为a-01的计算机开启telnet服务(这里net start telnet即为开启telnet服务的命令)。

　　七，ftp

　　大家对这个命令应该比较熟悉了吧?网络上开放的ftp的主机很多，其中很大一部分是匿名的，也就是说任何人都可以登陆上去。现在如果你扫到了一台开放ftp服务的主机(一般都是开了21端口的机器)，如果你还不会使用ftp的命令怎么办?下面就给出基本的ftp命令使用方法。

　　首先在命令行键入ftp回车，出现ftp的提示符，这时候可以键入“help”来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。

　　大家可能看到了，这么多命令该怎么用?其实也用不到那么多，掌握几个基本的就够了。

　　首先是登陆过程，这就要用到open了，直接在ftp的提示符下输入“open 主机IP ftp端口”回车即可，一般端口默认都是21，可以不写。接着就是输入合法的用户名和密码进行登陆了，这里以匿名ftp为例介绍。

　　用户名和密码都是ftp，密码是不显示的。当提示kafeiba.com* logged in时，就说明登陆成功。这里因为是匿名登陆，所以用户显示为Anonymous。

　　接下来就要介绍具体命令的使用方法了。

　　dir 跟DOS命令一样，用于查看服务器的文件，直接敲上dir回车，就可以看到此ftp服务器上的文件。

　　cd 进入某个文件夹。

　　get 下载文件到本地机器。

　　put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了，如果可以，呵呵，该怎么 利用就不多说了，大家就自由发挥去吧。

　　delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。

　　bye 退出当前连接。

　　quit 同上。

　　八，telnet

　　功能强大的远程登陆命令，几乎所有的入侵者都喜欢用它，屡试不爽。为什么?它操作简单，如同使用自己的机器一样，只要你熟悉DOS命令，在成功以administrator身份连接了远程机器后，就可以用它来干想干的一切了。下面介绍一下使用方法，首先键入telnet回车，再键入help查看其帮助信息。 然后在提示符下键入open IP回车，这时就出现了登陆窗口，让你输入合法的用户名和密码，这里输入任何密码都是不显示的。

　　当输入用户名和密码都正确后就成功建立了telnet连接，这时候你就在远程主机上具有了和此用户一样的权限，利用DOS命令就可以实现你想干的事情了。这里我使用的超级管理员权限登陆的。

　　到这里为止，网络DOS命令的介绍就告一段落了，这里介绍的目的只是给菜鸟网管一个印象，让其知道熟悉和掌握网络DOS命令的重要性。其实和网络有关的DOS命令还远不止这些，这里只是抛砖引玉，希望能对广大菜鸟网管有所帮助。学好DOS对当好网管有很大的帮助，特别的熟练掌握了一些网络的DOS命令。

　　另外大家应该清楚，任何人要想进入系统，必须得有一个合法的用户名和密码(输入法漏洞差不多绝迹了吧)，哪怕你拿到帐户的只有一个很小的权限，你也可以利用它来达到最后的目的。所以坚决消灭空口令，给自己的帐户加上一个强壮的密码，是最好的防御弱口令入侵的方法。

　　培养良好的安全意识才是最重要的。

- 作者： <AHREF=";" http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')">沉路 2006年10月8日, 星期日 17:54　 回复（2） |　 引用（0） 加入博采

<IMG diary5565561')).style.display=='none') {(document.getElementById('diary5565561')).style.display='block'; this.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5565561')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> 辨别亦真亦假的Svchost.exe(转)

本文主要包括以下内容：

　　1、了解Svchost.exe的功能
　　2、判断真假Svchost.exe进程
　　3、清除伪装成Svchost.exe的病毒、木马

　　Svchost.exe、lsass.exe、wdfmgr.exe，打开进程列表后你会发现一大堆不知用途的进程，究竟是系统进程还是木马病毒？如果打开系统文件夹，一大堆奇奇怪怪名称的文件，更是会把你弄得晕头转向。很多朋友因此而始终抱有一种未知的恐惧，认为木马、黑客无处不在，即使是高手，也不能把这些陌生的系统文件说个明明白白。为消除大家的疑惑，从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。两位主人公，现在就来认识一下。

