3个命令检查你的电脑是否中木马了(常用的)

合集下载

三个小命令检查电脑是否被安装木马

三个小命令检查电脑是否被安装木马发表于 2008-03-19 01:55一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。

一、检测网络连接如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local aDDRess(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。

通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

二、禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。

但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

三、轻松检查账户很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。

他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。

恶意的攻击者可以通过这个账户任意地控制你的计算机。

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。

电脑蓝屏代码查询全集

电脑蓝屏代码查询全集(1)1.故障检查信息***STOP0x0000001E(0xC0000005,0xFDE38AF9,0x0000001,0x7E8B0EB4)KMODE_EXCEPTION_NOT_HANDLED***其中错误的第一部分是停机码(StopCode)也就是STOP0x0000001E,用于识别已发生错误的类型,错误第二部分是被括号括起来的四个数字集,表示? 目⑷嗽倍ㄒ宓牟问?这个参数对于普通用户根本无法理解,只有驱动程序编写者或者微软操作系统的开发人员才懂).第三部分是错误名.信息第一行通常用来识别生产错误的驱动程序或者设备.这种信息多数很简洁,但停机码可以作为搜索项在微软知识库和其他技术资料中使用.2.推荐操作蓝屏第二部分是推荐用户进行的操作信息.有时,推荐的操作仅仅是一般性的建议(比如:到销售商网站查找BIOS的更新等);有时,也就是显示一条与当前问题相关的提示.一般来说,惟一的建议就是重启.3.调试端口告诉用户内存转储映像是否写到磁盘商了,使用内存转储映像可以确定发生问题的性质,还会告诉用户调试信息是否被传到另一台电脑商,以及使用了什么端口完成这次通讯.不过,这里的信息对于普通用户来说,没有什么意义.有时保卫科可以顺利的查到是哪个生产小组的问题,会在第一部分明确报告是哪个文件犯的错,但常常它也只能查个大概范围,而无法明确指明问题所在.由于工厂全面被迫停止,只有重新整顿开工,有时,那个生产小组会意识到错误,不再重犯.但有时仍然会试图哄抢零件,于是厂领导不得不重复停工决定(不能启动并显示蓝屏信息,或在进行相同操作时再次出现蓝屏).Windows2K/XP蓝屏信息非常多,无法在一篇文章中全?步?但他们产生的原因往往集中在不兼容的硬件和驱动程序、有问题的软件、病毒等,因此首先为大家提供了一些常规的解决方案,在遇到蓝屏错误时,应先对照这些方案进行排除.1.重启有时只是某个程序或驱动程序一时犯错,重启后他们会改过自新.(注意:此时参见7.查询停机码)2.新硬件首先,应该检查新硬件是否插牢,这个被许多人忽视的问题往往会引发许多莫名其妙的故障.如果确认没有问题,将其拔下,然后换个插槽试试,并安装最新的驱动程序.同时还应对照微软网站的硬件兼容类别检查一下硬件是否与操作系统兼容.如果你的硬件没有在表中,那么就得到硬件厂商网站进行查询,或者拨打他们的咨询电话.WindowsXP的硬件兼容列表:/defaul...kb;zh-cn;314062 Windows2K的硬件兼容类?/download/display.asp?3.新驱动和新服务如果刚安装完某个硬件的新驱动,或安装了某个软件,而它又在系统服务中添加了相应项目(比如:杀毒软件、CPU降温软件、防火墙软件等),在重启或使用中出现了蓝屏故障,请到安全模式来卸载或禁用它们.4.检查病毒比如冲击波和振荡波等病毒有时会导致Windows蓝屏死机,因此查杀病毒必不可少.同时一些木马间谍软件也会引发蓝屏,所以最好再用相关工具进行扫描检查.5.检查BIOS和硬件兼容性对于新装的电脑经常出现蓝屏问题,应该检查并升级BIOS到最新版本,同时关闭其中的内存相关项,比如:缓存和映射.另外,还应该对照微软的硬件兼容列表检查自己的硬件.还有就是,如果主板BIOS无法支持大容量硬盘也会导致蓝屏,需要对其进行升级. ┌————————————————————————————┐│小提示:││BIOS的缓存和映射项││VideoBIOSShadowing(视频BIOS映射)││Shadowingaddressranges(映射地址列)││SystemBIOSCachea ble(系统BIOS缓冲)││VideoBIOSCacheable(视频BIOS缓冲)││VideoRAMCacheable(视频内?撼?│ └————————————————————————————┘6.检查系统日志在开始-->菜单中输入:EventVwr.msc,回车出现"事件查看器",注意检查其中的"系统日志"和"应用程序日志"中表明"错误"的项.7.查询停机码把蓝屏中密密麻麻的E文记下来,接着到其他电脑中上网,进入微软帮助与支持网站,在左上角的"搜索(知识库)"中输入停机码,如果搜索结果没有适合信息,可以选择"英文知识库"在搜索一遍.一般情况下,会在这里找到有用的解决案例.另外,在baidu、Google等搜索引擎中使用蓝屏的停机码或者后面的说明文字为关键词搜索,往往也会有以外的收获.8.最后一次正确配置一般情况下,蓝屏都出现于更新了硬件驱动或新加硬件并安装其驱动后,这时Windows2K/XP提供的"最后一次正确配置"就是解决蓝屏的快捷方式.重启系统,在出现启动菜单时按下F8键就会出现高级启动选项菜单,接着选择"最后一次正确配置".9.安装最新的系统补丁和ServicePack有些蓝屏是Windows本身存在缺陷造成的,应此可通过安装最新的系统补丁和ServicePack 来解决.经典蓝屏案意义破解┌—┐│1 │└—┘0x0000000A:IRQL_NOT_LESS_OR_EQUAL◆错误分析:主要是由问题的驱动程序、有缺陷或不兼容的硬件与软件造成的.从技术角度讲.表明在内核模式中存在以太高的进程内部请求级别(IRQL)访问其没有权限访问的内存地址. ◇解决方案:请用前?樯艿慕饩龇桨钢械?、3、5、8、9方案尝试排除.┌—┐│2 │└—┘0x00000012:TRAP_CAUSE_UNKNOWN◆错误分析:如果遇到这个错误信息,那么很不幸,应为KeBudCheck分析的结果是错误原因未知.◇解决方案:既然微软都帮不上忙,就得靠自己了,请仔细回想这个错误是什么时候出现的;第一次发生时你对系统做了哪些操作;发生时正在进行什么操作.从这些信息中找出可能的原因,从而选择相应解决方案尝试排除.┌—┐│3 │└—┘0x0000001A:MEMORY_MANAGEMENT◆错误分析:这个内存管理错误往往是由硬件引起的,比如:新安装的硬件、内存本身有问题等.◇解决方案:如果是在安装Windows时出现,有可能是由于你的电脑达不到安装Windows的最小内存和磁盘要求.┌—┐│4 │└—┘0x0000001E:KMODE_EXCEPTION_NOT_HANDLED◆错误分析:Windows内核检查到一个非法或者未知的进程指令,这个停机码一般是由问题的内?