文章大纲：

• 1、谁能告诉我一些关于使用电脑的小知识，越全面越好，拜托了！
• 2、联想笔记本出问题：your PCran into a problem and needs to restart. we're just collecting（blabla.）
• 3、为什么安装音频转化大师时总是被norton提示有木马？
• 4、为什么我一启动 *** 游戏就一大堆病毒
• 5、如何保障信息安全？

谁能告诉我一些关于使用电脑的小知识，越全面越好，拜托了！

1.Windows Vista的十个实用“运行”命令:

Windows Vista以其华丽的界面和全新的操作方式受到大众喜爱，但实际上，如果你善于使用“运行”命令，仍然可以大大简化操作，甚至是发现一些常规菜单里没有的功能的。

下面就给大家讲讲Windows Vista下面的一些工具命令，你只需按Win+R调出“运行框”，然后输入相应的命令并打回车即可。

命令: msra.exe

远程协助: 这是个非常实用的功能，尤其是菜鸟，当你面对机器故障束手无策时，可以通过这个功能向Internet上的朋友的寻求帮助，让他直接在你机器上进行操作。

命令: compmgmt.msc

计算机管理: 这是一个集大成的管理界面，可以在此查看和配置机器的各个组件。

命令: rstrui.exe

系统还原: 默认情况下，机器会自动创建很多还原点，而此命令就是利用这些还原点将计算机系统还原到先前状态的。

命令: control.exe system

系统属性: 查看有关计算机的系统设置的基本信息

命令: msinfo32.exe

系统信息: 很多软件都在“关于”界面上设置了这个按钮(如Office)，在此可以查看有关硬件设置和软件设置的详细信息

命令: cmd.exe /k %windir%System32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

禁用UAC: 你是不是经常遇到这个东西，一运行可执行程序就弹出来问你是否继续?这就是Vista的新增功能——用户帐户控制。如果你不喜欢它，可以通过下面命令禁用该功能，运行后需要重新启动。

如果想重新启用UAC，可以使用这个命令: cmd.exe /k %windir%System32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 1 /f

命令: regedt32.exe

注册表编辑器: 注册表是Windows的核心，也是很多高手显示水平的乐园。这个工具从Win95就一直存在，Vista当然也不例外，只是改成了32位的。

命令: winver.exe

启用UAC: 启用用户账户控制(需要重新启动)

关于Windows: 几乎每个软件都有“关于”对话框，用来显示版本和版权信息，Windows当然也不例外。

命令: taskmgr.exe

任务管理器: 在WinXP中，只要同时按下Ctrl+Alt+Delete就可以调出该窗口，它可以显示有关计算机运行的程序和进程的详细信息。但在Vista下就没那么方便了，你需要用到下面命令。

命令: cmd.exe /k %windir%system32ipconfig.exe

IP配置: 想知道你的IP *** 配置是什么状态吗?输入上面命令即可看到。

2.Shift键妙用及ESC键妙用点滴介绍:

shift键我们经常使用，但是有些功能你可能并不知道，下面我们就从十个方面来讲一下shift键妙用:

一 当你用 *** 和别人聊天时，是不是有时信息发送的特别慢呀，不要紧，只要你发信息时按shift键信息就会很快的发送出去的!

二 当你面对一大堆窗口，却要一个一个把它们关掉时。是不是很烦啊。只要你按shift键在单击关闭按扭，所以的窗口就会全部关掉。

三 在输入大小写字母时，按shift键，就可以改变其大小写!

四 当安装了某个新软件，有时要从新启动计算机才有用，只要先按shift键，就可以跳过计算机的自检节省了大量的时间!

五 选择文件时，先按shift键，在选最后一个文件，可以选中一大批。

六 删除文件时，按shift键可以直接删除。不经过回收站。

七 放光碟时，连按数下shift键，可以跳过自动播放!

八 按shift键+F10可以代替鼠标右键。

九 打开文件时，如果你不想用默认方式打开，按shift键，在单击右键，在右边的菜单上就多出了打开方式下面的你就自己去做吧!

