到今天为止,我朋友的那个问题应该是解决了吧……
  问题是这样的,她的系统是Athlon3000+的,华硕K8N4-E的主板(nForce4),小影霸Unika 6600GT PCI-E的机器。玩游戏等等都没问题,但是只要安装了金山词霸、紫光输入法,并开始查毒的话。系统马上就会弹出RUN A DLL AS AN APP的错误,“Run a dll as an app”是rundll32.exe的进程。提示这个进程出错,然后就关闭了。在点击关闭的同时,explorer也关闭了。explorer重新打开以后,用不了几秒钟,马上又弹出Run a dll as an app程序错误,又关闭。只有重装系统才能解决问题。而且恢复系统以后,只要一进行这个操作,马上就又弹出错对话框,又只有重装。一开始我们还以为是硬件问题,换了内存、主板了,这个问题还是存在。到后来,我在她机器上安装了一个Microsoft Antispyware,才发现在安装紫光输入法的时候,它会帮你安装3721!这个烂东西!
  既然安装了3721,那很多问题都会出现了。本着试一试看心理,我让她安装了拼音加加。到现在为止,已经三天时间了。再也没有出那个问题了。相信这个问题基本已彻底解决。
  教训啊,在安装软件的时候,一定要看好这个软件是否捆绑了流氓软件。否则后患无穷啊!

G0dspeed原著

   随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!

  要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。

  Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

  Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。

  Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。

  Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。

  Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。

  Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。

  其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。

  权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

  我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。

  Administrators中有一个在系统安装时就创建的默认用户—-Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户—-Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”–“管理工具”–“计算机管理”–“用户和用户组”来查看用户组及该组下的用户。

  我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”–“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。

  下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。

  希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点—-有钱:)。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。

  为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\\ftpservice\\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\\nortonAV和d:\\firewall\\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\\www\\bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。  

  一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。

  假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。

  那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!

  现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\\www目录,也就是网站目录读、写权。

  最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提—-虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者—-IIS来解释执行的,所以它的执行并不需要运行的权限。

  经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性 、优先性、交叉性的。

  继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。

  累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。

  优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。

  交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。

  权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。同时还想给各位管理员们一些建议:

  1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。

  2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。

  3.尽量不要把各种软件安装在默认的路径下

  4.在英文水平不是问题的情况下,尽量安装英文版操作系统。

  5.切忌在服务器上乱装软件或不必要的服务。

  6.牢记:没有永远安全的系统,经常更新你的知识。

  近日接到内网用户来报,在上到某些站点的时候,会被提示安装一个叫3721中文实名的插件,部分用户在不知情的情况下误点“安装”选项,导致该病毒驻留于硬盘上难以杀除。天缘虽是网络管理员,但是对Windows操作系统的确使用得不多,从来也没有用过这个名为3721的插件,但看到用户们焦急地神情,于是答应尽力而为。经过几番努力,终于将其斩于马下。 以下是杀除该病毒得经历及病毒解决方案。  

  天缘使用一台windowsxp机器,访问用户提供的站点,下载并执行了该插件。该插件为中文,自动安装后重新启动机器后生效,并自带卸载功能。通过安装/卸载前后的对比观察,其驻留性、自身保护性及对系统性能的大量损耗,让天缘确定了该插件确是病毒无疑!  

  病毒发作现象:  

  自动将浏览器的“搜索”功能重定向到一个叫www。3721。com的网站,该站点为中文站,且无法修改; 

  强行在用户ie上添加“情景聊天”、“上网加速”等几个图标;  

  不断刷新注册表相关键值,以达到成功驻留和大量消耗用户主机资源的目的;  

  每次启机加载,并自带进程保护功能,在正常地windows启动下难以杀除;  

  带自动升级功能,每次用户上网使用ie时,该病毒会后台执行升级;

  病毒自身特点:  

  自带卸载功能;该病毒为达到隐藏自身目的,麻痹下载插件用户的目的,提供了卸载程序。但根据天缘的使用情况发现,在卸载后,该病毒程序依然驻留,启动时仍然加载,依然监视、改写注册表;  

  采用网络升级方式;该病毒为了防止用户以及杀毒软件的杀除,采取定期网上升级的方式,这点与近期的其他Windows主流病毒类似,但值得一提的是该病毒建有公开的病毒升级站点www。3721。com,且站点风格酷似门户、服务类站点,具有极大的欺骗性;

  以驱动模式加载;该特性可说是近段时期以来病毒编写的一次技术飞跃,采用驱动模式加载配合挂接hook的方式,在windows下极难查杀(详细技术讨论见后);  

  提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁,看来新的病毒越来越多地喜欢提供一些另类功能了;  

  被动方式传播:利用一些站点来进行传播,而不是主动感染其他机器,这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动,可说是今年一些病毒的新特点。

  病毒详细分析:  

  当用户访问站点的时候,弹出一个控件下载窗口提示用户下载安装,表面上称自己是提供中文实名服务,引诱用户安装;  

  在安装过程中多处修改用户文件及注册表;

  添加文件:  

  在Documents and SettingsAll Users「开始」菜单程序网络实名 目录下添加:  

  了解网络实名详细信息。url 86 字节  

  清理上网记录。url 100 字节  

  上网助手。url 99 字节  

  卸载网络实名。lnk 1,373 字节  

  修复浏览器。url 103 字节  

  在WINDOWSDownloaded Program Files 下添加:
  
  assis.ico 5,734 字节  

  cns02.dat 1,652 字节  

  CnsHook.dll 56,320 字节  

  CnsMin.cab 116,520 字节  

  CnsMin.dll 179,712 字节  

  CnsMin.inf 378 字节  

  sms.ico" 6,526 字节  

  yahoomsg.ico 5,734 字节  

  在WINDOWSSystem32Drivers 目录下添加:  

  CnsminKP.sys  

  添加注册表键值:  

  增加HKEY_LOCAL_MACHINESOFTWARE3721 主键,下设多子键及属性值;  