　　主人公介绍

　　小菜：刚接触电脑不久的菜鸟，但对电脑知识有着非常浓厚的学习兴趣，常说的一句话是“菜鸟先飞”。

　　大嘴:乐于助人的老鸟，经常被别人冠以“大嘴高手”称号，不过这并不是指他嘴特别大，而是一谈到电脑知识就滔滔不绝。

　　一、紧急状况:系统发现严重病毒

　　小菜刚刚学习了进程的概念和知识，于是就打开“任务管理器”观察系统中的进程，这一看不要紧，还真发现了一个“病毒”Svchost.exe，这家伙在系统进程列表中竟然有5个之多(见图1)，于是小菜就逐个结束这些进程，没想到第二个进程结束后还会再生，而结束第四个进程时更离谱，系统提示“系统即将关机，离关机还有60秒”，进程再生、错误提示，这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑，但无法结束进程，又该怎么清除病毒呢？小菜只好请来了大嘴。

大嘴过来后还没看电脑，就先告诉小菜，系统中的Svchost.exe进程是正常系统进程，不是病毒，不仅仅是你，其他朋友一看到系统中这么多的Svchost.exe进程，第一反应也感觉它是病毒，虽然系统中有多个Svchost.exe进程是正常的，但也不保证都是正常的。听起来似乎有些矛盾？这让小菜更有些迷糊，大嘴坐下后给小菜详细讲了起来。

　　二、松了口气:Svchost.exe是台“CD机”

　　1.服务装在“CD机”里

　　Svchost.exe是NT内核操作系统(Windows 2000/XP/2003都属于NT内核操作系统)独有的进程，“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称，通俗讲，它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD，而Svchost.exe就是用来播放这种CD的CD机。

　　2.为什么用“CD机”装服务

　　由于Windows 2000/XP系统服务越来越多，以EXE单独进程的形式启动所有服务会大大增加系统负担，为节省系统资源，微软将一些系统服务以动态链接库(DLL)形式实现，而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而制作一台专用播放此CD的CD机，微软也一样。

　　3.系统里有几台这样的“CD机”

　　那为什么系统进程列表中的Svchost.exe会有多个呢？微软为了让系统能更好地进行服务控制，就允许多个Svchost.exe进程同时运行，每个Svchost.exe进程可以包含一组服务，想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主键，在窗口右侧可以看到许多键值，这里的每个键值都代表一组服务，键值数据则包含了该组服务下面运行的服务名称列表，每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2)，其中imgsvc、NetworkService、rpcss、termsvcs四个组，它们都只有一个服务运行，这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务，它们的Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”，从图1中可以看到这种区别。

当然了，这六组服务通常并不都是启动状态的，根据系统启动的服务不同，反映在系统进程列表中的Svchost.exe进程数量也是不同的，Windows XP会有四个到六个Svchost.exe进程，而Windows 2000通常则会有两个Svchost.exe进程。

　　小提示：点击“开始→运行”，在运行框中输入“CMD”回车，然后在打开的命令行窗口中输入“Tasklist /svc”(不含引号)命令，可以更直观地看到每个Svchost.exe进程装载的服务名称列表
4.获取每张“CD”的详细信息

　　如果想更进一步了解Svchost.exe装载的这些服务都是什么功能，可以记下键值数据中的服务名称，例如“RpcSs”，接着打开注册表的[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]，再打开下面的“RpcSs”子键，在右边的“Description”键值中就可以看到该服务的描述，而在“ImagePath”键值数据中则可以看到这个服务的运行命令正是“%SystemRoot%\system32\svchost -k rpcss”(见图4)。而在“RpcSs”子键下还有一个“Parameters”(参数)子键，其右边的“ServiceDll”键值数据“%SystemRoot%\system32\rpcss.dll”则表明了RpcSs服务启动时调用的是系统目录下的“Rpcss.dll”文件，这就好像你原来只知道CD中歌曲的歌名，现在又让你能够查到这首歌的演唱者。

如果觉得通过注册表查询服务名称了解其属性不太方便，也可以使用“全能助手用Windows服务管理专家”(以下简称“服务管理专家”)来查询，运行软件后单击“All Win32 Services”分支，在右侧服务列表中根据服务名称索引即可快速找到要查询的服务，单击服务名称，即可看到该服务的启动命令以及调用的DLL文件等相关信息(见图5)。同时软件还专门设计了Svchost Group分支，可以快速查询LocalService和netsvcs组中的服务详细信息。
三、危机仍在:小心病毒的骗局