十 按shift键，点击超级连接，可以打开新窗口

对于一般用户而言，位于键盘左上方的ESC键并不常用，但你知道吗？其实借助ESC键还能实现不少快捷操作哦！

1.上网时，如果点错了某个网址，直接按ESC键即可停止打开当前网页。

2.上网时总免不了要填写一些用户名什么的，如果填错了，按ESC键即可清除所有的框内内容；而打字时，如果打错了也可以按ESC键来清除错误的选字框。

3.除了“Ctrl+Alt+Del”组合键可以调出windows任务管理器外，按下“Ctrl+Shift+Esc”组合键一样能启动任务管理器。

4.当某个程序不处于活动状态而我们又想将其恢复为活动状态时，按“Alt+Esc”键即可激活该应用程序，而不必用鼠标点击程序标题栏。

5.对于存在“取消”选项的弹出窗口而言，如果你要选择取消的话，直接按ESC键即可实现“取消”操作。

3.电脑维修基础知识:

内容：硬件认识及组装 BIOS设置分区 格式化DOS、WINDOWS98和驱动程序的安装；

常用软件的安装及卸载

硬件故障排除

软件故障排除及复习

一、微机系统简介

1．微机原理

1946年的之一台计算机是依冯诺依曼构想一种"存储程序式"模式设计出来的

控制器+运算器+存储器+输入设备+输出设备

ALU：Arithmetic Logical Unit：存储Data与Program。

PCU：Program Control Unit解释、执行指令，控制I/O。

2．发展历史

（46）电子管--58年晶体管--64年小规模集成电路--71年大规模集成电路

3．其它分类

大型机--小型机--微机

4．电脑系统组成

主板（连结所有设备的电路板）

CPU（中央处理器）=运算器+控制器

RAM（随机存储器）

内存（内部存储器）

主机 （内部存储器） ROM（只读存储器）

硬盘（硬盘驱动器）

光驱（光盘驱动器）

软驱（软盘驱动器）

硬件 其它（声卡，显示卡等）

键盘，鼠标，扫描仪，手写板(输入)

外部设备

显示器，打印机

系统软件 操作系统（DOS、95、98、ME、2000、XP等）

软件

应用软件 应用程序（OFFICE2000，打字软件）；程序设计（VB、VC）

多媒体的概念：能综合处理各种媒体信息，比如文字，图画，影像，动画，声音等。

二、机箱（一般包括电源）

1．机箱要求：

（1）要具有一定的硬度，能承受一定的负荷而不变形。

（2）合理的内部结构，便于安装设备和扩展。

（3）具有良好的电磁屏散热性能，避免外界电磁波干扰。

（5）面板开关，指示灯布局合理，标志明显。

（6）美观

2．机箱分类

（1）从电源：AT、ATX

（2）从外观：立式、卧式

（3）从使用：专用、标准通用

3．机箱电源：AT、ATX

（1）ATX电源输出电压规格，20针连接，"D"形，方向不对一般插不进去

（2）AT电源的接法：（1）两个黑线靠在一起。

（3）、电源功率AT200W、220W、250W、300W(与微机的附带设备对应)。

（4）POWER GOOD（PG）信号：是由各直流输出电压检测信号和交流输入，电压故障信号相"与"产生的，它与TTL电平兼容高电平表示电源正常，低电平表示电源故障。PG信号从打开电源到输出有效，大约有100~500MS的延时，其作用是在电源输出达到稳定后通知主机启动系统，而当市电突然断电后，PG信号将在直流稳压输出消失之前做出反应，使得硬盘驱动器有足够的时间使磁头复位，从而防止硬盘受到意外损伤。PG信号不正常往往导致系统不能启动。