  在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主键下增加  

  两个子键  

  在HKEY_LOCAL_MACHINESOFTWAREClasses主键下增加  

  CnsHelper.CH  

  CnsHelper.CH.1  

  CnsMinHK.CnsHook  

  CnsMinHK.CnsHook.1四个子键  

  在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主键下增加子键  

  在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主键下增加  

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主键下增加!CNS子键  

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主键下增加  

  五个子键  

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主键下增加  

  CustomizeSearch  

  OcustomizeSearch  

  SearchAssistant  

  OsearchAssistant 四个子键  

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShellExecuteHooks主键下增加子键  

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun下增加CnsMin子键  

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce下增加EK_Entry 子键 (提示,这个键将在下次启动机器的时候生效,产生最令人头疼的部分,后文会叙述)  

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionUninstall下增加CnsMin 子键
 
  在HKEY_CURRENT_USERSoftware下增加3721子键  

  在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加  

  CNSAutoUpdate  

  CNSEnable  

  CNSHint  

  CNSList  

  CNSMenu  

  CNSReset  

  在重新启动计算机后,上面提到的RunOnce下的EK_Entry生效,在注册表中多处生成最为邪恶的CnsMinKP键值,同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件,噩梦由此开始。  

  由于win2k/xp在启动的时候(包括安全模式)默认会自动运行windows/system32/drivers下面的所有驱动程序,于是CnsMinKP.sys被加载,而这个驱动的作用之一,就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除;Cnshook.dll的作用则是提供中文实名功能,CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,因此造成系统性能下降,在天缘测试的那台机器上,使得性能大概下降了20%左右。而且由于hook强行挂接的原因,当用户使用断点调试程序的时候将会导致频繁出错,这一点与早期版本的cih导致winzip操作和无法关机类似(关于详细的技术细节,可参看题目为《[转载]3721驻留机制简单研究》一文,原作者Quaful@水木清华)

  防删除特性:  

  该病毒虽然自带一个所谓的“卸载程序”,但事实上核心部分的程序/注册表键值依然没有删除。而且该病毒更是利用各种技术手段,具有极其强大的反删除特性。  

  windows系统启机(包括安全模式下)便会加载windows/system32/drivers下的CnsMinKP.sys,该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。  

  技术亮点:  

  天缘不得不承认,3721这个病毒插件可称我作为网管以来面对的最难清除的病毒。近几年来病毒有几次质的突破:cih感染可升级的bios、红色代码打开windows的共享扩大战果、meliza让我们见识了什么是看得到源程序的病毒、mssqlserver蠕虫让我们留意到计算机病毒能攻击的不光是节点还有网络设备、冲击波病毒让我们认识到大量使用同一种操作系统时在出现安全漏洞时的可怕、美女图片病毒让我们知道了将欺骗艺术与软件漏洞结合的威力、而这次3721病毒首次展现了病毒强大的反删除特性,可说是在windows环境下无法杀除的病毒。虽然这是个良性病毒,对系统并没有破坏特性,但依据病毒的发展史,可以预见,这种几近完美的反删除技术将很快被其他病毒所利用,很快将被其他病毒所利用。届时结合网络传播,局网感染带强大反删除功能的病毒或许会让目前windows平台下的杀毒软件遭遇到最大的考验。而这次经历,也让我意识到微软的windows操作系统在人性化、美观化、傻瓜化的背后的危机。作为it同行,我个人对3721病毒作者所使用的种种技术表示钦佩,但新型病毒的潘多拉魔盒,已经被他们打开。  

  在目前已知的病毒历史上,之前只有几种病毒利用过windows nt下的system32/drivers 下的程序会被自动加载的特性来进行传播,但那些病毒本身编写地不够完善,会导致windows nt系统频繁蓝屏死机,象3721插件病毒这样完美地加载、驻留其他进程,只消耗主机资源,监测注册表及关键文件不导致系统出错的病毒,国内外尚属首次,在技术上比以前那些病毒更为成熟;  

  如同天缘和大家曾经探讨过的没打sp2以上patch的win2k如何上网下载sp4再安装补丁这样的连环套问题一样。由于drivers目录下的CnsMinKP.sys启机必定加载,而欲不加载它,只有在windows启动后,进注册表改写相应的CnsMinKP键值或者删除该文件,但由于CnsMinKP.sys过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。使得注册表无法修改/文件无法被删除,让我们传统的杀除病毒和木马的对策无法进行。  

  驻留ie进程,并自动升级,保证了该病毒有极强大的生命力,想来新的杀除方法一出现,该病毒就会立即升级。Windows上虽然还有mozilla等其他浏览器,但由于微软的捆绑策略和兼容性上的考虑,绝大多数用户一般只安装有ie.上网查资料用ie,寻找杀除3721资料的时候也用ie,如此一来,3721抢在用户前面将自身升级到最新版本以防止被杀除的可能性大大增加,更加增添了杀除该病毒的难度。或许在本文发出后,病毒将会在最短时间内进行一次升级。  

  附带其他“实用”功能。天缘记得早年在dos下的时候曾遇到一些病毒,在发作的时候会自动运行一个可爱的屏幕保护,或者是自动替用户清理临时文件夹等有趣的功能;后来在windows平台上也曾见过在病毒发作时自动提醒“今天是xx节,xx年前的今天发生了xx历史典故”这样的带知识教育意义的病毒;而3721病毒则是提供了一个所谓的中文域名与英文域名的翻译功能。随着病毒的发展,这样带隐蔽性、趣味性和欺骗性的病毒将越来越多。例如最近的邮件病毒以微软的名义发信,或以re开始的回信格式发信,病毒编写的发展从原来的感染传播、漏洞传播、后门传播逐步向欺骗传播过渡,越来越多的病毒编写者意识到社会工程学的重要性。或许在不久的将来,就会出现以简单的网络游戏/p2p软件为掩饰的病毒/木马。  

  极具欺骗性:该插件在win98下也能使用,但使用其自带的卸载程序则可比较完美地卸载,而在win2k/xp平台下卸载程序则几乎没用。由此可以看出病毒编写者对社会工程学极其精通:当一个人有一只表时他知道时间;而当他有两只表时则无从判断时间。当在论坛/bbs上win2k/xp的用户提到此病毒无法删除的时候,其他win2k/xp用户会表示赞同,而win98用户则会表示其不存在任何问题属于正常程序的反对意见。两方意见的对立,影响了旁观者的判断。  