　　由于Svchost.exe进程的特殊性，它隐藏了真正运行的程序的名称，在表面看到的只是Svchost.exe进程，这个特性同时也让许多病毒、木马有空可钻，企图以此迷惑用户。那么如何判断系统中的多个Svchost.exe进程是否正常呢？下面针对这类病毒常用的几种欺骗手法来进行分析。

　　骗局1:利用假冒Svchost.exe名称的病毒程序

　　火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程，而是启动了另外一个名称同样是Svchost.exe的病毒进程，由于这个假冒的病毒进程并没有加载系统服务，它和真正的Svchost.exe进程是不同的，只需在命令行窗口中运行一下“Tasklist /svc”，如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6)，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索Svchost.exe文件，也可以用第三方进程工具直接查看该进程的路径，正常的Svchost.exe文件是位于%systemroot%\System32目录中的，而假冒的Svchost.exe病毒或木马文件则会在其他目录，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中，将其删除，并彻底清除病毒的其他数据即可。

骗局2:一些高级病毒则采用类似系统服务启动的方式，通过真正的Svchost.exe进程加载病毒程序，而Svchost.exe是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下方法进行加载：

添加一个新的服务组，在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性，修改其“ServiceDll”键值指向病毒程序
　　判断方法:病毒程序要通过真正的Svchost.exe进程加载，就必须要修改相关的注册表数据，可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析，还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。例如这个名为PortLess BackDoor的木马程序，在服务列表中可以看到它的服务描述为“Intranet Services”，而它的文件版本、公司、描述信息更全部为空(见图7)，如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马，知道了其原理，清除方法也很简单了：先用服务管理专家停止该服务的运行，然后运行regedit.exe打开“注册表编辑器”，删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键，重新启动计算机，再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”，通过按时间排序，又发现了时间完全相同的木马安装程序“PortlessInst.exe”，一并删除即可。

- 作者： <A http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')" href=";">沉路 2006年08月23日, 星期三 11:29　 回复（0） |　 引用（0） 加入博采

<IMG diary5565369')).style.display=='none') {(document.getElementById('diary5565369')).style.display='block'; this.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5565369')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> 给你纠纠错!查杀电脑病毒的错误认识(转）

　　网络生活中，计算机病毒给我们带来了具大的威胁，如何防范病毒是我们非常关心的一个话题。其实电脑病毒的防范并不是简单的几个字，在认识上我们有些人就存在很大的错误，下面我们就一起来看看我们面对计算机病毒时的一些错误认识。

　　1、对染毒软盘DIR操作会导致硬盘被感染（错）

　　如果计算机的内存没有病毒，那么只有在执行了带有病毒的程序（文件）后，才会感染计算机而DIR命令是DOS的内部命令，不需要执行任何外部的程序（文件），因此对染毒软盘进行DIR操作不会感染病毒。

　　不过需要注意的是，如果计算机内存已有病毒（或者说计算机已染毒），如果对没有染毒的软盘进行DIR操作，另一种更常见的情况是用户一般并不注意“查毒”与“杀毒”的区别，使用某种杀毒软件时，首选“杀毒”操作。于是，当它用这种杀毒软件将系统“杀毒”了一次以后，用其他杀毒软件，就再也找不到病毒了，那就认定这个软件是最好的。

　　目前还没有一个杀毒软件能囊括所有病毒而杀之，这是谁也做不到的。由于各种病毒标本的来源不同，再加上程序编制者的实力有别，总存在一种软件能查杀的病毒，别的软件却不能查杀。或者由于一些程序BUG(程序错误)，使某些软件本来可以查杀的病毒，在它的一些版本中却不能查杀或误查误杀了。所以一般不建议用户革一的选择一种杀毒软件。

　　在选择杀毒软件时，请首先抛开您所有关于“好”与“不好”的成见，也拒绝广告词上的种种诱惑，认真地去了解一下杀病毒软件厂商在技术实力、服务质量、软件性能等方面的东西。特别应该了解软件厂商在升级、退货、损坏更换等方面的措施和承诺的可信度。同时，您应该请厂商直接阐述一下他们在广告的各种术语的具体含义，要知道，这是您作为消费者的合法权益。