4．主机电源的常见故障

电源有无电压输出的判断：

A 电源风扇

B CPU风扇

C.主机面板上的电源指示灯。

（1）系统死机。

A 电源本身故障（质量差或发热太大）使直流输出电压不稳

B 输入交流电压过高，过低或突然升降的影响。

（2）电脑在工作时突然自行启动，一般都是电源故障。

A由于交流供电有一个短暂的掉电或电压大幅度波动引起电源交流低压保护电路动作造成的。

B由于电源负载能力差，在外部设备（如硬盘软驱等）启动读写数据时，使电源输出电压突然降低，使主机重新启动。

C电源内部线路接触不好，由于振动，使输出直流 瞬时没有眩而造成主机重新启动。

（3）电源风扇不转成或噪音过大。风扇线圈烧断，螺丝松动。

二、几个重要概念

1．存储单位

bit，Byte位，KB，MB（兆），GB（吉），TB

2．时钟频率

时钟：（电压的高低交替）1MH，高低交替一百万次

ns纳秒：10亿分之一。109

Hz，MH

3．总线：一种连接多个设备的信息传输通道，

（1）概念：实际上是一组信号线。

每根信号线都可以传递分别表示"0"和"1"的信号。

（2）多总线结构

计算机中通常是多总线结构（国家交通网）

（3）系统总线：（共同的速度）

（4）常见外部总线

ISA：工业标准体系 16位 8MH 黑色长槽

PCI：外围部件互联 32位 33MH 白色短槽133MBPS

AGP：（般用来插接显示卡）图形加速端口 32位 66MH（1X，2X，4X）

褐色短槽266MB/S。。。。。。

4．缓存--缓冲存储器（Cache）

全速，半速

一级、二级（比一级大、慢）L1，L2

三、CPU（Central Processing Unit）中央处理器

1．历史

Intel 与AMD、Cyrix均有同名产品

78年 8086 16位

81年 8088 8位 IBM首台PC机 CPU焊在主板上

82年 80286 16位 20MH

85年 80386 32位 33MH 缓存（主板上）

89年 80486 32位 33MH 有缓存，出现倍频技术

没有沿用586、686的原因

1．美国商标法规定不能用纯数字作为商标

2．摆脱名称混乱

Intel AMD

93年 Pentium 66-166 66MH K5 66-166 66MH

96年 Pentium MMX 166-233 66MH K6 166-233 66MH

98年 PII 233-333333-450 66 MH100MH K6-2K2-III 233-450400-550 100MH100MH

98年 Celeron 233-450 66MH

99年 PIII 450-933 100MH133MH K7速龙 雷鸟 500-850850-1.4G 200

Celeron II 533-733 66MH K7 *** 550-850 100

Cyrix 96年6X86 133-233（66MH）

98年MII300 （66MH）

现在被威盛收购，有VIA Cyrix III推出。

2．选购CPU的性能参数

（1） 主频、外频和倍频（如水库的容量和出口）

（2） 缓存速度及大小

（3） 指令集

MMX：增强多媒体效果(Intel)

3D NOW！：提高三维图像处理性能(AMD)

SSE：Streaming SIMD Extensions（Intel同前两者）

（4） 工作电压：1.6～3.5

（5） 封装方式（与主板的接口）

Socket 370：方形插座（零插拨力）

Slot：条形直槽

（6） 工作模式

实模式（8086~80386）

保护模式（虚模式）

（7） 超频

A. 改善系统的性能

B. 要稳定

C. 考虑CPU的安全及寿命

D. 其它的设备要能跟上

主板的分类：

1、 按CPU分

2、 按I/O总线类型分。

USB。

IEEEB94，俗称"火线"（FIRE WARE）

3、 按逻辑控制芯片组分。

LX早期P60和66。

NX：P75以上支，在430FX之前很流行。

FX（430，商用微机）

VX（430对普通的多媒体应用作及优化和精简，已被IX取代）

TX

GX、KX450系列，GX--服务器，KX--工作站及高性能桌面PC。

MX（430）笔记本电脑的奔腾级芯片。

非INTEL公司的

VIA 台湾威盛、ALI台湾矽统、OPTI台湾OPTI。

4、 按结构分：

AT

BABY AT比AT主板小（许多原装机的一体化主板）

ATX

一体化（ALL IN ONE ）--原装品牌

NLX

3/4BABY AT

主板的选购：

A、 性能，因素，其中包括速度、稳定性、兼容性、扩展能力、升级能力。

B、 主板元件选择，是通过主板上的元件来具体体现的。如芯片组，CACHE的速度和大小等。

C、 价格。

D、 其他因素。

非INTEL（ PENTIUM级CPU）公司对主板的特殊要求：

A、 总线频率

B、 芯片组

C、 电压、频率设置

PENTIUM MMX对主板的选择

A、 CPU支持，普通PENTIUM使用SOCKET与或SOCKET7插槽，但只有SOCKET7才同时支持PENTIUM和PUNTIUM MMX，PENTIUM MMX更低主频也在166。

B、 芯片组，430LX，NX ，FX的主板不能直接使用，PENTIUM MMX CPU ，而只能使用带MMX支持的PENTIUM MMX OVERDRIVE升级的芯片。

233以上的PUNTIUM MMX CPU只能采用其他的芯片组。

主板上的新技术。

非同步PCI时钟。

早期的主板，通常固定，PCI总线工作频率，一般为CPU总线频率的一半，在使用83MH2以上的总线频率时。

系统将非常不稳定，为了解决此问题当前多数主板都可以设定非同步，PCI时钟频率，即当主板工作在83MH2以上时钟频率时，PCI总线仍工作在33.3以下,使PCI和IDE设备正常工作。

内存、CPU外频工作在100MH2，甚至133MH2，受到严酷考验的首先是内存，有些主板引入了一些特殊外频，使外频不超过PC100的时钟有极限，有些主板具有"内存时钟选择"功能。