  商业行为的参与。据传该病毒是由某公司编写的,为的是进一步推销其产品,增加其访问量和申请用户。这点上与某些色情站点要求用户下载xx插件,之后不断利用该插件弹出窗口进行宣传的方式很象。天缘不由得想起一个典故。话说当年某公司公司工作人员(当然也有可能是不法者冒充该公司的工作人员)经常打电话恐吓大型的企业单位,无外乎说其中文域名已被xx公司抢注,如不交钱将会导致xx后果云云。兄弟学校中似乎也有受到此公司骚扰的经历:该公司员工打电话到某高校网络中心,起初是建议其申请中文域名,其主任很感兴趣但因价格原因未果。第二次打来的时候,就由劝说变成了恐吓,说该校中文名字已经被xx私人学校注册,如果该校不交钱申请就会有种种可怕后果云云。谁想该校网络中心主任吃软不吃硬,回话:“你既然打电话到此,想来你也知道在中国,xx大学就我们一所是国家承认的,而你们公司在没有任何官方证明的情况下就替申请我校中文域名的私人学校开通,就这点上就可见你们的不规范性,那么如果我私人交钱申请xxx国家领导的名字做个人站点是不是贵公司也受理?遇到类似冒用我校名义行骗及协助其行骗的公司,我们一贯的做法是寻找法律途径解决!”回答甚妙,当然此事后果是不了了之。从相关报道中不难看到,计算机犯罪逐步开始面向经济领域。侵犯私人隐私,破坏私人电脑的病毒与商业结合,是病毒编写由个人行为到商业行为的一次转变,病毒发展的历史由此翻开了新的一章。

  病毒查杀方案:  

  由于网管专题的栏目作用主要是“授人与渔”,天缘把病毒查杀过程经历一并写下,大家共同探讨。  

  第一回合:  

  当初见此病毒的时候,感觉不过如此,普通木马而已。依照老规矩,先把注册表里相关键值删除,再把病毒文件一删,然后重新启动机器,等待万事ok.启机一看,注册表完全没改过来,该删除的文件也都在。  

  结局:病毒胜,天缘败。  

  第二回合:
  
  换了一台机器,下了个卸载帮助工具,以方便监视注册表/文件的改变。我下的是Ashampoo UnInstaller Suite这个软件,能监视注册表/文件/重要配置文件。Ok,再次安装3721插件,把对注册表的改变/文件的改变都记录下来。(值得注意,因为注册表run和runonce的键是下次启动的时候生效的,因此在重新启动后,还要对比一下文件/注册表的改变才能得到确切结果)。然后对比记录,把3721添加的键全部记下来,添加的文件也记录下来。之后我计划是用安全模式启动,删除文件和注册表,所以写了一个save.reg文件来删除注册表里的相关键值(写reg文件在网管笔记之小兵逞英雄那讲有介绍,等一下在文末我提供那个reg文件给大家参考),写了一个save.bat来删除相关文件,放到c盘根目录下。重新启动机器,进入安全模式下,我先用regedit /s save.reg 导入注册表,然后用save.bat删除相关文件。重新启动机器,却发现文件依然存在,注册表也没有修改成功。通常对付木马/病毒的方式全然无效,令我产生如临大敌之感。

  结局:病毒胜,天缘败。
  
  第三回合:  

  重新启动机器,这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys,WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当,准确地说法是——删除之后没有任何错误报告,但文件依然存在。于是上网用google找找线索——在绿盟科技找到了一则文章(名字及url见前文),于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载它不就行了??但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动,而如果想要取消加载,则需要修改注册表,但由于在加载了CnsMinKP.sys后修改注册表相关值无效,导致无法遏制CnsMinKP.sys这个程序的加载。当然,有软驱的朋友可以利用软盘启动的方式来删除该文件,但如果跟天缘一样用的是软驱坏掉的机器怎么办呢?记得绿盟上的文章所说的是——“目前无法破解”。在这一步上,天缘也尝试了各种方法。  

  我尝试着改这几个文件的文件名,结果没成功;  

  我尝试着用重定向来取代该文件,如dir * > CnsMinKP.sys ,结果不成功;

  我尝试着用copy con <文件名> 的方式来覆盖这几个文件,结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功,但是在覆盖CnsMinKP.sys和CnsMin.dll的时候,居然提示“文件未找到”!?熟悉copy con用法的朋友都该了解,无论是文件是否存在,都应该是可以创建/提示覆盖的,但居然出来这么一个提示,看来CnsMinKP.sys着实把系统都骗过了,强!!跟它拼到这里的时候,回想到了在dos下用debug直接写磁盘的时代了,或许用它才能搞定吧?  

  仔细一想,win2k/xp下似乎没有了debug程序了,而或许问题解决起来也不是那么复杂。再又尝试了几种方法后,终于得到了启示:既然文件不允许操作,那么##作目录如何?  

  我先把windowssystem32drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除(注意,因为是drivers1中的,所以可以被成功地真正删除掉);

  重新启动机器,到安全模式下;  

  用drivers1目录替代原来的drviers目录  

  cd windowssystem  

  ren drivers drivers2  

  ren drivers1 drivers  

  之后重新启动机器,然后进到windows后先把drivers2目录删除了,然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件,方便各位删除注册表:  

  Windows Registry Editor Version 5.00(用98的把这行改成regeidt4)  

  [-HKEY_LOCAL_MACHINESOFTWARE3721]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]  

  [-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions!CNS]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]  

  [-HKEY_CURRENT_USERSoftware3721]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]  

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]  

  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]  

  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]  

  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]  

  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]  

  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]  

  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]  

  结局:病毒败,天缘胜。

  (虽然是成功地删除了它,但是感觉赢得好险,如果该病毒加一个禁止上级文件改的功能那么就真的没折了,为了预防类似的情形,最后还是找到了彻底一点的办法,见下)  

  第四回合:

  聪明的读者大概已经想到,既然没有办法在硬盘启动对于c盘是fat32格式的机器,想到这里已经找到了解决办法——用win98启机软盘启动机器,然后到c盘下删除相关文件,然后启动到安全模式下用save.reg把注册表搞定就行了。问题是——大多数win2k/xp都使用的是新的ntfs格式,win98启机软盘是不支持的!怎么办?有软驱的机器可以做支持NTFS分区操作的软盘,用ntfsdos这个软件就能做到。而跟天缘一样没有软驱的朋友,别忘记了win2k/xp开始加入的boot,不光是能够选择操作系统而已,而是跟linux下的lilo和grub一样,是一个操作系统引导管理器——换句话说,如果我们能在硬盘上做一个能读写NTFS的操作系统,再用boot进行引导,那么不是就可以在无软驱的情形下实现操作c盘的目的了么?在网络上找到vFloppy.exe 这个软件,它自带一个支持读写ntfs的镜象文件,并且使用简单,非常傻瓜化。然后删除3721的相关文件,重新启动后清理注册表和删除相关文件就行了。  

  到此,我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘!!  

  由于不少网站基于各种原因,在显示页面的时候都会弹出3721的下载窗口,很容易误点。在ie中就能屏蔽掉该站以及其他恶意的任何下载。  

  截止发稿为止,天缘所知不少同行网管已经在网关上做了对该地址的屏蔽,防止不知情的用户无辜受害。网络安全任重道远,还要*大家的努力才能把一些害群之马斩草除根。

  现在的笔记本大多去掉了软驱这样“陈旧”的设置(包括许多台式机),而一些超轻薄笔记本为了减轻体积的需要,更是将光驱也去掉了,自然,对于这些笔记本全外置的要求来说,便携是达到了,但一旦机器出现故障,需要重装系统,而手头又没有外置光驱可用那可如何是好?

  超轻薄、无光软驱笔记本不拆硬盘重装操作系统,一般来说有以下几个途径:

  1、如果笔记本支持USB启动(部分老机型只支持USB软驱启动。不过有些机型虽然支持USB光驱启动,但是你用一般的光驱外置盒也无法实现启动,因为从USB光驱启动需要外置盒里面的电路支持并且与笔记本兼容才行,这个要靠试才能得知),那么最简单的方法就是拿个双启动U盘并通过该U盘的格式化工具把它格式化成为USB启动软盘插到笔记本USB接口上就可以引导启动了,不必另外购置USB软驱。另外,如果你有USB移动硬盘盒的话,说不定也用得上。当然,能否用得上同样跟硬盘盒内的接口电路是否兼容笔记本的USB引导有关,有时候即便是硬盘盒的确能支持启动(在别的机子上OK),也还存在跟具体的某一台笔记本电脑兼不兼容的问题,要试验才知道。

  需要指出的是,以USB软驱启动之后,对笔记本硬盘进行分区格式化是没有问题的,难点在于怎样把操作系统的安装文件弄进硬盘。一般来说,通过加载了USB存储设备驱动的DOS启动盘来引导系统( 新DOS时代 的bbs.pc120.net.cn" target="_blank">论坛中就有很多介绍如何让DOS支持USB存储设备的详细内容,还提供了超级启动软盘的映像文件下载),就可以找到USB光驱。不过,我建议你还是先拷贝安装文件到硬盘,然后通过SYS C:使得硬盘能够引导启动,再从硬盘引导来安装操作系统。这样建议主要是考虑了在DOS下通过USB光驱运行安装程序会带来隐含的兼容性问题。

  我曾经碰到过下面的麻烦事。我帮人买的超轻薄、无光软笔记本是支持USB软驱启动的,但不知道是我的光驱外置盒不支持启动功能呢还是笔记本本身就仅仅支持USB软驱启动而不支持USB光驱启动,反正我没有办法从光驱成功引导。于是我就想到先用支持USB存储设备的超级启动软盘从USB软驱引导,找到USB光驱后再把光盘上的安装文件拷贝进硬盘来装操作系统。很遗憾的是,我发现在不接上USB光驱盒的时候,USB软驱可以成功引导,而一旦同时接上USB光驱盒来开机,那么在引导过程中途这两个USB设备就明显地象是“打架了”,总之在这台笔记本上无论如何也无法使得USB光驱和USB软驱在DOS下同时可用。

  而对比之下,同一张启动软盘用于台式机内置软驱启动后,却总是可以找到同一个USB外置光驱并且能够正常使用的。无奈之下,只好先不接USB光驱而通过USB软盘引导,然后把硬盘做成引导盘来驱动USB光驱,再拷入安装文件来安装Windows系统。

  另外要说的是,我用的光驱外置盒是长寿 088 Forever 型号,USB1.1接口的。经试验,它用在支持USB CD-Rom引导的台式机上面,无法从其光盘引导启动计算机,在那台笔记本上面也不行。

  另外,我无法在DOS下同时使用USB光软驱应该也不会是USB接口(或笔记本总功率)供电不足的缘故。因为,在该机原有的Windows 98 ME下明明可以同时用到USB光软和软驱的。

  所以,那次经历提醒我们,这里面还是存在一个硬软件的兼容性问题。

  2、还可以考虑从PC卡光驱引导启动。对于不支持USB启动的超薄机型,这可能是不拆硬盘装系统的最后招数了。不过支持引导启动功能的PC卡光驱往往是些原装货(Bootable PCMCIA CD-ROM,“Bootable”这几个字太重要了)。而在二手市场卖的翻新的PCMCIA光驱都是JS厂家用拆机CD-ROM再加个自己弄的简易接口电路和外壳整出来的,这个电路一“简易”或者JS根本就是没弄明白原理,导致了这些110~`140元左右的PCMCIA光驱几乎都是不支持引导功能的。所以下手买之前一定要试好能否支持光驱引导启动。

  3、二手笔记本市场是个大杂烩,很多你意想不到的稀罕物件在这里几乎都可以找得到,底座啊什么的只要你出的起价钱总能买到。不过从经济性考虑,最好还是找一下跟你的笔记本配套的而且是通过扩展埠来连接的软驱(光驱贵出好多就算了,何况有的笔记本还不支持光驱启动),找得到的话就解决引导启动的问题了。旧的外置软驱一般常见的型号都在40-60元左右。