　　现在的反病毒软件市场就像“战国时代”，各家都说各家好。但消费者感到不放心，到底用谁的软件好?只用一个好还是用几个好?世上没有“万灵丹”，一个软件再好，也不是所有的病毒都能杀，不能“包治百病”。各软件厂家获取病毒样本的时间不同，因此，在每一个时间段，各软件厂家都是各有侧重，只有一个不保险。除了“万能的主”之外，这个世界上恐怕再也找不到万能的东西了。为防止“重复建设”，专家认为，选购两个优势互补的反病毒软件即可，这是提高“安全系数”的最佳方法。千万别把好几个反病毒软件都在同一台计算机上安装，大多了没必要，而且有可能出现相互之间抢占资源、判断失误、死机等问题。



11、发现CMOS中有病毒（错）

　　CMOS是微机中的一种特殊存储器，记录了微机的硬件设置参数及系统日期时间。开机密码等重要数据。由于CMOS设置十分重要，所以可能成为计算机病毒破坏攻击的目标。目前确实已发现了改写CMOS的“CMOS设置破坏者”病毒，但在CMOS中并不存在病毒。

　　有时，机器发生问题，问题出在CMOS设置上，有人认为，这是躲藏在CMOS里面的病毒!因而误认为杀毒软件不行，采取对CMOS存储器又是放电、又是短路的措施，重新设置CMOS参数后，机器恢复了正常，从此确信CMOS中有病毒。这种行为及其危险，很容易将主板搞坏。我们说“CMOS设置破坏者病毒，不等于CMOS中有病毒!病毒不能将自身自动传染到CMOS里面而存留和被激活!”，“病毒可以将CMOS设置改变或加密，但用户也可以重新设置和恢复。”

　　某些情况下，如CMOS电源不足、外界电源冲击性波动、软件崩溃、硬件不稳定、操作上的失误、病毒改写等都会导致CMOS 设置紊乱，也可以说，是紊乱性加密，因而，造成机器不能引导或不能正常工作。这时，一般情况下可以重新对CMOS设置和用专用软件来清理紊乱性密码，然后再设置正确参数。

　　CMOS中不会有病毒寄生，因为:

　　(1)CMOS是通过I/O读写与CPU交换数据的， CPU的物理机能决定了只能读写CMOS的数据，不能把CMOS中的数据当作指令代码来执行。而病毒想要工作的话就一定要执行其程序码，但CMOS只是用来存放数据的，在CMOS中的数据不是可执行的，所以并没有CMO5病毒，只有会破坏CMOS数据的病毒。

　　(2)如果把一段病毒程序写入CMOS,则必然破坏微机的硬件设置以至于微机根本不能运行，存储在CMOS中的“病毒程序”将毫无作用，病毒不能在CMOS中蔓延或藏身于其中。

　　(3)CMOS的有效存储容量只有128个字节，不足以容纳病毒。可见CMOS不具备病毒寄生和被激活的条件，不可能有病毒存在。



12、发现Cache中有病毒（错）

　　与CMOS中没有病毒一样，Cache中也是根本不可能存在病毒的。

　　我们知道，程序执行时，数据流是这样被传送的:

　　外存（软/硬盘）

　　网络=>内存(RAM)=>Cache->CPU

　　Cache物理器件上是一块高速缓存芯片，它被设置在RAM与CPU之间，是RAM到CPU的一条必由通道。由于CPU的运算速度越来越快，而计算机的内存(RAM)的速度总是显得跟不上CPU。“为了缓解CPU与RAM之间的速度矛盾，一般采用在它们之间加入一块高速缓存芯片Cache，使同一时间下 RAM为CPU准备的代码不再是单一的指令/数据，而是一长段指令序列或可访问数据块。

　　可见Cache中存放的是非静态数据（计算机用语中的“数据”包括“程序代码”）， 它总是随程序的执行在不断刷新，被RAM中的数据不断更换。它的内容总是RAM中数据的某一部分的备份。

　　如果RAM中有了 病毒，其病毒代码将经由Cache送到CPU，由CPU解码执行。病毒代码“流经” Cache这一现象并不能称为“有Cache病毒”，就好像我们不能因为病毒代码在CPU中执行就认为有CPU病毒一样。事实上，从PC机的组成原理来看，所有病毒都必须经由Cache进入CPU，因为所有正常或非正常数据都是这样进入CPU中解码执行的。