蚴怯肭懊?x0000000A相似的原因造成的.◇解决方案:(1)硬件兼容有问题:请对照前面提到的最新硬件兼容性列表,查看所有硬件是否包含在该列表中.(2)有问题的设备驱动、系统服务或内存冲突和中断冲突:如果在蓝屏信息中出现了驱动程序的名字,请试着在安装模式或者故障恢复控制台中禁用或删除驱动程序,并禁用所有刚安装的驱动和软件.如果错误出现在系统启动过程中,请进入安全模式,将蓝屏信息中所标明的文件重命名或者删除.(3)如果错误信息中明确指出Win32K.sys:很有可能是第三方远程控制软件造成的,需要从故障恢复控制台中将对该软件的服务关闭.(4)在安装Windows后第一次重启时出现:最大嫌疑可能时系统分区的磁盘空间不足或BIOS 兼容有问题.(5)如果是在关闭某个软件时出现的:很有可能时软件本省存在设计缺陷,请升级或卸载它. ┌—┐│5 │0x00000023:FAT_FILE_SYSTEM└—┘0x00000024:NTFS_FILE_SYSTEM◆错误分析:0x00000023通常发生在读写FAT16或者FAT32文件系统的系统分区时,而0x00000024则是由于NTFS.sys文件出现错误(这个驱动文件的作用是容许系统读写使用NTFS文件系统的磁盘).这两个蓝屏错误很有可能是磁盘本身存在物理损坏,或是中断要求封包(IRP)损坏而导致的.其他原因还包括:硬盘磁盘碎片过多;文件读写操作过于频繁,并且数据量非常达或者是由于一些磁盘镜像软件或杀毒软件引起的.◇解决方案:第一步:首先打开命令行提示符,运行"Chkdsk/r"(注:不是CHKDISK,感觉象这个,但是……)命令检查并修复硬盘错误,如果报告存在怀道(BadTrack),请使用硬盘厂商提供的检查工具进行检查和修复.第二步:接着禁用所有即使扫描文件的软件,比如:杀毒软件、防火墙或备份工具.第三步:右击C:\winnt\system32\drivers\fastfat.sys文件并选择"属性",查看其版本是否与当前系统所使用的Windows版本相符.(注:如果是XP,应该是C:\windows\system32\drivers\fastfat.sys)第四步:安装最新的主板驱动程序,特别IDE驱动.如果你的光驱、可移动存储器也提供有驱动程序,最好将它们升级至最新版.┌—┐│6 │└—┘0x00000027:RDR_FILE_SYSTEM◆错误分析:这个错误产生的原因很难判断,不过Windows内存管理出了问题很可能会导致这个停机码的出现.◇解决方案:如果是内存管理的缘故,通常增加内存?┌—┐│7 │└—┘0x0000002EATA_BUS_ERROR◆错误分析:系统内存存储器奇偶校验产生错误,通常是因为有缺陷的内存(包括物理内存、二级缓?蛘呦钥ㄏ源?时设备驱动程序访问不存在的内存地址等原因引起的.另外,硬盘被病毒或者其他问题所损伤,以出现这个停机码.◇解决方案:(1)检查病毒(2)使用"chkdsk/r"命令检查所有磁盘分区.(3)用Memtest86等内存测试软件检查内存.(4)检查硬件是否正确安装,比如:是否牢固、金手指是否有污渍.┌—┐│8 │└—┘0x00000035:NO_MORE_IRP_STACK_LOCATIONS◆错误分析:从字面上理解,应该时驱动程序或某些软件出现堆栈问题.其实这个故障的真正原因应该时驱动程序本省存在问题,或是内存有质量问题.┌—┐│9 │└—┘0x0000003F:NO_MORE_SYSTEM_PTES◆错误分析:一个与系统内存管理相关的错误,比如:由于执行了大量的输入/输出操作,造成内存管理出现问题:有缺陷的驱动程序不正确地使用内存资源;某个应用程序(比如:备份软件)被分配了大量的内核内存等.◇解决方案:卸载所有最新安装的软件(特别是哪些增强磁盘性能的应用程序和杀毒软件)和驱动程序.┌—┐│10│└—┘0x00000044:MULTIPLE_IRP_COMPLIETE_REQUESTS◆错误分析:通常是由硬件驱动程序引起的.◇解决方案:卸载最近安装的驱动程序.这个故障很少出现,目前已经知道的是,在使用/这家公司的某些软件时会出现,其中的罪魁就是Falstaff.sys文件.(作者难道不怕吃官司嘛,把公司网址公布)┌—┐│11│└—┘0x00000050:PAGE_FAULT_IN_NONPAGED+AREA◆错误分析:有问题的内存(包括物理内存、二级缓存、显存)、不兼容的软件(主要是远程控制和杀毒软件)、损坏的NTFS卷以及有问题的硬件(比如:PCI插卡本身已损坏)等都会引发这个错误.┌—┐│12│└—┘0x00000051:REGISTRY_ERROR◆错误分析:这个停机码说明注册表或系统配置管理器出现错误,由于硬盘本身有物理损坏或文件系统存在问题,从而造成在读取注册文件时出现输入/输出错误.◇解决方案:使用"chkdsk/r"检查并修复磁盘错误.┌—┐│13│└—┘0x00000058:FTDISK_INTERNAL_ERRO R◆错误分析:说明在容错集的主驱动发生错误.◇解决方案:首先尝试重启电脑看是否能解决问题,如果不行,则尝试"最后一次正确配置"进行解决.┌—┐│14│└—┘0x0000005E:CRITICAL_SERVICE_FAILED◆错误分析:某个非常重要的系统服务启动识别造成的.◇解决方案:如果是在安装了某个新硬件后出新的,可以先移除该硬件,并通过网上列表检查它是否与Windows2K/XP兼容,接着启动电脑,如果蓝屏还是出现,请使用"最后一次正确配置"来启动Windows,如果这样还是失败,建议进行修复安装或是重装.┌—┐│15│└—┘0x0000006F:SESSION3_INITIALIZATION-FAILED◆错误分析:这个错误通常出现在Windows启动时,一般是由有问题的驱动程序或损坏的系统文件引起的.◇解决方案:建议使用Windows安装光盘对系统进行修复安装.┌—┐│16│└—┘0x00000076:PROCESS_HAS_LOCKED_PAGES◆错误分析:通常是因为某个驱动程序在完成了一次输入/输出操作后,没有正确释放所占有的内存◇解决方案:第一步:点击开始-->运行:regedt32,找到[HKLM\SYSTEM\Currentcontrolset\control\sessionmanager\memorymanagement],在右侧新建双字节值"TrackLockedPages",值为1.这样Windows便会在错误再次出现时跟踪到是哪个驱动程序的问题.第二步:如果再次出现蓝屏,那么错误信息会变成:STOP:0x0000000CB(0xY,0xY,0xY,0xY)DRIVER_LEFT_LOCKED_PAGES_IN_PROCES S其中第四个"0xY"会显示为问题驱动程序的名字,接着对其进行更新或删除.第三步:进入注册表,删除添加的"TrackLockedPages".┌—┐│17│└—┘0x00000077:KERNEL_STACK_INPAGE_ERROR◆错误分析:说明需要使用的内核数据没有在虚拟内?蛭锢砟诖嬷姓业?这个错误常常于是着磁盘有问题,相应数据损坏或受到病毒侵蚀.◇解决方案:使用杀毒软件扫描系统;使用"chkdsk/r"命令检查并修复磁盘错误,如不行则使用磁盘厂商提供的工具检查修复.┌—┐│18│└—┘0x0000007A:KERNEL_DATA_INPAGE_ERROR◆错误分析:这个错误往往是虚拟内存中的内核数据无法读入内存造成的.原因可能是虚拟内存页面文件中存在坏簇、病毒、磁盘控制器出错、内存有问题.◇解决方案:首先用升级为最新病毒库杀毒软件查杀病毒,如果促无信息中还有0xC000009C 或0xC000016A代码,那么表示是坏簇造成的,并且系统的磁盘检测工具无法自动修复,这时要进入"故障恢复控制台",用"chkdsk/r"命令进行手动修复.