  最后顺便也提一下,只配了光驱的光软互换笔记本一般来说都应该是支持光盘引导启动的。这样的笔记本如果万一不支持光驱启动的话,就只能到朋友或者二手市场找一个兼容的互换软驱回来了,处理方式如第1段,先通过软驱把硬盘处理为可引导的(要记得在CONFIG.SYS和AUTOEXEC.BAT中加上CD-ROM驱动),然后换上光驱,直接从光驱安装或者拷贝到硬盘安装均可。

  刚刚离职的朋友要帮人开发一个单片机应用,一个月多前我帮他买了一台未内置光软的超轻薄二手笔记本,型号Panasonic CF-S51 (外观经典之极,就是配置低些而且没有内置串并口和外接VGA口,配置C2-400/11.3"TFT XGA/192M/USB,看它里面的日文 BIOS Setup 应该不支持USB引导),买的时候机内已有 Win2000 Pro/mini-Win98 双系统,考虑到未来重装操作系统的需要,我还说服朋友另外购买了一个外置的扩展埠软驱(虽然软驱可以直接连接到笔记本上,但是我们居然还幸运地找到了该型号笔记本的端口扩展器,上面有VGA/COM/LPT/FDD接口),算上升级另加的128M内存条、齐套的外置扩展埠/软驱以及换电芯的费用,嘿嘿,才花了2000元。

  用到大约10天前,因为朋友开通了长宽,没料到从网上招惹了病毒回来,他也懒得再用那个带回来的双操作系统了,于是要我帮忙重装Win2000 Pro。

  好在我当时一定要他买下软驱!引导启动笔记本已经不是问题,剩下来的工作关键就是如何把庞大的 Win2000 Pro 安装文件弄进硬盘

  我用首帖提到的DOS7.10超级启动软盘,从笔记本外置扩展埠软驱里面引导启动,试过不同的启动配置选项后,仅从第3选项启动后,笔记本可以检测到USB外置光驱并且能够读取光盘文件(能用就行,费事去研究 CONFIG.SYS 啦)。于是对硬盘分区/格式化,赶紧把光盘上的 Win2000 Pro 安装文件拷贝到硬盘的D盘的某个文件夹内。

  接下来,通过SYS C:把C盘做成能启动之后,再从C盘引导启动,然后运行D:盘中Win2000 Pro的DOS安装程序。  
  Win2000 Pro 非常顺利地安装成功。

  在复制安装文件和执行安装的过程中,要注意一下几点:

  1、如果在挂接USB-CDROM时碰到困难,比方说无论选择哪个启动项目都找不到光驱或者是找得到光驱但是不能正常读写的话,你还可以研究一下DOS7.10超级启动软盘中的CONFIG.SYS 和 AUTOEXEC.BAT两个文件,调整一下其中的某些驱动程序的控制参数、DEVICE语句的顺序、或者另换启动盘内其他的备用的USB设备驱动程序来加载,也许就可以解决问题。

  2、特别要引起注意也很有意思的是,某些时候,检测不到外置USB光驱的原因并非仅如上一点所述。原来,巧妙在于,我们一定要在USB存储设备驱动程序加载的那一刻,恰到好处地掌握时机重启一下USB外置盒的电源(开着电源拔插一下USB接头也可以)!如果没有这个经验,而让外置盒一直开着而且是已保持USB口连接的话,仍将可能发生找不到或者找得到但无法读写外置USB存储设备的情况!

  这一点,有的做得好一些的设备驱动程序到时会提示你插入USB设备,但是提示信息总是迟到,而且给你作出动作的机会还是稍纵即逝的,难以把握。而某些做得不够友好的USB设备驱动程序可能就是没有提示信息显示的了。所以我总是在上一个程序加载动作接近完成的时候,关-开一下USB外置盒,以确保成功加载USB存储设备。

  3、复制安装文件进硬盘前,一定注意在DOS7.10超级启动软盘的启动过程中,选择加载一个磁盘读写缓冲程序,比如SmartDrv.exe;否则,拷贝安装文件的过程将会非常漫长。

  4、安装系统所需的文件拷进硬盘后,安装操作系统时就没有必要还加载SmartDrv.exe之类的磁盘读写缓冲程序了。记得在硬盘启动的情况下最好不要让C盘的 CONFIG.SYS 和 AUTOEXEC.BAT文件再加载磁盘读写缓冲程序,以免兼容性问题影响操作系统的安装(很早以前我就有这样的经验,尽管都是微软的东西,但是安装操作系统时最好不要加载SmartDrv,否则即使看起来操作系统是顺利安装完成了,可用起来还是会出现莫名其妙的问题)。前述例子中,我就是在C盘根目录无CONFIG.SYS 和 AUTOEXEC.BAT的情况下才从D盘开始安装系统的,所以后来使用中没有发现不妥。

  虽然很多用户使用Windows都有很长一段时间了,但是很多用户都不知道Windows中存在什么快捷键,包括笔者也是会使用几个比较普遍的快捷键。实际上很多快捷键都是非常有用的,让我们来看看:

  CTRL+A:选中活动窗口的所有内容

  CTRL+C:把选中的东西复制到粘贴板

  CTRL+F:显示“查找和替换”对话框

  CTRL+G:显示定位对话框

  CTRL+N:显示新建对话框

  CTRL+O:显示打开对话框

  CTRL+P:显示打印对话框

  CTRL+S:保存当前文档

  CTRL+V:粘贴

  CTRL+X:剪切

  CTRL+Z:撤销

  CTRL+F4:关闭当前活动窗口

  CTRL+拖放文件:复制拖放的文件

  CTRL+ESC:显示开始菜单

  CTRL+F6:打开活动应用程序的下一个文档窗口

  ALT+ENTER:显示选中对象的属性

  ALT+F4:关闭活动项目或者退出活动的程序

  ALT+空格:打开当前活动窗口的快捷菜单

  ALT+TAB:在打开窗口间切换

  ALT+ESC:以打开的顺序切换窗口

  F1:提供当前窗口或者选中项目的帮助文件

  F2:重命名选中的项目

  F3:搜索文件或文件夹

  F4:显示我的电脑或Windows Explorer中的地址栏

  F5:刷新活动窗口

  F6:在当前窗口中的元素间切换,与TAB键功能一样

  F10:激活当前窗口的菜单栏

  Win:显示或隐藏开始菜单

  Win+BREAK:显示系统属性对话框

  Win+D:显示桌面

  Win+M:最小化所有窗口

  Win+SHIFT+M:恢复最小化窗口

  Win+E:打开我的电脑

  Win+F:搜索文件或文件夹

  CTRL+Win+F:搜索计算机

  Win+F1:显示Windows帮助文件

  Win+L:锁住键盘

  Win+R:打开运行窗口

  Win+U:打开辅助工具管理器

  TAB:在选项间切换

  SHIFT+TAB:在选项间切换,顺序与TAB相反

  CTRL+TAB:在标签间进行切换

  CTRL+SHIFT+TAB:在标签间反向切换

  ALT+带下划线的字母:运行相应的命令或选择相应的选项

  空格键:如果焦点选中复选框,选择或反选复选框

  以下的快捷键用于与Windows资源管理器类型的程序:

  NUM LOCK+星号(*):显示选中文件夹的所有子文件夹

  NUM LOCK+加号(+):显示选中文件夹的内容

  NUM LOCK+减号(—):折叠选中文件夹

  相辛辛苦苦敲了大半天键盘,一篇文章眼看就快完成了,可是就在这时突然停电,或者程序停止了响应,甚至电脑死机,未完成的Word文档还没有保存……人世间最痛苦的事莫过于此。

  为了防止这样痛苦的事情发生,笔者觉得有必要向大家推荐防止Word文件丢失的方法。

  一、使用自动恢复功能:

  Word 2000/XP 能够自动恢复尚未保存的数据。大家只要单击“工具”菜单中的“选项”命令,然后单击“保存”标签,并选中“自动保存时间间隔”复选框,在“分钟”框中,输入时间间隔,以确定Word 2000/XP 保存文档的时间。时间越短,Word 2000/XP 保存文档越频繁,在 Word 2000/XP 中打开文档后出现断电或类似问题时,能够恢复的信息当然也就越多,一般我们设置为1分钟。

  经过上面的设置后,所有在发生断电或类似问题时处于打开状态的文档在下次启动Word时都会显示出来,大家可以对它们进行保存。不过在替换原有文档之前,请验证恢复文件包含有您需要的信息,不要覆盖了原先的文件。

  提示:

  (1)Word 2000/XP/XP的定时保存文件功能仅对DOC文件有效,其他文件无效,所以笔者建议您在编辑的时候先把文档存为Word格式,等编辑完成后再另存为其他格式;

  (2)“自动恢复”功能并不等同于正常的文档保存。如果在 Word 2000/XP 打开恢复文件后选择了不进行保存,则该文件将被删除,未保存的修改也将丢失。如果选择了保存恢复文件,它将会替换原文档(除非给它指定了一个新的文件名)。

  二、让文档自动备份

  如果我们的文档在保存的时候能够再保留一个备份的话,那无疑会使文档保险许多。而在Word 2000/XP中我们完全可以进行设置,让它保存文档的备份:

  单击“工具”菜单中的“选项”命令,接着选择“保存”标签,选中“保留备份”复选框,单击“确定”按钮。经过这样设置后, Word 2000/XP 就会自动保存文档的备份了。

  提示:

  (1)注意Word在编辑文档时会自动地保存其备份,它的扩展名不是“.bak”,而是“.wbk”,如果遇到文档打不开,则只要在打开的范围中选择“所有文件”,直接打开备份文档即可。

  (2)该备份提供了上一次所保存的副本,这样,原文档中会保存有当前所保存的信息,而副本中会保存有上次所保存的信息。每次保存文档时,新的备份都会取代已有的备份。这样就不用担心会不小心保存了不需要的信息或删除了原文件,保留备份可使工作成果免受损失。

  三、恢复受损文档中的文本

  有时候我们在试图打开一个文档时,计算机可能长时间无响应,则表示该文档可能已损坏。这时候同样不需担心,因为下次启动 Word 2000/XP 时,Word 2000/XP 会自动使用专门的文件恢复转换器来恢复损坏文档中的文本。也可随时用此文件转换器打开已损坏的文档并恢复其中的文本。而且操作起来也很简单:

  单击“工具”菜单中的“选项”命令,然后单击“常规”选项卡,并确认选中了“打开时确认转换”复选框,然后单击“确定”按钮。以后单击“打开”按钮 ,单击“文件类型”框中的“从任意文件中恢复文本”选项,成功打开损坏文档,可将它保存为 Word 格式或其他格式(例如,文本格式或 HTML 格式)。段落、页眉、页脚、脚注、尾注和域中的文字将被恢复为普通文字。

  提示:如果在“文件类型”框中没有看到“从任意文件中恢复文本”,则需要安装相应的文件转换器,单击“安装/卸载”选项卡上的“Microsoft Office”选项,并安装“文本恢复工具”即可。

  1.3721的卸载

  首先,用3721自带的卸载功能卸载3721,但是这个3721网络实名插件是使用Rundll32.exe调用连接库的,系统无法终止Rundll32.exe进程,所以我们必须重新启动计算机,按 F8 进入安全模式(F8 只能按一次,千万不要多按!)之后,单击开始 → 运行 regedit.exe 打开注册表,进入:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  删除键:CnsMin,其键值为:Rundll32.exe C:WINNTDOWNLO~1CnsMin.dll,Rundll32

  (如果是win98,这里的 C:WINNTDOWNLO~1 为 C:WINDOWSDOWNLO~1)

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerAdvancedOptions

  删除整个目录:!CNS

  这个目录在 Internet 选项 -> 高级 中加入了3721网络实名的选项。

  HKEY_LOCAL_MACHINESOFTWARE3721 以及 HKEY_CURRENT_USERSoftware3721

  删除整个目录:3721

  注:如果您安装了3721的其它软件,如"极品飞猫"等,则应删除整个目录:

  HKEY_LOCAL_MACHINESOFTWARE3721CnsMin 以及 

  HKEY_CURRENT_USERSoftware3721CnsMin

  HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

  删除键:CNSEnable 其键值为:a2c39d5f

  删除键:CNSHint 其键值为:a2c39d5f

  删除键:CNSList 其键值为:a2c39d5f

  在删除完注册表中的项之后,还需要删除存储在硬盘中的3721网络实名文件。

  删除如下文件:

  C:WINNTDOWNLO~1 目录下

  (如果是win98,这里的 C:WINNTDOWNLO~1 为 C:WINDOWSDOWNLO~1 下同)

  2001-08-09 15:34

  3721

  2001-08-02 17:03 40,960 cnsio.dll

  2001-08-08 14:14 102,400 CnsMin.dll

  2001-08-24 23:14 42 CnsMin.ini

  2001-08-09 10:18 13,848 CnsMinEx.cab

  2001-07-06 17:57 32,768 CnsMinEx.dll

  2001-08-25 02:52 115 CnsMinEx.ini

  2001-08-25 02:51 17,945 CnsMinIO.cab

  2001-08-02 17:02 32,768 CnsMinIO.dll

  2001-08-24 23:15 40,793 CnsMinUp.cab

  C:WINNTDOWNLO~13721 目录下

  2001-08-02 17:03 40,960 cnsio.dll

  2001-08-24 15:53 102,400 CnsMin.dll

  2001-07-06 17:59 213 CnsMin.inf

  2001-08-24 15:48 28,672 CnsMinIO.dll

  以上文件全部删除,这样3721网络实名"病毒"就从您的计算机中全部清除

了。

  最后,重新启动计算机,进入正常模式。现在已经完全没有3721网络实名的

困扰了!

  2.阻止"淘宝"网弹出窗口的办法

  IE用户的免疫方法

  如果系统是win 2000/XP/2003,请在"开始"→"运行"中输入:

  notepad.exe %windir%\system32\drivers\etc\hosts

  如果系统是win 98/me,请在"开始"→"运行"中输入:

  notepad.exe %windir%\hosts

  如果系统提示:

  找不到文件hosts.txt是不是创建新的文件?请选择否

  在最后添加如下内容:

  #kill taobao

  0.0.0.0 www.taobao.com

  0.0.0.0 page.taobao.com

  0.0.0.0 search.taobao.com

  0.0.0.0 taobao.com

  0.0.0.0 www.unionsky.cn #掏宝网广告代理

  0.0.0.0 www.allyes.com #掏宝网广告代理

  保存后,重启计算机即可。(XP/2003系统不需重启)

  如果在前面操作遇到提示找不到文件hosts.txt,请按照以下步骤保存:

  用菜单:文件–>另存为

  在"文件另存为"对话框中,把文件类型改为"所有文件(*.*)"

  再输入文件名:

  如果系统是win 2000/XP/2003,请输入(建议复制粘贴):

  %windir%\system32\drivers\etc\hosts

  如果系统是win 98/me,请输入(建议复制粘贴):

  %windir%\hosts

  点[确定]按钮。

  用My IE2、GreenBrowser、Maxthon屏蔽办法:

  启动窗口过滤、网页内容过滤

  把下列网页加入弹出窗口过滤、网页内容过滤列表:

  http://*.unionsky.cn/*

  http://*.unionsky.*/*.*

  http://www.unionsky.cn/script/*

  http://www.unionsky.cn/script/*.*

  http://adtaobao.allyes.com/*

  3.如何删除dudu加速器

  第一次安装dudu后,在C:\Program Files下生成HDP文件夹;在进程里表现

出来的是MSHTA.exe和henbang.exe,分别对应的运行窗口和驻留在任务栏上的

henbang,启动项里会添加"很棒小秘书"(手动安装时会提示)。卸载它,先在

"添加/删除程序"里,发现有 HAP 和 很棒小秘书 ,直接执行卸载。

  注意的是,先执行卸载"HAP",然后再执行卸载"很棒小秘书"。否则,

C:\Program Files\HDP依然存在,且程序完整,执行的删除没有完成。最后检查,

往system32里写入的三个文件(二个ini文件,一个hbhap.dll 文件),也成功删

除。

  所以,如果大家电脑里有这个软件且一时无法卸载的或提示pupw.sys错误

的,可主动安装一次,然后按上面方法执行卸载。

  另检查一下是否有C:\Program Files\HBClient,如果有,说明系统里还装有装

上 很棒通行证 ,可在添加删除里执行卸载 Henbang Passport 。

  4.中文通用网址的卸载

  首先进入安全模式。把C:\Program Files目录下的CNNIC目录给删除,然后打

开注册表编辑器。在运行-〉regedit,在安全模式下就可以删除这两个键值了。

    在安全模式下把Run目录下的CdnCtr和ExFilter这两个键值删除。然后

对注册表进行查找。查找一切和CNNIC、cdnup.exe字符有关的键值和目录。统统

删除。OK。现在再重新启动机器。烦人的CNNIC终于离我而去了。不过CNNIC

这样被删除之后。好像会导致不能在IE窗口中输入中文。不知道有没有其它人碰

到这种情况。还有一个方法可以避免下次再次运行这个烦人的插件。新建一个文本

文件,内容如下:

  REGEDIT4

  #9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX

Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}]

  "Compatibility Flags"=dword:00000400

  保存为.reg的文件,然后双击执行此文件即可。

  5."很棒小秘书"卸载方法

  双击"c:\windows\system32"下的uninstall.exe 或者henbangkiller.exe 即可,

  然后删除这两个文件和C:\Program Files\henbang文件夹。

  如果你是xp sp2版,可以按照以下方法关闭它:

  1:首先打开ie,然后选择"internet选项"

  2:选择"程序"页,点击"管理加载项"