　　此外，Cache中不可能有病毒的重要原因之一也在于Cache不能被软件编址，无法人为控制。

　　和CMOS不一样的是，Cache并没有专用电源供电。因而Cache中的数据将在关机后自动清除，在开机时自动刷新。这样的环境中的“病毒”是既无法存储又无法复制的。可见，Cache并不是病毒的安乐窝， 没有人会考虑在这样的环境中置放病毒。




　13、病毒不感染数据文件（错）

　　通常是这样。因为病毒是一段程序，而数据文件一般不包含程序，当然就不会感染病毒.TXT、.PCX等文件因为肯定不包含程序，所以可能不会感染病毒。不过有些病毒会破坏各种文件，所以备份数据文件还是非常必要的。作为例外的是，若数据文件包含了可执行码，那么它就能够被病毒感染了。关于这方面的一个好的例子Microsoft Word文件（.DOC和.DOT）。虽然word文件是技术上的数据文件，但Word中可以包含一段程序，因此它们能够容纳病毒，并因为是可执行文件，故而是容易受病毒感染的。目前大部分的病毒感染报告都是来源于宏病毒。

　　14、安装有实时杀毒功能的防火墙，就万事大吉了（错）

　　有很多用户持一种错误的观念，以为只要买了杀毒软件，特别是只要安装了有实时杀毒功能的防火墙，就能挡住所有病毒，万事大吉了—这是大错而特错的。从 1999年4月26日CIH病毒大发作的情况来看，安装了病毒防火墙且于1998年9月以后至少升级过一次的，都没有受到CIH病毒的攻击，而那些虽然安装且运行病毒防火墙，却太久没有升级的用户，有相当大的比例不幸成为CIH病毒的牺牲品。究其原因，完全是没有及时升级，使原有的杀毒软件无法具备防范查杀、阻击CIH病毒的能力。因此，我们要再一次特别郑重地提醒用户，不管您使用的是什么样的杀毒软件，它的生命力在于及时地不停升级，否则，当一个全新的病毒袭来的时候，旧版本的杀毒软件将会形同虚设。请用户一定要随时关注反病毒厂家关于新病毒的流行通报，及时升级，以免造成不必要的损失。

- 作者： <A http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')" href=";">沉路 2006年08月23日, 星期三 10:37　 回复（0） |　 引用（0） 加入博采

<IMG diary5565342')).style.display=='none') {(document.getElementById('diary5565342')).style.display='block'; this.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5565342')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> 最基本的计算机安全 你做了吗?（转）

下面把我的一些經驗拿出來與大家分享！不足之処請大家指教！

察看本地共享资源
　　删除共享
　　删除ipc$空连接
　　账号密码的安全原则
　　关闭自己的139端口
　　445端口的关闭
　　3389的关闭
　　4899的防范
　　禁用服务
　　本地策略
　　本地安全策略
　　用户权限分配策略
　　工具介绍
　　避免被恶意代码 木马等病毒攻击
　　常用安全防护软件下载

1.察看本地共享资源  


　　点击“开始菜单”－“运行”－输入“CMD”回车，输入“net share”，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）  

　　使用Windows 2000/XP的用户都会碰到一个问题，那就是默认的管理共享。虽然用户并没有设置共享，但每个盘符都被Windows自动设置了共享，其共享名为盘符后面加一个符号＄。一般来说，除了每个硬盘都被共享外，还存在Admin、IPC这两个共享（分别为远程管理共享与远程网络连接）。这样，局域网内同一工作组内的计算机，只要知道被访问主机的管理员密码，就可以通过在浏览器的地址栏中输入“计算机名盘符＄”来访问你的文件。这些共享默认设置本来是方便用户的，但是却让黑客利用了它，窃取您电脑里的宝贵资料。我们可以利用命令提示符来删除默认的共享。点击“开始菜单”－“运行”－输入“CMD”回车，再输入命令：

　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete（如果有e，f，……等磁盘，可以继续删除）

　　即使是这样删除之后，下一次你重新开机，共享还是会再次出现，我们总不能每次开机都删除共享吧？所以这不是彻底解决的办法。

　　彻底的解决办法是通过修改注册表。在“运行”内输入“regedit”，打开注册表编辑器

　 　(A)：禁止C$ D$等共享

　　展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\services\Tcpip\Paramers]分支新建一个名为EnablelCMPRedirects的键值项将其设置为0，（0是不响应）。