┌—┐│19│└—┘0x0000007B:INACESSIBLE_BOOT_DEVICE◆错误分析:Windows在启动过程中无法访问系统分区或启动卷.一般发生在更换主板后第一次启动时,主要是因为新主板和旧主板的IDE控制器使用了不同芯片组造成的.有时也可能是病毒或硬盘损伤所引起的.◇解决方案:一般只要用安装光盘启动电脑,然后执行修复安装即可解决问题.对于病毒则可使用DOS版的杀毒软件进行查杀(主战有kv,瑞星).如果是硬盘本身存在问题,请将其安装到其他电脑中,然后使用"chkdsk/r"来检查并修复磁盘错误.┌—┐│20│└—┘0x0000007E:SYSTEM_THREAD_EXCEPTION_NOT_HANDLED◆错误分析:系统进程产生错误,但Windows错误处理器无法捕获.其产生原因很多,包括:硬件兼容性、有问题的驱动程序或系统服务、或者是某些软件.◇解决方案:请使用"事件查看器"来获取更多的信息,从中发现错误根源.(发现好像不是解决哦,看来这里大家要自力更生了!)┌—┐│21│└—┘0x0000007F:UNEXPECTED_KERNEL_MOED_TRAP◆错误分析:一般是由于有问题的硬件(比如:内存)或某些软件引起的.有时超频也会产生这个错误.◇解决方案:用检测软件(比如:Memtest86)检查内存,如果进行了超频,请取消超频.将PCI硬件插卡从主板插槽拔下来,或更换插槽.另外,有些主板(比如:nForce2主板)在进行超频后,南桥芯片过热也会导致蓝屏,此时为该芯片单独增加散热片往往可以有效解决问题.┌—┐│22│└—┘0x00000080:NMI_HARDWARE_FAILURE◆错误分析:通常是有硬件引起的.(似乎蓝屏与硬件错误有不解之缘)◇解决方案:如果最近安装了新硬件,请将其移除,然后试试更换插槽和安装最新的驱动程序,如果升级了驱动程序,请恢复后原来的版本;检查内?鹗种甘欠裼形廴竞退鸹?扫描病毒;运行"chkdsk/r"检查并修复磁盘错误;检查所有硬件插卡已经插牢.如果以上尝试都无效果,就得找专业的电脑维修公司请求帮助了.┌—┐│23│└—┘0x0000008E:KERNEL_MODE_EXCEPTION_NOT_HANDLED◆错误分析:内核级应用程序产生了错误,但Windows错误处理器没有捕获.通常是硬件兼容性错误.◇解决方案:升级驱动程序或升级BIOS.┌—┐│24│└—┘0x0000009C:MACHINE_CHECK_EXCEPTION◆错误分析:通常是硬件引起的.一般是因为超频或是硬件存在问题(内存、CPU、总线、电源). ◇解决方案:如果进行了超频,请降会CPU原来频率,检查硬件.┌—┐│25│└—┘0x0000009FRIVER_POWER_STATE_FAILURE◆错误分析:往往与电源有关系,常常发生在与电源相关的操作,比如:关机、待机或休睡.◇解决方案:重装系统,如果不能解决,请更换电源.┌—┐│26│└—┘0x000000A5:ACPI_BIOS_ERROR◆错误分析:通常是因为主板BIOS不能全面支持ACPI规范.◇解决方案:如果没有相应BIOS升级,那么可在安装Windows2K/XP时,当出现"pressF6ifyouneedtoinstallathird-partySCSIorRAIDdriver"提示时,按下F7键,这样Windows 便会自动禁止安装ACPIHAL,而安装StandardPCHAL.┌—┐│27│└—┘0x000000B4:VIDEO_DRIVER_INIT_FAILURE◆错误分析:这个停止信息表示Windows因为不能启动显卡驱动,从而无法进入图形界面.通常是显卡的问题,或者是存在与显卡的硬件冲突(比如:与并行或串行端口冲突).◇解决方案:进入安全模式查看问题是否解决,如果可以,请升级最新的显卡驱动程序,如果还不行,则很可能是显卡与并行端口存在冲突,需要在安全模式按下WIN+break组合键打开"系统属性",在硬件-->设备管理器中找到并双击连接打印的LPT1端口的项,在"资源"选项卡中取消"使用自动配置"的构选,然后将"输入/输出范围"的"03BC"改为"0378".┌—┐│28│└—┘0x000000BE:ATTEMPTED_WRITE_TO_READONLY_MEMORY◆错误分析:某个驱动程序试图向只读内存写入数据造成的.通常是在安装了新的驱动程序,系统服务或升级了设备的固件程序后.◇解决方案:如果在错误信息中包含有驱动程序或者服务文件名称,请根据这个信息将新安装的驱动程序或软件卸载或禁用.┌—┐│29│└—┘0x000000C2:BAD_POOL_CALLER◆错误分析:一个内核层的进程或驱动程序错误地试图进入内存操作.通常是驱动程序或存在BUG的软件造成的.┌—┐│30│└—┘0x000000CE:RIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERA TIONS◆错误分析:通常是由有问题的驱动程序或系统服务造成的.┌—┐│31│└—┘0x000000D1RIVER_IRQL_NOT_LESS_OR_EQUAL◆错误分析:通常是由有问题的驱动程序引起的(比如罗技鼠标的LogitechMouseWare9.10和9.24版驱动程序会引发这个故障).同时,有缺陷的内存、损坏的虚拟内存文件、某些软件(比如多媒体软件、杀毒软件、备份软件、DVD播放软件)等也会导致这个错误.◇解决方案:检查最新安装或升级的驱动程序(如果蓝屏中出现"acpi.sys"等类似文件名,可以非常肯定时驱动程序问题)和软件;测试内存是否存在问题;进入"故障恢复控制台",转到虚拟内存页面文件Pagefile.sys所在分区,执行"delpagefile.sys"命令,将页面文件删除;然后在页面文件所在分区执行"chkdsk/r"命令;进入Windows后重新设置虚拟内存.如果在上网时遇到这个蓝屏,而你恰恰又在进行大量的数据下载和上传(比如:网络游戏、BT 下载),那么应该是网卡驱动的问题,需要升级其驱动程序.┌—┐│32│└—┘0x000000EA:THREAD_STUCK_IN_DEVICE_DRIVER◆错误分析:通常是由显卡或显卡驱动程序引发的.◇解决方案:先升级最新的显卡驱动,如果不行,则需要更换显卡测试故障是否依然发生. ┌—┐│33│└—┘0x000000ED:UNMOUNTABLE_BOOT_VOLUME◆错误分析:一般是由于磁盘存在错误导致的,有时也建议检查硬盘连线是否接触不良,或是没有使用合乎该硬盘传输规格的连接线,例如ATA-100仍使用ATA-33的连接线,对低速硬盘无所谓,但告诉硬盘(支持ATA-66以上)的要求较严格,规格不对的连线有时也会引起这类没办法开机的故障.如果在修复后,还是经常出现这个错误,很可能是硬盘损坏的前兆.◇解决方案:一般情况下,重启会解决问题,不管怎么样都建议执行"chkdsk/r"命令来检查修复硬盘.┌—┐│34│└—┘0x000000F2:HARDWARE)INTERRUPT_STORM◆错误分析:内核层检查到系统出现中断风暴,比如:某个设备在完成操作后没有释放所占用的中断.通常这是由缺陷的驱动程序造成的.◇解决方案:升级或卸载最新安装的硬件驱动程序.┌—┐│35│└—┘0x00000135:UNABLE_TO_LOCATE_DLL◆错误分析:通常表示某个文件丢失或已经损坏,或者是注册表出现错误.◇解决方案:如果是文件丢失或损坏,在蓝屏信息中通常会显示相应的文件名,你可以通过网络或是其他电脑找到相应的文件,并将其复制到系统文件夹下的SYSTEM32子文件夹中.如果没有显示文件名,那就很有可能是注册表损坏,请利用系统还原或是以前的注册表备份进行恢复.