安全技术

ULTRA DMA66（80PIN）

SB-LINK接口（音频连接线）

立即进入开机

防电磁辐射功能

桌面管理界面DMI技术

通用串行总线（USB）接口技术，（12MB/S的传输）

内存，计算机系统使用了多种存储器模式，只读存储器ROM，主要用于存放BIOS键盘适配程序等。除此之外，RAM，如：DRLM SRAM CACHE

内存的常用单位，A位，O式1就是一个比利时特，在现代的电脑中一个比特对应着一个晶体管。

B、字节（B、BYTE）1字节=8个比特，即1BYTE=8BIT

C、 1KB=1024BYTE

1MB=1024KB、1GB=1024MB、1TB=1024GB

内存的存取速度"-7"--"70NS""-12"--"120NS"

内存新技术。

SORAMⅡ也就是DDR SDRAM

RDRAM也就是RAMBUS DRAM.

CDRAM（如三星）

硬盘：

DMA

40芯与80芯

ultra极端的 udma

4.智能ABC输入法状态下的一些技巧:

对于经常使用智能ABC输入法的网友来说，掌握此输入法的一些技巧可以大大提高我们的打字速度，下面我就来说一下我所知道的一些技巧，希望能够对你们有所帮助！

“v”的妙用→使用v可输入英文字母

用智能ABC输入含有英文的中文语句时，使用Ctrl+Space切换中英文输入状态十分麻烦 。其实智能ABC在输入拼音的过程中，如果需要输入英文，可以不必切换到英文方式。键入“v”再输入想输入的英文，按空格键，英文字母就会出现，而“v”不会显现出来。比如输入“venglish”按空格，就会得到“english”。

“i”也神奇→使用i可输入中文小写的数字

若想输入中文的小写数字“○”到“九”；只要输入“i0”—“i9”（注意是小写英文“i”）即可，同样，输入“I0”—“I9”（大写的“I”→可用shift键加i来转换），即对应中文的小写数字“零”到“玖”。如输入中文日期，可使用“n”、“y”、“r”来分割“年”、“月”、“日”，输入日期之前还要先加上“i”，如要输入“二○○六年八月一日”，只需键入“i2006n8y1r”即可。输入“i+”会得到“加”，同样“i-”、“i*”、“i/”对应“减”、“乘”、“除”。

对一些常用量词也可简化输入，输入“ig”，按空格键，将显示“个”；“ij”得到“斤”.

各种常用的字符：V1——V9

V+1 各种常用的和不常用的标点符号

V+2 各种类型的数字

V+3 常用符号

V+4 日语假名

V+5 注音

V+6 各种语言的基本字母

V+7 各种语言的基本字母

V+8 汉语拼音

V+9 线形特殊符号

5.用组策略打造系统铜墙铁壁:

1．隐藏“我的电脑”中指定的驱动器（Windows XP／2003）

此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。

打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。

提示：这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。

2．防止从“我的电脑”访问驱动器（Windows 2000／XP／2003）

此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像 *** 驱动器对话框或Dir命令查看在这些驱动器上的目录。

打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。

提示：这些代表指定驱动器的图标仍旧会出现在“我的电脑”中，但是如果用户双击图标，会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和 *** 驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。

3．禁止使用命令提示符

（Windows 2000／XP／2003）

在Windows 2000／XP／2003下，我们可以运行cmd．exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。

打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件 �．cmd和．bat　是否可以在计算机上运行。

如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一操作。

4．禁止更改显示属性

（Windows 2000／XP／2003）

选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果你不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。

打开“组策略控制台→用户配置→管理模板→控制面板→显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。

5．禁用注册表编辑器

（Windows 2000／XP／2003）

为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作 *** ：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。

此策略被启用后，用户试图启动注册表编辑器（Regedit．exe 及 Regedt32．exe）的时候，系统会禁止这类操作并弹出警告消息。

6．彻底禁止访问“控制面板”

（Windows 2000／XP／2003）

如果不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。打开“组策略控制台→用户配置→管理模板→扩展面板”中的“禁止访问控制面板”并启用此策略。

此策略启用后可以防止“控制面板”程序文件（Control．exe）的启动。他人将无法启动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。

7．禁止建立新的拨号连接

（Windows 2000／XP／2003）

如果不想让别人在计算机中建立新连接来拨号上网的话，组策略也可以做到。打开“组策略控制台→用户配置→管理模板→ *** → *** 连接”中的“禁止访问新建连接向导”并启用此策略。

启用此策略后，在“ *** 连接”文件夹和“开始菜单”中就不会出现“建立新连接”。

提示：此设置无法阻止用户使用诸如 Internet Explorer 这样的其它程序来绕过此设置。另外此设置必须重新启动计算机后才能生效。

8．禁用“添加／删除程序”