　　(B)：禁止ADMIN$共享

　　展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Services\LanmanServer\Parameters]分支，新建名为AutoShareWks的键值，将其设置为0的键值项，将其设置为0
3：禁止IPC$共享  

　　Windows XP在默认安装后允许任何用户通过空用户连接(IPC＄)得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的IPC攻击。 要防范IPC攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞：

　　第一步：展开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Control\Lsa]分支，新建名为restrictanonymous的键值将其设置为0或者1或者设置2。（设置0为缺省；1为匿名无法列举本机用户列表；2为匿名用户无法连接。我们可以设置为“1”，这样就能禁止空用户连接。）

　　第二步：打开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]选项。注意：不是展开parameters的下面，而是单击选中parameters！然后建立两个双字节值（也就是DWORD）的键名，分别是：“AutoShareServer”和“AutoShareWks”。然后键值设置成0，就OK了！

　　对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。

　　对于个人用户，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。


　　如果您在建立某个键值的时候，系统提示该键值已经存在，您只要找到该键值，双击该键值，在弹出的窗口中修改其数值就可以了。

　　如果您不会编辑注册表，可以使用以下的方法。

　　首先打开记事本，将下面的内容拷贝到记事本中：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000

　　保存成txt文件，然后把后缀名改为reg。

　　同样的，建立AutoShareServer

　　打开记事本，将下面的内容拷贝到记事本中：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000

　　保存成txt文件，把后缀名改为reg。执行这两个reg文件。重新启动电脑即可。

　　如果您实在不会操作这一步（即建立“AutoShareServer”和“AutoShareWks”这两个键值），我这里有已经做好的注册表文件（已经建立好这两个命令），您下载之后，解压缩，再双击导入即可。


4．关闭自己的139端口，IPC和RPC漏洞存在于此。  


　　139端口是NetBIOS Session端口，用于文件和打印共享。通过139端口入侵是网络攻击中常见的一种攻击手段。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。需要说明的是，一旦关闭后，你将无法在局域网**享自己或别人的文件和打印机，但对其他功能没有影响。

5．防止RPC漏洞
 
　　打开“管理工具”-->“服务”-->找到“RPC(Remote Procedure Call (RPC) Locator)服务”-->将“故障恢复”中的第一次失败，第二次失败，后续失败，都设置为“不操作”。（注：WindowsXP SP2和Windows2000 pro sp4，已经不存在该漏洞。）

6．445端口的关闭  

　　我们经常会被445端口攻击，所以如果不小心的话，黑客也有可能通过这个端口来攻击。

　　修改注册表，打开[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters]在右面的窗口建立一个键值“SMBDeviceEnabled”，类型为“REG_DWORD”，键值为0，这样就ok了！
7．3389端口的关闭
 
　　这个端口我想我不用多说了，危险性很高，而且很多人根本没有注意到自己的电脑里有这个漏洞。要是你的电脑开了3389端口，那么你成为别人的肉鸡只是时间问题了，哈哈~~不是吓你哦！大家要特别的防范。

　　首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，建议关闭该服务。

　　WindowsXP系统：在“我的电脑”上点右键，选“属性”-->“远程”，将里面的“远程协助”和“远程桌面”两个选项框里的勾去掉。

　　Windows 2000系统中的远程终端服务是一项功能非常强大的服务，同时也成了入侵者长驻主机的通道，入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面，我们来看看如何通过修改默认端口，防范黑客入侵。

　　Windows2000 Server系统：点击“开始”-->“程序”-->“管理工具”-->“服务”里找到“Terminal Services”服务项，选中“属性”选项将启动类型改成“手动”，并停止该服务。（该方法在XP同样适用，XP用户可参照这个方法设置。）

　　使用Windows2000 Pro的朋友注意，网络上有很多文章说在Windows2000 Pro “开始”-->“设置”-->“控制面板”-->“管理工具”-->“服务”里找到“Terminal Services”服务项，选中“属性”选项将启动类型改成“手动”，并停止该服务，可以关闭3389。其实在Windows2000 Pro 中根本不存在Terminal Services。

　　如果您确实需要用到远程控制，而又不想让您的电脑受到黑客的骚扰，可以更改3389端口。操作步骤：

　　点击“开始菜单”-->“运行”，输入“regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如6111。