┌—┐│36│└—┘0x0000021A:STATUS_SYSTEM_PROCESS_TERMINATED◆错误分析:用户模式子系统,例如Winlogon或客服服务运行时子系统(CSRSS)已损坏,所以无法再保证安全性,导致系统无法启动.有时,当系统管理员错误地修改了用户帐号权限,导致其无法访问系统文件和文件夹.◇解决方案:使用"最后一次正确的配置",如果无效,可使用安装光盘进行修复安装.┌—┐│37│└—┘STOP0xC0000221orSTATUS_IMAGE_CHECKSUM_MISMATCH◆错误分析:通常是由于驱动程序或系统DLL文件损坏造成的.一般情况下,在蓝屏中会出现文件名称.◇解决方案:(1)使用Windows安装光盘进行修复安装;(2)如果还能进入安全模式,可以"开始-->运行":sfc/scannow(3)还可以采用提取文件的方法来解决,进入"故障恢复控制台",使用copy或expand命令从光盘中复制或解压受损的文件.不过,蓝屏一般都是驱动程序文件的问题,所以expand命令会用的都一些,比如:蓝屏中提示tdi.sys文件,因为驱动文件一般在i386\driver压缩包里,所以使用:expand%CDROM:\i386\driver.cab\f:tdi.sysc:\winnt\system\drivers.(xp为expand%CDROM:\i386\driver.cab\f:tdi.sysc:\windowns\system\drivers)┌—┐│38│└—┘如果启动时出现这些蓝屏停机码如果在Windows启动时出现蓝屏,并出现附表一中的错误信息,那么多半时硬件出现了问题,请用硬件厂商提供的诊断工具来判断硬件是否存在问题,并到其网站查看是否有最新的BIOS或固件更新程序.如果硬件没有问题,重装Windows2K/XP,若相同问题还是出现,就只能求助专业的技术支持了.如果遇到的时附表二中的错误信息,也只有重装Windows了,如果不能解决问题,建议求救专业的技术支持.蓝屏代码解析：0x0000 操作完成0x0001 不正确的函数0x0002 系统找不到指定的文件0x0003 系统找不到指定的路径0x0004 系统无法打开文件0x0005 拒绝存取0x0006 无效的代码0x0007 内存控制模块已损坏0x0008 内存空间不足，无法处理这个指令0x0009 内存控制模块地址无效0x000a 环境不正确0x000b 尝试载入一个格式错误的程序0x000c 存取码错误0x000d 资料错误0x000e 内存空间不够，无法完成这项操作0x000f 系统找不到制定的硬盘0x0010 无法移除目录0x0011 系统无法将文件移到其他的硬盘0x0012 没有任何文件0x0019 找不到指定的扇区或磁道0x001a 指定的磁盘或磁片无法存取0x001b 磁盘找不到要求的扇区0x001c 打印机没有纸0x001d 系统无法将资料写入制定的磁盘0x001e 系统无法读取指定的装置0x001f 连接到系统的某个装置没有作用0x0021 文件的一部分被锁定0x0024 开启的分享文件数量太多0x0026 到达文件结尾0x0027 磁盘已满0x0036 网络繁忙0x003b 网络发生意外的错误0x0043 网络名称找不到0x0050 文件已经存在0x0052 无法建立目录或文件0x0053 int24失败0x006b 因为代用的磁盘尚未插入，所以程序已经停止0x006c 磁盘正在使用中或被锁定0x006f 文件名太长0x0070 硬盘空间不足0x007f 找不到指定的程序0x045b 系统正在关机0x045c 无法种植系统关机，因为没有关机的动作在进行中0x046a 可用服务器储存空间不足，无法处理这项指令0x047e 指定的程序需要新的Windows版本0x047f 指定的程序不是Windows或MS-DOS程序0x0480 指定的程序已经启动，无法再启动一次0x0481 指定的程序是为旧版的Windows所写的0x0482 执行此应用程序所需的程序库文件之一毁坏0x0483 没有应用程序与此项操作的指定文件建立关联0x0484 传送指令到应用程序发生错误0x04b0 指定的装置名称无效0x05a2 窗口不是子窗口0x05aa 系统资源不足，无法完成所要求的服务0x05ab 系统子还不足，无法完成所需要的服务0x05ac 系统资源不足，无法完成所要求的服务0x06b9 资源不足，无法完成操作参考资料：/kh1638/blog/item/f3d6f219ba11be0034fa4151.html2回答者：我爱钡钡- 四级2009-5-22 12:42我来评论>>提问者对于答案的评价：谢谢相关内容• 0x0000000D1的蓝屏代码，显示ndis.sys 2009-5-29• 电脑总是起动不了总是蓝屏上面显示ACPI.SYSPAGE-FAULT-IN-NONPAGED-AREA 11 2007-3-16• 我的电脑老是出现蓝屏,每次显示的蓝屏代码都是win32k.sys,这是怎么回事啊?? 2006-11-15• 电脑蓝屏“0x000000be acpi.sys - address f97dc200 base at f97c5000,datestamp 1 2009-3-24• 0x0000000D1的蓝屏代码什么意思 1 2009-12-1更多关于acpi.sys 蓝屏的问题>>查看同主题问题：0x0000000d1蓝屏代码代码显示等待您来回答∙OneKeyCD怎么取消∙怎样安装雨林木风ghost xp sp3 装机版yn25.0∙怎么把win7的桌面快捷方式全部移到右边∙无法打开webqq站点∙装完系统后突然卡了一下就一声报警怎么回事∙如何让电脑不存垃圾文件∙我的电脑打开之后为什么文件都是IKB?∙为什么我的电脑这个图标变了颜色也变了其他回答共1 条[b]31、0x000000D1RIVER_IRQL_NOT_LESS_OR_EQUAL[/b]◆错误分析:通常是由有问题的驱动程序引起的(比如罗技鼠标的Logitech MouseWare9.10和9.24版驱动程序会引发这个故障). 同时,有缺陷的内存、损坏的虚拟内存文件、某些软件(比如多媒体软件、杀毒软件、备份软件、DVD播放软件)等也会导致这个错误.◇解决方案:检查最新安装或升级的驱动程序(如果蓝屏中出现"acpi.sys"等类似文件名, 可以非常肯定是驱动程序问题)和软件; 测试内存是否存在问题; 进入"故障恢复控制台", 转到虚拟内存页面文件Pagefile.sys所在分区, 执行"del pagefile.sys"命令, 将页面文件删除;然后在页面文件所在分区执行"chkdsk /r"命令;进入Windows后重新设置虚拟内存.如果在上网时遇到这个蓝屏, 而你恰恰又在进行大量的数据下载和上传(比如:网络游戏、[url=/view/822.htm][color=#0000ff]BT[/color][/url]下载), 那么应该是网卡驱动的问题, 需要升级其驱动程序.蓝屏含义1、故障检查信息***STOP 0x0000001E(0xC0000005,0xFDE38AF9,0x0000001,0x7E8B0EB4)KMODE_EXCEPTION_NOT_HANDLED ***其中错误的第一部分是停机码(Stop Code)也就是STOP 0x0000001E, 用于识别已发生错误的类型, 错误第二部分是被括号括起来的四个数字集, 表示随机的开发人员定义的参数(这个参数对于普通用户根本无法理解, 只有[url=/view/1048.htm][color=#0000ff]驱动程序[/color][/url]编写者或者微软操作系统的开发人员才懂). 第三部分是错误名. 信息第一行通常用来识别生产错误的。