（Windows 2000／XP／2003）

“控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序，可利用组策略来实现。

打开“组策略控制台→用户配置→管理模板→控制面板→添加→删除程序”中的“删除‘添加／删除程序’程序”并启用此策略，当我们再打开“控制面板”中“添加／删除程序”模块的时候，会自动弹出警告窗口，而“添加／删除程序”则无法运行。

此外，在“添加／删除程序”分支中还可以对Windows“添加／删除程序”项中的“添加新程序”、“从CD－ROM或软盘添加程序”、“从Microsoft添加程序”、“从 *** 添加程序”等项进行隐藏，通过这些策略项目的设置，起到了保护计算机中系统文件及应用程序的作用。

9．限制使用应用程序

（Windows 2000／XP／2003）

如果你的电脑设置了多个用户，有些程序我们可能不希望其他用户随意运行，也能在组策略中设置。

打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略，然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。

联想笔记本出问题：your PCran into a problem and needs to restart. we're just collecting（blabla.）

【答案】：

【原因】：

u *** d.sys是windows系统里USB接口的核心驱动程序文件之一，提示说它出了毛病，可以往

软件硬件两方面考虑，硬件就是你百度到的那些，再加上主板损坏的可能性（可能性不高，

因为本子是新的），软件则是病毒木马感染了这个文件，或者某些系统级的软件跟它有冲

突。你应该在查杀病毒的同时，逐渐卸载最近安装过的新软件和新驱动，一一认定。

【解决 *** 】：

1、没有软驱但启用了软驱，可将软驱禁用。

2、开机按DEL进BIOS，选择：STANDARD CMOS FEATURES。

3、DRIVE A ： 设置为 None；DRIVE B ： 设置为 None。

4、按F10 保存，输入“Y”回车即可。

【拓展】：

【联想笔记本的特色技术】：

1、指纹识别技术：指纹识别技术的工作原理是，通过集成的指纹识别模块在系统上注册用

户的指纹信息，通过验证这种独一无二的生物特征，来取代BIOS和Windows密码，同样也

可用于文件加密。

2、人脸识别技术：联想已经推出了使用这项技术的笔记本电脑，对于用户安全方面的需求

来说，无论是用户登录、文件保密、Email/BBS密码管理甚至待机保护，这些安全问题都能

得到彻底解决，同样也可以用于文件加密，通过安装在笔记本上方的摄像头，还可以记录下

非法使用者对笔记本操作的全过程。

3、TPM安全芯片：芯片级安全技术是目前最安全的系统保护措施之一。TPM(Truste

Platform.Mokules，受信平台模块)作为可信计算平台的核心，实际上是一块安装在主板上

的含有密码运算部件和存储部件的系统芯片。它起到的作用则相当于一个“保险柜”，可以

将安全、加密和密码管理等重要的信息。

4、一键恢复：通过快捷键进行进行系统备份和系统恢复算不上新技术，但却非常实用。比

如一个在外地出差的用户，他没有IT服务部门支持，当系统彻底崩溃时，或者硬盘被格式化

或误删除时，都可以用一键恢复来使系统恢复到出差前的状态。

为什么安装音频转化大师时总是被norton提示有木马？

被norton提示有木马?

看看病毒名称里面有没有Adware这个单词?

Adware的意思是当主要用户界面不可见或者被相关软件觉察没有显示时，会自动弹出或者隐藏广告的流氓广告软件。

为什么我一启动 *** 游戏就一大堆病毒

机器狗/磁碟机/AV终结者专杀工具

AUTO木马群专杀工具

3.16-3.31感染量上升最快的10大病毒分析及解决方案

爱毒霸社区提醒您注意，近期肆虐的病毒木马中，排名靠前，对用户产生重大影响的，多数是木马或木马下载器。对付这类病毒，通常需要综合运用毒霸和金山清理专家，因为病毒自身变化多端，杀毒软件不能保证检测到所有变种。某些情况下，您可能需要充分使用金山清理专家来处理。

具体请查看：关于清理专家反复报告发现某恶意软件的处理办法

论坛的新手杀毒专区提供了对新会员最有价值的帮助信息，建议您阅读这里的帮助文档尝试自助解决。

在两周左右的时间里，磁碟机作者停止了更新。遗憾的是，这并非安全软件的功劳，某种程度上讲，是这个制造、传播这个病毒的集团过于疯狂，以致引起各安全厂商的强烈反弹，黑客产业链的某些人不得不暂时低调，以避风头，磁碟机病毒卷土重来的可能性非常大。