　　再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口6111。如果[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里还其他类似的子键,一样的改它的值。

　　修改完毕，重新启动电脑，以后远程登录的时候使用端口6111就可以了。

8．4899的防范
 
　　网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

　　4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

　　所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9．防止注册表被匿名访问  

　　一般默认的权限不限制对注册表默认的访问，只有管理员才能有权限对远程的计算机进行访问。如果想对这个进行限制的话可以修改注册表。

　　展开[HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\SecurePipeServers\Winreg]分支，选中名为Winreg，单击鼠标的右键，在出现的菜单选项中选“权限”，将管理员设置为“完全控制”，确保不会列出其他用户或组，然后确认。

10．禁止空连接
 
　　默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。为了防止黑客进行空连接，可以通过以下两种方法禁止建立空连接：

  (A)：展开 [HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\LSA]分支,新建一个名为RestrictAnonymous的键值项,将他设置成1，设置以后重起就可以了。

　　(B)：修改Windows 2000 的本地安全策略。
设置“本地安全策略”→“本地策略”→“选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。

- 作者： <A http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')" href=";">沉路 2006年08月23日, 星期三 10:30　 回复（0） |　 引用（0） 加入博采

<IMG diary5565320')).style.display=='none') {(document.getElementById('diary5565320')).style.display='block'; ths.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5565320')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> 两个重大问题的解决

1，我的机子经常在启动到出现windows滚动条后重启，在进入安全模式用兔子清理文件后再重启则恢复正常，但下次还可能出现。

既然不知道原因，也无法根本解决。

一次偶然的机会，用麦咖啡扫描电脑，删除C盘上的一个怪文件后，这个问题彻底解决了。由此可见，此文件是病毒，问题即由此文件引起。有趣的是，这个文件我曾经看到，并对其文件名产生怀疑——主文件名是“1”，但我不敢贸然删除。

2，频繁死机。有时一开机就死机，有时播放视频时死机，有时玩游戏时死机。。。。总之，死机极其频繁——这是我非常头痛但一直无法解决的问题。可是以前不会的啊！似乎，从某某时候开始。。。

原因寻找：

内存不足——

既然以前不会，现在的内存和以前一样，没有理由频繁死机；

在开最少程序时也会发生无法控制的死机；

在用兔子整理内存后依然发生死机；

可见不是内存问题。

病毒——

卡巴、麦咖啡、木马杀客、超级兔子、微软恶意软件扫描、间谍和广告软件扫描（Spybot - Search & Destroy）都扫描过；

基本可以排除病毒原因。

硬件问题——

在安全模式下从不死机，可以排除。

硬盘剩余空间太少或碎片太多——

超级兔子的垃圾文件清理，磁盘碎片整理都做过；

虚拟内存设置：1000M！

可以排除。

CMOS/BIOS设置错误或升级失败——

在我的记忆中，没有升级，而且好象没有改动过默认设置……

慢慢地，我把目标集中在软件冲突和显示问题上——

软件冲突比较麻烦，因为不知道是哪个软件引起的冲突，我曾经想过会不会是兔子修改注册表造成的，但没有证据。

显示是肯定有问题的——经常黑屏、花屏、定屏。。。。对这个问题我早就烦不胜烦，但无法解决，我以为是显示器坏掉了。。。。

显卡驱动！显卡驱动！

一个偶然的机会，向一个高手请教。我提供的信息是：在安全模式下从不死机。他马上指出，可能是驱动的问题——在安全模式下基本不加载驱动。我立刻说，屏幕有问题！他说，可能是显卡驱动装错了！

根据我的显卡型号，和他的推荐，我下了一个完全匹配的显驱，替换了原来的“万能显驱”。

这之后，再也没有死机过。

。。。。。。

当初下载“万能显驱”时，以为既然是“万能”，怎么会有错？即便系统提示说“该产品未通过微软认证，可能会出现问题”，我仍然没有在意，以为是微软打击“异己”的措施。在屏幕出现那么严重问题后，仍然没有想到驱动问题。。。。。

- 作者： <A http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')" href=";">沉路 2006年08月23日, 星期三 10:22　 回复（0） |　 引用（0） 加入博采