六招教你检测是否中病毒木马介绍

六招教你检测是否中病毒木马介绍六招教你检测病毒木马介绍：六招教你检测病毒木马一、进程首先排查的就是进程了，方法简单，开机后，什么都不要启动!第一步：直接打开任务管理器计算机爱好者，学习计算机基础，电脑入门，请到本站PS：如果任务管理器打开后一闪就消失了，可以判定已经中毒;如果提示已经被管理员禁用，则要引起警惕!第二步：打开冰刃等软件，先查看有没有隐藏进程冰刃中以红色标出，然后查看系统进程的路径是否正确。

PS：如果冰刃无法正常使用，可以判定已经中毒;如果有红色的进程，基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程，也可以判断已经中毒。

第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。

PS：Wsyscheck会用不同颜色来标注被注入的进程和正常进程，如果有进程被注入，不要着急，先确定注入的模块是不是病毒，因为有的杀软也会注入进程。

六招教你检测病毒木马二、自启动项目进程排查完毕，如果没有发现异常，则开始排查启动项。

第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有 Microsoft 服务”复选框，然后逐一确认剩下的服务是否正常可以凭经验识别，也可以利用搜索引擎。

PS：如果发现异常，可以判定已经中毒;如果msconfig无法启动，或者启动后自动关闭，也可以判定已经中毒。

第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。

第三步，用Autoruns等，查看更详细的启动项信息包括服务、驱动和自启动项、IEBHO等信息。

PS：这个需要有一定的经验。

六招教你检测病毒木马三、网络连接ADSL用户，在这个时候可以进行虚拟拨号，连接到Internet了。

然后直接用冰刃的网络连接查看，是否有可疑的连接，对于IP地址，可以到相关网站查询，对应的进程和端口等信息可以到Google或百度查询。

如何查看电脑是否中木马？网络监听CMD命令——netstat

如何查看电脑是否中木马？网络监听CMD命令——netstat大家好，这期电脑小课堂教大家一个非常实用的小命令，网络监听命令。

或许大家对这个命令不是很了解，这个命令有什么作用？这个命令其实，就是来查看你的电脑有没有中后台木马，如果中了木马，一般会有一个后门程序在监听你的电脑端口。

大家应该都知道木马的工作原理是通过客户端后门程序，监听你的电脑端口号，服务器端通过端口号控制你的电脑。

所以，如果你的端口号有被监听了，说明你的电脑中了木马了，原理就简单概况到这里。

那么，如果通过这个命令查看自己电脑的端口号是否被监控呢？命令很简单，但很实用，大家一定要好好掌握，以后在这里可以学到不一样的电脑小知识，毕竟来我这里逛一圈，不给你点实用的东西拿走，你怎么会买账？netstat命令其实很强大，这个命令不光可以查看自己电脑是否被监听，还可以通过此命令查找跟你通信的所有计算机的IP地址！但内容很干，不好扩展了讲，暂且今天教大家如何查看端口是否被监听了吧！我们只要在cmd窗口界面输入netstat -an，查看最右侧的LISTENING，这个英文大家应该都知道，就是正在监听的意思。

此时，我们要一个一个去查看，LISTENING左侧的外部地址，如果外部地址都为0.0.0.0，那么你的电脑就没有监听，否则你的电脑就被监听了！图片上的每一个LISTENING大家都要去仔细检查一遍，因为有一个端口被监听，你的电脑都已经中了木马了，如果你的电脑有重要资料，不妨经常查看一下！cmd命令非常强大，很多很多实用的功能，每一个做计算机的都必须经历的阶段，而且，每一个命令都非常好用，非常有意思，通过这些命令可以做到非常人能做的事情！大家应该懂我的意思，黑客们很多都是利用这些cmd命令完成他们的入侵工作的，我们虽然没有他们强大，但可以作为了解，平常利用这些命令防护自己的电脑是必然的，这里就不继续扩展了。

好了，本期的电脑技巧分享就到这里，都是很实用的简单小技巧，希望大家喜欢，后面我们会每期分享一篇关于电脑的技巧，感谢大家收看，谢谢！。

电脑运行中输入的命令及用法

电脑运行中输入的命令及用法标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]1、最常用的第一个命令：cmd。

打开命令提示符，有许多与系统有关的命令都可以在命令提示符中完成，比如查看Ip等等。

2、第二个常用命令：regedit。

打开注册表编辑器。

现在的注册表修改以及清理工具很多，一般不需要我们打开注册表自己编辑，但是有些特殊情况，比如软件无法完全删除，或者游戏界面无法全屏等，都需要自己手动修改注册表，这就是打开注册表的唯一方式。