目前，上周末出现Auto病毒入侵相当严重，毒霸 *** 中心日接到与Auto病毒相关的案例多达200左右，虽尚不能和磁碟机高峰时相比，同一种病毒引发上百咨询需要引起我们和用户的足够警惕。

以下是本周10大病毒列表：

1.Auto病毒群(auto.exe)

详细信息，参阅

2.磁碟机病毒家族（Worm.Vcting）

详细信息，参阅

3.机器狗病毒（机器狗变种Win32.Troj.Agent.dz.11636）

详细信息，请参考机器狗病毒的详细技术分析

4. *** .fullexploit.ca.4678(乌鸦喝水4678)

感染日志类似于：

引用:

病毒名称 *** .fullexploit.ca.4678，文件名称count2[1].htm 原始路径C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O18HEZOP\

病毒名称(中文):乌鸦喝水4678

威胁级别:★★☆☆☆

病毒类型:网页病毒

病毒长度:4678

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个溢出漏洞利用脚本病毒,主要针对baidubar,超星阅读器,联众,暴风影音,realplayer,迅雷,一旦溢出,会从指定网址下载恶意程序执行.访问 *** 的时候访问 *** 的时候挂马传播.

1.一旦病毒脚本溢出成功后,会从上下载木马程序运行

2.该溢出脚本对应的漏洞溢出模块的CSLID如下:

baidubar: A7F05EE4-0426ID:-454F-8013-C41E3596E9E9

BAOFEN: 6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB

LINK(联众): AE93C5DF-A990-11D1-AEBD-5254ABDD2B69

超星: 7F5E27CE-4A5C-11D3-9232-0000B48A05B2

迅雷: F3E70CEA-956E-49CC-B444-73AFE593AD7F

受影响的realplayer版本号:

“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、

“Windows RealPlayer 10”、

“Windows RealOne Player v2 (6.0.11.853 - 872)”、

“Windows RealOne Player v2 (6.0.11.818 - 840)”

解决方案：这类病毒是攻击第三方软件漏洞传播，应该在杀毒完成之后，下载相应软件的最新版本，以修复相关漏洞。

5.Win32.Troj.PcClient.a.688128

毒霸07.11.28.18版本即可查杀。

病毒名称(中文):黑客遥控器

威胁级别:★☆☆☆☆

病毒类型:黑客程序

病毒长度:688128

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹，并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户 *** 服务器地址，并记录至{随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯，接受黑客的指令，使得用户的计算机完全处于黑客的控制之下。

(1)病毒释放文件，然后使用DeleteFileA删除自身

%sys32dir%\0004bb58.inf

%sys32dir%\{随机文件名}.dll（如byhfjm.dll）

%sys32dir%\{随机文件名}.KEY（如byhfjm.KEY）

%sys32dir%\{随机文件名}.sco（如byhfjm.sco）

%sys32dir%\drivers\{随机文件名}.sys（如byhfjm.sys）

(2)病毒增加注册项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb

(3)病毒尝试添加一个系统服务rtltvb

服务名：rtltvb

描述：Microsoft .NET Framework TPM

显示名称：rtltvb

映像路径：%sys32dir%\svchost.exe -k rtltvb

启动类型：自动

(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户 *** 服务器地址，并记录至{随机文件名}.pro（如byhfjm.pro）

"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1"

"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer { *** 地址}"

(5)病毒尝试在后台创建多个线程与远程服务器通讯，接受黑客的指令，使得用户的计算机完全处于黑客的控制之下

0**205.k**p.net（2**.2*7.17.2*6）

6.Win32.Troj.InjectT.gh.180736

升级毒霸到07.10.25.10版本即可查杀，病毒可通过网页挂马，或ARP攻击传播。很老的病毒现在造成大面积入侵，可能与下载器的行为有关。

查毒日志类似于

引用:

病毒 2008-03-11 22:43:46 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XFTMV4S6\29[1] Win32.Troj.InjectT.gh.180736 清除成功

7.Win32.Troj.OnLineGamesT.gr.2637

查毒日志类似于

引用:

Win32.Troj.OnLineGamesT.gr.2637

Win32.Troj.OnlineGamesT.zy.123185

Win32.Troj.Agent.ol.61440

Win32.Troj.OnlineGamesT.xy.44337

Win32.Troj.OnlineGamesT.gr.2637

问题补充：而且像中了Auto木马一样,双击打不开分区(昨天打开新浪网,突然就弹出一大堆网页,之后我就恢复了系统,IE没事了,但木马还在,分区也双击打不开,重要的是清除了之后还有)