<IMG diary5488236')).style.display=='none') {(document.getElementById('diary5488236')).style.display='block'; this.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5488236')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> 麦咖啡的失败

我听说，麦咖啡的防火墙是天下第一的。所以我决定试用一下。

麦咖啡的杀毒能力果然高强，我用卡巴的最新版本没扫描出来的病毒，被麦咖啡扫描出来了。当在我c盘上的两个怪文件被删除后，我的机子中途重启现象就再也没有发生过。而这两个文件早就在我的眼皮底下了，我虽然怀疑过但不敢冒然删除。

其实我对卡巴是相当信任的，毕竟业界都承认卡巴的杀毒能力是天下第一的。但卡巴有个弱点，就是无法在安全模式下启动。我希望在安全模式下有个防火墙来监视并有个杀软来清毒。我有个习惯，要用就要用最好的，在网络上一打听，才知道麦咖啡是最强的。传说麦咖啡和卡巴是“绝代双骄”：麦咖啡的监控能力天下第一，成为最牢固的第一道防线；卡巴的杀毒能力天下第一，成为最牢固的第二道防线。这两道防线就构成了电脑上的“战略导弹防御系统”。

然而，重启后，问题出来了。

麦咖啡跟随系统启动，它连续启动了十个进程！这样，开机后要等好久才能动。这是我无法容忍的。于是我设置成不随系统启动。但没想到，竟然不起作用！它强制跟随系统启动！

其实麦咖啡这样做是有道理的。作为杀毒防黑的冲锋部队，它必须在系统启动时同时启动，才能全面监控和检测系统。可是它连续启动十个进程，对我这256的内存来说，实在受不了。其实有些进程，根本没必要那么早启动，甚至手动启动就可以了，如升级管理程序mcupdmgr.exe，计划任务管理程序mctskshd.exe等。

没办法。我只好把它卸载了。但过了一段时间，我又需要它杀毒，又安装。麻烦依旧。我采取的最笨的办法可能是：在系统启动，麦咖啡启动的同时，开启任务管理器，把麦咖啡启动或正在启动的进程杀死。要不然，我的系统可能在半个小时内无法使用。

一个天下第一的杀毒软件，竟然逼得用户卸载，这不能不说是麦咖啡的败笔。

注：卡巴6.0在安全模式下可以启动，但只有扫描功能，没有监控功能。卡巴5在安全模式下无法启动——但可能是安装上的原因，待考。

- 作者： <A http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')" href=";">沉路 2006年08月4日, 星期五 21:42　 回复（2） |　 引用（0） 加入博采

<IMG diary5459524')).style.display=='none') {(document.getElementById('diary5459524')).style.display='block'; this.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5459524')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> 进程分类

系统进程：

wmiprvse.exe   alg.exe  svchost.exe  ctfmon.exe  winlogon.exe  smss.exe 

explorer.exe  lsass.exe  spoolsv.exe  iexplore.exe  taskmgr.exe  csrss.exe

- 作者： <A http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')>沉路&10;&9;&9;&9; &9;&9;&9; <a href=" href=";" 5459524.html#comment?>回复（0） |　 引用（0） 加入博采

<IMG diary5425852')).style.display=='none') {(document.getElementById('diary5425852')).style.display='block'; this.src='http://blog.blogchina.com/template/common/img/array.gif'} else {(document.getElementById('diary5425852')).style.display='none'; this.src='http://blog.blogchina.com/template/common/img/array_2.gif'}}" src="http://blog.blogchina.com/template/common/img/array.gif"> mcinfo.exe

进程文件:mcinfo.exe 
进程名称:mcafee internet security
描述:mcinfo.exe是mcafee internet security网络安全套装的一部分，用于保护你的计算机免受网络安全威胁。
出品者:mcafee
属于:mcafee internet security 
系统进程:否
后台进程:是
使用网络:否
硬件相关:否
常见错误:未知
内存使用:未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否

- 作者： <A http://publishblog.blogchina.com/blog/postMessage.b?receiver=1542418','发送短消息','width=520, height=455')" href=";">沉路 2006年07月22日, 星期六 10:46　 回复（8） |　 引用（0） 加入博采

Copyright©2003-2004 BOKEE.COM All rights reserved

</AHREF=";">

• 以后一定经常进来学习，继续哦
  ---- ibelieve (Email) 评论于 2007-07-12 21:55:13