3、第三个：control。

打开控制面板，相信很多朋友打开控制面板的时候都是在开始中打开的，不过小编用习惯了，英文也好记，就是“控制”的意思。

4、第四个：msconfig。

打开系统配置，小编打开系统配置最常用的功能就是“启动”选项卡中开机启动项的清理，有些软件做的不完善，有时候自己手动清理更好。

5、第五个：gpedit.msc 。

打开本地组策略。

组策略可以实现很多事情，主要还是对系统及软件的管理以及对某些功能的微调。

6、第六个：explorer。

打开资源管理器，即我的电脑。

小编还是习惯直接快捷启动或者“windows+E”快捷键，但是用2000和xp的时候，这个命令真是没少用。

7、第七个： taskmgr。

这个命令可能不熟悉，但是他打开的东西大家肯定很熟悉，任务管理器。

也就是我们经常用的ctrl+alt+del组合键打开的内容。

8、第八个：logoff。

直接注销计算机，有时候卡主或者死机鼠标无法动的时候，这个命令就可以帮助我们直接注销计算机，然后计算机就可以恢复。

9、第九个：osk。

我相信大家这个肯定不知道，打开屏幕键盘。

有时候键盘坏掉以后实在没有办法，或者用键盘不方便，或者插孔坏掉，都需要用到它。

屏幕键盘界面其实还蛮炫酷的。

10、第十个：calc。

打开计算器。

可能刚开始觉得这四个字母没用，但是大家肯定有在网页上碰到无法口算的问题，最明显的的女孩子购物打几折算不清楚，这时候简单的Win+R 输入calc，直接用计算器就能得出结果，其实也很方便。

查看计算机开放端口及端口介绍

清风读月服务：MSG Authentication
说明：木马 Master Paradise、Hackers Paradise 开放此端口。端口：42 服务：WINS Replication 说明：WINS 复制端口：53 服务：Domain Name Server（DNS）说明：DNS 服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗 DNS （UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。端口：67 服务：Bootstrap Protocol Server 说明：通过 DSL 和 Cable modem 的防火墙常会看见大量发送到广播地址 255.255.255.255 的数据。这些机器在向 DHCP 服务器请求一个地址。HACKER 常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向 68 端口广播请求配置，服务器向 67 端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的 IP 地址。端口：69 服务：Trival File Transfer 说明：许多服务器与 bootp 一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。
清风读月 http://www.smartline.ru/software/aports.zip 得到它。其实使用 windows xp 的用户无须借助其它软件即可以得到端口与进程的对应关系，因为 windows xp 所带的 netstat 命令比以前的版本多了一个 O 参数，使用这个参数就可以得出端口与进程的对应来。
清风读月服务：Echo
说明：能看到许多人搜索 Fraggle 放大器时，发送到 X.X.X.0 和 X.X.X.255 的信息。端口：19 服务：Character Generator 说明：这是一种仅仅发送字符的服务。UDP 版本将会在收到 UDP 包后回应含有垃圾字符的包。TCP 连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER 利用 IP 欺骗可以发动 DoS 攻击。伪造两个 chargen 服务器之间的 UDP 包。同样 Fraggle DoS 攻击向目标地址的这个端口广播一个带有伪造受害者 IP 的数据包，受害者为了回应这些数据而过载。端口：21 服务：FTP 说明：FTP 服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开 anonymous 的 FTP 服务器的方法。这些服务器带有可读写的目录。木马 Doly Trojan、Fore、 Invisible FTP、WebEx、WinCrash 和 Blade Runner 所开放的端口。端口：22 服务：Ssh 说明：PcAnywhere 建立的 TCP 和这一端口的连接可能是为了寻找 ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用 RSAREF 库的版本就会有不少的漏洞存在。端口：23 服务：Telnet

如何手动查杀电脑病毒

如何手动查杀电脑病毒我的电脑中了许多病毒!想要手动查杀下病毒!用什么方法最好呢?下面由店铺给你做出详细的手动查杀电脑病毒方法介绍!希望对你有帮助!手动查杀电脑病毒方法一：要想手动杀毒,首先你得晓得病毒所在的位置,当你能确认那个文件就是你所说的病毒,那么就可以将它点右键删除(DELETE)或是(SHIFT+DELETE),假若无法将其删除就点右键看看它的属性,若在存档那前面已经被打上了勾的话,就把勾给去掉,然后再重复开始的那个动作... ...假若仍然无法将其删除就重起计算机按F8键进入安全模式下将其删除对它仍然无效的话还可以进入DOS下输入命令将其删除以上的办法都没能将它删除的话,就只有在运行里输入"REGEDIT"进入注册表里修改那文件的键值后将其删除手动查杀电脑病毒方法二：自己手动查杀病毒和木马时下，病毒、木马可谓越来越多，而且经常造访我们的“爱机”，给工作带到来极大的不便!如此之多的病毒、木马，若要都用杀毒软件来杀的话，并非确保全盘杀掉，况且有的病毒出现快杀毒软件还未来得及更新病毒库就已侵袭了我们的电脑，在这种情况下，如何是好呢?是否一筹莫展呢?非也，您不妨按照如下步骤自已动手进行删除。

1、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，再将可疑的删除。

2、删除上述可疑键在硬盘中的执行文件。

3、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。

4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项(如Local Page)，如果被修改了，改回来就可以。

5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command 和 HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。

教你查看计算机端口以及关闭端口

教你查看计算机端口以及关闭端口2009-12-16 17:56如何查看计算机端口：在运行里-cmd-netstat -an就会显示出你开的端口了!!当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server 端（就是被种了木马的机器了）打开监听端口来等待连接。

例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000则是使用54320等等。

那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它hacker程序。

以下是详细方法介绍。

1． Windows本身自带的netstat命令关于netstat命令，我们先来看看windows帮助文件中的介绍：Netstat显示协议统计和当前的 TCP/IP 网络连接。

该命令只有在安装了 TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]参数-a显示所有连接和侦听端口。

服务器连接通常不显示。

-e显示以太网统计。

该参数可以与 -s 选项结合使用。

-n以数字格式显示地址和端口号（而不是尝试查找名称）。

-s显示每个协议的统计。

默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。

-p 选项可以用来指定默认的子集。

-p protocol显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。

如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

-r显示路由表的内容。

interval重新显示所选的统计，在每次显示之间暂停 interval 秒。

按 CTRL+B 停止重新显示统计。

如果省略该参数，netstat 将打印一次当前的配置信息。

好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。

电脑中的木马病毒如何彻底查杀

电脑中的木马病毒如何彻底查杀电脑中的木马病毒如何彻底查杀在用电脑的过程中，经常会遇到一些木马病毒，中病毒后，很多人都会表示用电脑杀毒软件杀毒就可以了，还有一些人在使用杀毒软件后发现，病毒在重启电脑之后又再次出现了，那么怎么样才能彻底查杀电脑中的木马病毒呢?下面和大家分享一些方法。

一、文件捆绑检测将木马捆绑在正常程序中，一直是木马伪装攻击的一种常用手段。

下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星文件中只要捆绑了木马，那么其文件头特征码一定会表现出一定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来判断的。

程序运行后，我们只要单击“浏览”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。

此时，我们只要查看分析结果中可执行的头部数，如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的，还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“Clean File”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

二、清除DLL类后门相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉。

因此清除的步骤也相对复杂一点。

1.结束木马进程由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成具体的项目，对此我们如果发现自己系统出现异常时，则需要判断是否中了DLL木马。