病毒分析：

引用:

病毒类型:木马

文件大小:17836 byte

二、 病毒描述：

该病毒为盗号木马类，病毒运行后衍生病毒文件至系统文件夹，并删除自身。通过修改注册表增加启动项目进行开机启动。

三、 行为分析

生成文件：

c:\WINDOWS\system32\upxdnd.dll

c:\WINDOWS\upxdnd.exe

写注册表启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "upxdnd"

Type: REG_SZ

Data: C:\WINDOWS\upxdnd.exe

将upxdnd.dll插入到EXPLORER.EXE进程和其它应用程序进程中进行监视盗号。

解决方案：

引用:

使用金山清理专家粉碎以下文件或升级到最新后查杀。

c:\WINDOWS\system32\upxdnd.dll

c:\WINDOWS\upxdnd.exe

然后使用清理专家删除以下残留的注册表启动项目：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

upxdnd

8.Win32.Troj.RootkitT.k.16800

染毒日志类似于

引用:

win32.troj.RootkitT.k.16800 在c:\windows\dirvers\vga\vmware\lgtosync.sys

病毒名称(中文):病毒保护伞16800

威胁级别:★★☆☆☆

病毒类型:黑客工具

病毒长度:16800

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个Rootkit，它的主要功能是保护其他的病毒文件

一、病毒简介

这个Rootkit主要有两个功能：

1、绕过SSDT挂钩反复写注册表

2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件，使得这些文件被占用而无法被删除

二、功能分析 - 绕过SSDT挂钩反复写注册表

Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存，并通过这个新的内存映象计算出ZwOpenKey，

ZwClose，ZwSetValueKey，ZwEnumerateKey，ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)

的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。

三、功能分析 - 占用文件

Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32

\mlxw81h.dll这两个文件，使这两个文件被占用，从而无法被删除。(这两个文件的名字都是随机的)。

Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建，Rootkit通过写注册表

启动项运行%systemroot%\system32\mlxw81h.dll。如果explorer.exe被创建，Rootkit调用NtCreateFile占用前面提到

的两个病毒文件。

9.Win32.Troj.AgentT.fm.14452

病毒分析：

病毒名称(中文):网游盗贼14452

威胁级别:★★☆☆☆

病毒类型:偷密码的木马

病毒长度:14452

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个网游盗号木马的变种，它盗取的游戏众多。它会强行关闭正在运行中的 *** 游戏，使得玩家不得不重新登录。这样，病毒便可趁机盗窃用户帐号。

1.病毒运行后，产生以下病毒文件(文件名不定)

C:\WINDOWS\system32\avzxest.exe

C:\WINDOWS\system32\avzxemn.dll

C:\WINDOWS\system32\avzxein.dll

c:\WINDOWS\Fonts\mszhasd.fon

2.将C:\WINDOWS\system32\avzxemn.dll添加到执行挂钩HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks，以便随系统启动。

3.将C:\WINDOWS\system32\avzxemn.dll添加到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls，以便随系统启动。

4.病毒运行后，会删除自身，用户发现文件点击后消失。

5.修改注册表，禁用系统防火墙和自动更新功能。

6.不断地写2、3提到的注册表项，防止被删除。

7.关闭名为ElementClient.exe和TQAT.exe的游戏进程，以便让用户重新运行，趁机盗取用户帐号.

清除方案：

使用金山毒霸查杀或者用金山清理专家百宝箱中的文件粉碎器，将以下几个文件彻底删除。

c:\windows\system32\avzxest.exe

c:\windows\system32\avzxemn.dll

c:\windows\system32\avzxein.dll

c:\windows\Fonts\mszhasd.fon

重启后，再用清理专家修复注册表中的残留信息。

10.Win32.TrojDownloader.Agent.49152

这是一个木马下载器，升级到07年12月29日的版本即可查杀，该木马下载器可能是其它类似于磁碟机、AV终结者病毒的下载器download的产物。

查毒日志类似于

引用:

C:\WINDOWS\system32\jxz40cmy.dll中了Win32.Troj.DownLoaderT.np.139264病毒

C:\WINDOWS\system32\drivers\820p.sys中了win32.TrojDownloader.HmirT.a.25920

中木马下载器之后，往往会发现更多木马，建议使用金山清理专家和金山毒霸协同清除，如果你的杀毒软件被破坏，建议先下载金山毒霸提供的磁碟机/机器狗/AV终结者专杀来修复杀毒软件。