在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看所有DLL模块，这时如果发现有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除。

Mac OS X如何使用命令行检测系统安全

Mac OS X如何使用命令行检测系统平安最近有局部用户的MAC电脑受到了病毒的感染，但是不知道是硬件还是系统平安受到损害。

那么该怎么确定自己的电脑是否受到感染呢?和Windows有所不同的是，我们可以利用命令行检测，现在就教大家使用命令行检查自己的电脑的方法吧。

检查方法：1，翻开终端2，输入以下命令，下载脚本curl -O3，运行脚本python WireLurkerDetectorOSX.py4，如果显示 Your OS X sy stem isn‘t infected by the WireLurker. Thank you! 那么说明你的 Mac 没有被感染，恭喜! 如果找到相关文件，就会列表出来，用户可以一一删除。

更新 1： WireLurker 就是前一段时间，果粉之间热烈讨论的恶意软件Machook。

更新 2：据报道说， WireLurker 会把iOS上面的美图秀秀，淘宝，支付宝，等热门软件删除，然后替换为自己打包，添加了木马的版本。

建议中招WireLurker的用户删除相关软件，到iTunes商店里面重新下载，并且修改淘宝和支付宝等效劳的密码。

一、病毒重装电脑被中了病毒，电脑中毒这是在我们在使用电脑都会遇到的现象，那么有的时候电脑被中毒了，然而有的时候用杀毒软件可以查杀不完全，导致电脑还是恢复不了当初的状态。

这样的话，你可以采用FORMAT格式化命令对系统进行重装查杀系统。

二、大量碎片、系统稳定性能下降如果一个系统用了一段时间后，就会累积了很多的磁盘碎片，这些碎片就大量占用了磁盘的空间，我们可以重装系统来提高磁盘空间的利用率，这样硬盘的使用空间也就更大，也不会影响到磁盘的使用寿命。

其次长时间使用的操作系统可能在一些造成电脑系统稳定性能降低。

同样重装系统也是可以提高系统的平安稳定性能。

三、文件缓存、垃圾过多、ie被篡改重装系统还可以清理系统的垃圾和缓存文件。

而且还能复原用户一些操作习惯，这里比方一些木马恶意插件篡改了ie首页或者造成ie浏览器出现故障的话，都是可以通过系统重装即可解决。

木马病毒的检测、清除及其预防

（2）如果 C:windowsstartmenuprograms
startup目录下有explorer.doc这个文件，删除它。
2．通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe ，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”（Windows系统的图形界面命令解释器）。如果此处修改成其他的可执行文件就可以实现木马的加载，例如“妖之吻”病毒，电脑每次启动后就自动运行程序yzw.exe，修改的方法是编辑 system.ini，将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。
方法通过启动方式
由于木马的隐蔽性非常强，在电脑开机的时候一般都会自动加载，在启动之后大部分还会更改文件名，因此从Windows系统自动加载文件的方式入手来分析木马的存在并清除就很有意义。木马自动加载的方法和存放的位置比较多，下面结合具体的实例来分析木马的启动并提出常见的木马清除方法。
6. 利用Explorer来加载文件。在Windows 95/98和Windows ME系统中，Explorer作为Windows图形界面的命令解释器，每次在系统启动时加载，Explorer.exe的加载是通过system.ini文件来进行的。system.ini文件在配置中本身没有提供路径信息，因此如果 c:explorer.exe存在，那么将直接运行它，否则就会去执行 c:$winpathexplorer.exe。而对于Windows NT/2000系统来说，首先要“请示”Windows的注册表 HKEY_LOCAL_MACHINE

如何快速判断计算机是否被病感染

如何快速判断计算机是否被病感染在当前的数字化时代，计算机成为了我们处理工作、生活中不可或缺的伙伴。

然而，随之而来的是计算机病毒的泛滥，对我们的计算机和个人隐私，甚至银行账户等信息造成了极大的威胁。

因此，了解如何快速判断计算机是否被病毒感染变得极为必要。

第一步：观察计算机是否出现异常现象通常，感染病毒的计算机会出现异常操作。

如果计算机启动或关闭的速度变得缓慢，或者运行软件时变得异常缓慢，这可能是病毒感染的迹象之一。

此外，如果计算机出现非预期的弹窗，或者在访问互联网时突然跳出广告页面，也极有可能是某个病毒寄居在计算机中。

第二步：检查计算机硬盘剩余空间当计算机感染病毒时，病毒程序可能会不断执行磁盘IO读写操作，导致计算机硬盘剩余空间变少。

因此，我们可以通过查看计算机硬盘的剩余空间，来判断计算机是否被病毒感染。

第三步：检查计算机任务管理器任务管理器是一个监视计算机资源的实用程序，可以使用它来确定正在运行的进程数量和资源占用情况。

如果病毒正在计算机中运行，则通常会创造很多运行中的进程。

因此，观察计算机任务管理器中是否存在未知的进程，如果存在，则说明计算机可能被病毒感染。

第四步：运行计算机杀毒软件在计算机病毒感染的情况下，及时运行杀毒软件非常关键。

许多杀毒软件都可以帮助你检测和删除计算机中的不良程序。

另外，杀毒软件可以通过更新病毒数据库，进一步保护计算机的安全。

总结通过以上这些方法，我们可以快速判断计算机是否被病毒感染。

但是，这些方法并不能完全保证你的计算机是否已经被病毒感染。

因此，在日常使用计算机的过程中，我们需要保持警惕并保持计算机的安全，例如使用合法的许可证和杀毒软件等。

只有这样，我们才能更好地保护我们的个人计算机和隐私。

应用程序初始化失败

7、应用程序由于自身BUG引用了不正常的内存指针在使用动态分配的应用程序中，有时会有这样的情况出现：程序试图读写一块“应该可用”的内存，但不知为什么，这个预料中可用的指针已经失效了。有可能是“忘记了”向操作系统要求分配，也可能是程序自己在某个时候已经注销了这块内存而“没有留意”等等。注销了的内存被系统回收，其访问权已经不属于该应用程序，因此读写操作也同样会触发系统的保护机制，企图“违法”的程序唯一的下场就是被操作终止运行，回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊！像这样的情况都属于程序自身的BUG，你往往可在特定的操作顺序下重现错误。无效指针不一定总是0，因此错误提示中的内存地址也不一定为“0x00000000”，而是其他随机数字。
手工修复系统服务
与系统内存读写操作有关的Windows Management Instrumentation服务要是发生错误的话，也会导致系统弹出内存读写错误的提示，所以当我们遇到这种错误现象时，可以尝试手工修复一下Windows Management Instrumentation服务，下面就是具体的修复步骤：
参考资料 :/question/29851924.html
这个最好用先运行输入cmd 回车在命令提示符下输入
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
如果有再不明白的请输入“read或written”搜索。
及时释放的程序或者游戏时，需要消耗相当的系统内存资源，要是此时内存空间不够时，那么系统内存读写错误的故障提示很有可能就会发生。为了有效避免这种错误提示，我们最好在运行容量较大的程序或者游戏之前，应该先将计算机系统重新启动一下，这样能够将系统内存空间充分释放出来;如果计算机内存空间本身就比较小的话，那么我们建议各位最好及时升级内存，以便拓展内存的有效使用空间，以防止由于系统内存不足而造成系统内存读写错误的发生。