针对流行病毒的解决方案：

本周严重流行的病毒以Auto病毒群、磁碟机为主，这些病毒下载器入侵后，会带来严重威胁，表现为很老的木马病毒，也会完成盗号。

木马下载器入侵之后，需要采取综合措施，推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀，将磁碟机清除干净后，还需要使用毒霸和清理专家全面杀毒，将系统中更多的木马完全清除干净。

详情，请参阅：

有关此类病毒的预防

参考“狗犬不惊”之防狗秘笈（）

参考资料：

如何保障信息安全？

我们已经意识到了防火墙、杀毒软件、病毒检测、VPN及加密锁在保护信息安全上的重要性，但是可信计算作为基础应用，运用在电脑上、服务器甚至手机等通讯设备上，发挥巨大的价值，却从根本上解决目前计算机系统存在的基础性安全缺陷。

简单地说，可信计算的主要思想其实就是在硬件平台上引入安全芯片， 即可信平台模块TPM架构，提高终端系统的安全性，从而将部分或整个计算平台变为“可信”的计算平台。可信计算平台的安全性根植于具有一定安全防护能力的 安全硬件，基于安全硬件实现隔离计算、计算环境完整性保证和远程安全性质证明等服务，以保证平台上计算实体行为的可信性，从而解决人机相互信任问题。

瑞达全国营销中心市场负责人朱凌云口中的四句话“进不去”、“看不见”、“拿不走”和“赖不掉”就形象地描绘出了可信计算在信息安全保障上的巨大作用：进不去——电脑现有的用户密码容易被破解，而插卡开机的电脑需要IC卡和用户帐户双重认证;看不见——安全计算机所有的“文件保密柜”通过加密算 法，使其他用户无法看见自己“保密柜”里的文件;拿不走——禁用USB等端口，堵住窃取资料的主要途径;赖不掉——审计日记精确而又不可篡改，发生事情时 可以迅速找出责任人。

而在这种情况下，用户不必太担心硬盘丢失，因为即使丢失，在别的电脑上读出来的也都是乱码，尤其是保密柜里的文件。

“针对那些对保密性要求较高的行业和企业而 言，这种根本上的安全性提高无疑是必要的，而在普通用户中，对信息安全的需求也是越来越强烈。”朱凌云如是说，“随着网上银行的发展， *** 和计算机终端的 安全问题就无法忽视。电脑应用可信计算技术后，只要通过电脑IC卡传送的数据，银行方面就能判断该用户是不是合法的。”

朱凌云同时也表示，由于应用了可信计算技术的电脑成本相对要高于普通电脑，而且很多家庭并不认可，可信计算这种技术要在普通用户中普及开来仍需一段时间。

遥望爆发期

可信计算近年来的发展其实并不太如人意，一方面，熟悉和了解可信计算的企业和普通用户并不多，另一方面，在对其了解的人群中，也存在颇大的争议：拥护者认为它会使计算机更安全、不易被病毒和恶意软件侵害，反对者却因为可信计算会给计算机使用者过多控制而产生诸多不满。

出现这种情况，主要是由于市场对可信计算的认知度不够，以及企业和个人的普遍忧患意识不足。“很多人要等到资料信息泄露等事情发生以后，才意识到安全的重要性，却已为时已晚。”朱凌云颇感无奈，“瑞达的销售人员在跟客户打交道时，先得‘苦口婆心’详细讲解什么是可信计算，这种技术的原理是什么， 会带来什么样的好处。即使讲解完了，客户对它仍朦朦胧胧的，不是很明白。”

而且，在实际推广中，可信计算解决的是信息安全的问题，更可以用“锦上添花”来形容，而非“雪中送炭”，已经有了防火墙、杀毒软件，和加密锁，是否需要可信计算来更好得保障信息安全？大多数人暂时持观望态度。

但是，从另一方面来讲，企业和个人都持观望态度，也说明这个市场的潜力、前景广阔。有业内人士分析，未来5年内，全球70%的计算机都将采用TPM可信计算技术。沈昌祥院士也曾指出，可信计算技术在中国的发展势在必行。

分析人士的声音和来自市场的潜在需求，让越来越多的厂商发现了这一需求中所隐藏的巨大机遇，加入了向可信计算产品迈进的行列，纷纷推出了搭载相关TPM安全芯片的安全PC和笔记本电脑。这个行列中包括瑞达、联想、同方、方正、长城、卫士通等国内民族IT企业和重要科研院所，他们在国家有关部门支持下，加入到可信计算专项组中，利用集体的力量共同推广可信计算。正如朱凌云所说，“众人拾柴火焰高”，在市场培育阶段后，可信计算或将迎来真正的市场“爆发期”。