计算机木马病毒介绍

具有自动运行性
在系统启动时即跟随着启动，所以必须潜入在你的启动配置文件中如win.ini system.ini winstart.bat及启动组等文件中
包含具有未公开并且可能产生危险后果的功能的程序具备自动恢复功能
现在很多木马程序中的功能模块不再由单一的文件组成，而是具有多重备份，可以相互恢复
能自动打开特别的端口功能的特殊性
除普通的文件操作以外，有此木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标功能
木马病毒的判断
当你浏览一个网络，弹出一些广告窗口是很正常的事情，可是如果你根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站系统配置老是自动被更改，比如屏保显示的文字，时间和日期，声音大小，还有CDROM自动运行配置硬盘老没缘由的读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象
自我销毁
打开含有木马的文件后，木马会将自己拷贝到WINDWOS的系统文件夹下源木马文件和系统文件夹中的木马文件大小是一样的，用户在近来收到的信件和下载的软件中找到源木马文件，根据大小去系统文件夹中找相同大小的文件，判断下哪个是木马就行了，而此种木马我自我销毁功能。在没查杀木马的工具帮助下，就很难删除木马了
键盘记录木马
记录受害者的键盘敲击并且在LOG文件里查找密码随着WINDOWS的启动而启动，有在线和离线记录选项，对于这种类型的木马，邮件发送功能也是必不可少的
木马的种类
DoS攻击木马
入侵一台计算机种上DoS攻击木马，此机成为日后DoS攻击的最得力助手控制的肉鸡数量越多，你发动DoS攻击取得的成功率就越大此类木马不体现在被感染的计算机，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成伤害和带来损失类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪，不能接受邮件为止

不用工具查看局域网电脑是否中了ARP病毒

不用工具查看局域网电脑是否中了ARP病毒
ARP在局域网里相信很多朋友都见识过，当然这个病毒只也会泛滥在局域网里，如果你是单机，除了长点见识，我想这并不是你所需要的。

局域网中只要有一台电脑感染了ARP病毒，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

下面YESURE介绍个小方法帮助大家检查局域网内是否有人使用ARP欺骗工具。

1.点击开始菜单–>运行“cmd”，出现下图。

2.利用ping命令，ping下网关以刷新ARP表(本例中网关为192.168.1.1)。

3.运行“arp –a”命令，注意arp后面有一个空格。

这时能够看到网关的MAC 地址。

如果被 ARP欺骗则这时看到的网关地址不是真实的网关地址。

4.然后打开路由器，查看网关的MAC地址。

5.对比第三步和第四步得到的MAC地址，如果发现两个MAC地址不同，则有人使用ARP欺骗工具。

如果相同，那就没有问题。

如有兴趣请关注，明天的，如何应对ARP病毒的一些策略……。

如何检查你的电脑是否成为别人的”肉鸡”

如何检查你的电脑是否成为别人的”肉鸡”所谓电脑”肉鸡”，指的是通过非正常途径获得管理权限被控制的远程电脑，也就是受别人控制的远程电脑。

肉鸡在从计算机应用类型上分有服务器和个人肉鸡两类。

如何检查自己是否成为肉鸡?对于服务器：1、检查自己的服务器应用是否异常2、检查服务器是否有可疑的进程3、检查服务器是否有可疑的服务4、检查服务器是否有可疑的帐号5、检查服务器网络数据是否正常对于个人PC：1、检查即时通信、电子邮件帐号等是否异常2、检查网络游戏帐号是否异常3、检查系统是否有可疑进程4、检查系统是否有可疑服务5、检查系统是否有可疑应用6、检查网络数据是否有正常如何才能够避免自己的电脑成为“肉鸡”?1、关闭不必要的应用与服务及端口2、勤打系统、软件漏洞补丁3、安装部署专业的反病毒软件并保持实时更新4、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。

5、别轻易打开陌生人邮件及邮件附件、连接等。

6、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

7、发现异常情况，请立即更新你的反病毒软件进行全盘查杀检查是否成为“肉鸡”电脑的十大可疑现象：现象1：QQ、MSN的异常登录提醒。

你在登录QQ时，系统提示上一次的登录IP和你完全不相干。

现象2：网络游戏登录时发现装备丢失或和你上次下线时的位置不符，甚至用正确的密码无法登录。

现象3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。

注意:这种鼠标的移动轨迹与那些劣质光电鼠标的自动漂移明显不同，非常有目的性。

你可以清楚的感觉到，这是有人在操纵你的电脑。

现象4：正常上网时，突然感觉很慢，硬盘灯在不停的闪烁。

这种很可能是有人在企图COPY你的文件。

此时，你应该立刻拔掉网线，立即检查你的系统进程是否异常。

现象5：当你准备使用摄像头时，系统提示，该设备正在使用中出现这种情况，说明可能攻击者在盗用你的摄像头。

因此在不用摄像头时，把镜头给盖上。

怎么检测电脑死机原因

怎么检测电脑死机原因当我们的电脑突然死机了，该怎么去了解这个问题的原因呢?怎么检测电脑死机原因?下面就由小编教教你怎么分析吧!怎么检测电脑死机原因，分析步骤：1.CPU的温度过高.2.电压波动3.硬盘坏道4.内存过热或局部损坏5.12v输出电流过低.使用正版杀毒软件升级到最新病毒库对系统进行全面查杀2.排除病毒原因后，检查主板、显卡等驱动程序是否正确安装，更换最新版驱动程序试试3.排除软件原因后，检查硬件，使用软件工具(如everest)察看CPU、内存、显卡是否被超频使用，如果被超频尝试还原原始频率运行4.使用软件工具(如everest)察看CPU、主板、显卡工作温度是否过高，各散热风扇是否运转正常，造成温度过高的原因有：超频、加电压、风扇运转不正常或停止运转、风扇安装不正常、散热膏涂抹过多、散热膏涂抹过少或未涂抹等5.使用软件工具(如everest)察看电源输出是否符合规范，波动是否在正常范围内6.其他原因：软件设置不当、软件兼容问题、硬件兼容问题等电脑重启的原因一、软件1.病毒破坏自从有了计算机以后不久，计算机病毒也应运而生。

当网络成为当今社会的信息大动脉后，病毒的传播更加方便，所以也时不时的干扰和破坏我们的正常工作。

比较典型的就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒，发作时还会提示系统将在60秒后自动启动。

其实，早在DOS时代就有不少病毒能够自动重启你的计算机对于是否属于病毒破坏，我们可以使用最新版的杀毒软件进行杀毒，一般都会发现病毒存在。

当然，还有一种可能是当你上网时被人恶意侵入了你的计算机，并放置了木马程序。

这样对方能够从远程控制你计算机的一切活动，当然也包括让你的计算机重新启动。

对于有些木马，不容易清除，最好重新安装操作系统。

2.系统文件损坏当系统文件被破坏时，如Win2K下的KERNEL32.DLL，Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏，系统在启动时会因此无法完成初始化而强迫重新启动。