  3:选中"UrlMonitor Class",选择禁用此项

  4:OK了

  最好运行msconfig将winup.exe的加载项去掉

  木马 winup.exe 彻底删除方法

  木马 winup.exe经常和"很棒小秘书"一同出现,所以也要一起清除。

  1、 在IE的工具里点"管理加载项",禁用Downloadvalue Class , EyeOnIe Class ,

  URLMonitor Class

  2、在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll

  xpieknl.dll winup.exe

  3、在注册表中删除

  HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的

winup 键

  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下

的 updata键

  在msconfig里面还有一个可疑的东西:msstart.exe 在任务管理器里干掉

msstart的进程, 然后再到system32目录下delete掉msstart.exe这个文件。

  6."网络猪"与"划词搜索"的卸载

  网络猪与划词搜索虽然可以通过添加\删除软件进行卸载,但是总卸载不干

净,必须要手动删除安装目录。为此你首先需要卸载掉网络猪与划词搜索;然后单

击"开始"-"运行",输入"msconfig",回车后在弹出的窗口中选择"启动"

标签,在启动中找到"SEARCH.EXE",去除前边的勾选;按"Ctrl+Shift+ESC"

打开"任务管理器",在进程中结束"SEARCH.EXE";单击"开始"-"运

行",输入"regedit",打开注册表,搜索"SEARCH.EXE"的项值,删除相关的

项。最后删除整个安装目录。

  7 eBay 易趣

  详见常用反制工具

  8 青娱乐聊天软件

  控制面板→添加\删除程序 即可卸载

  9 百度搜霸、百度超级搜霸

  控制面板→添加\删除程序 即可卸载

  10 一搜工具条

控制面板→添加\删除程序 即可卸载

  用过windows server 2003做服务器的人都知道 windows2003的性能安全性比以前的windows版本高出很多,但是也带来很多麻烦。

  其中服务器最重要的远程管理“终端服务”居然要求授权,要许可证,否则120天过期。其实这个问题很好解决按照一下方法就可以。

  操作步骤:

  1,如果你服务器上已经开着终端服务,控制面板→添加删除程序→添加/删除windows组件→删除终端服务和终端授权服务。

  如下图(1)

看原大图

  这个时候回提示你从新启动计算机,请千万记住一定要点“否”,否则就麻烦了。

  2、点我的电脑属性→远程→远程桌面→在启用这台计算机的远程桌面上打对勾→之后会得到提示,点确定就行→应用。

  如下图(2)

看原大图

  3、从新启动计算机大功搞成,不用任何破解软件,轻松加愉快。

  其实这个服务在WINDOWS2003安装完就有,大家可以注意2003在添加/删除服务的时候经常不用从安装盘的I386里读东西,嘿嘿…………

用过DOS的人对参数并不陌生,DOS下的很多程序都有参数,尽管是枯燥的英文字母,但功能却非常强大。Ghost是一个典型的支持参数的DOS程序,充分利用它的参数,我们可以更好地控制Ghost。让它们更好地为我们工作,前面几个例子,我们就使用了Ghost的参数做出了一张自动备份和恢复硬盘数据的自启动光盘。正是因为Ghost参数众多,功能强大,我们才有必要把一些最最常用的参数列出,供大家平时参考使用。

  小提示

  ★参数(Parameter)是程序提供给我们一些隐藏选项,通过添加参数,可以实现正常启动程序无法实现或者能够实现,但需要很多步骤才能够实现的功能,可以给我们带来很多的方便。

  ★参数与程序、参数与参数之间用空格符分隔。  

  ★我们可以把Ghost的参数写入到一些BAT文件中,并通过控制语句来用它更方便地克隆和恢复我们的系统。

  1.磁盘对磁盘拷贝

  图形界面: Disk To Disk

  参数例子: ghost -clone,mode=copy,src=1,dst=2 -sure -fx

  参数功能: 拷贝磁盘一的全部内容到磁盘二,不必询问,完成后退出Ghost。

  2.把磁盘上的所有内容备份成映像文件

  图形界面: Disk To Image

  参数例子: ghost -clone,mode=dump,src=1,dst=d:\Win98sys.gho -z3 -sure -fx

  参数功能: 备份机器第一块硬盘上的全部内容到另一台硬盘d:\Win98sys.gho文件中,高压缩,不必询问,完成后退出Ghost。

  3.从备份的映像文件复原到磁盘

  图形界面: Disk From Image

  参数例子: ghost -clone,mode=load,src=d:\Win98sys.gho,dst=1 -sure -fx

  参数功能: 从备份在另一块硬盘d:\Win98sys.gho的映像文件复原到第一块硬盘上,不必询问,完成后退出Ghost。

  4.分区对分区拷贝

  图形界面: Partition To Partition

  参数例子: ghost -clone,mode=pcopy,src=1:1,dst=2:1 -sure -fx

  参数功能: 拷贝第一块硬盘第一个分区上的所有内容到第二块硬盘的第一个分区上,不必询问,完成后退出Ghost。

  5.把分区内容备份成映像文件

  图形界面: Partition To Image

  参数例子: ghost -clone,mode=pdump,src=1:1,dst=d:\Win98sys.gho -z9 -sure -fx

  参数功能: 备份第一块硬盘第一分区到d:\Win98sys.gho,采用最高压缩率,不必询问,完成后退出Ghost。

6.从备份的映像文件克隆到分区

  图形界面: Partition From Image

  参数例子: ghost -clone,mode=pload,src=d:\Win98sys.gho:1,dst=1:1 -sure -fx

  参数功能: 把d:\Win98sys.gho中的第一个分区内存克隆到第一块硬盘第一分区上,不必询问,完成后退出Ghost。

  7.平行端口电缆线直接连接电脑客户机

  图形界面: LPT/Slave

  参数例子: ghost -lps

  参数功能: 启动客户机 (两台电脑必须同时执行Ghost)。

  8.平行端口电缆线直接连接服务机

  图形界面: LPT/Master

  参数例子: ghost -lpm -clone,mode=dump,src=1,dst=c:\Win98sys.gho -sure -fx

  参数功能: 将服务机第一块硬盘上的内容备份到客户机c:\Win98sys.gho文件中,不必询问,完成后退出Ghost。

  9.硬盘间直接克隆

  参数例子:ghost -clone,mode=copy,src=1,dst=2 -sure

  参数功能:在内部模式拷贝第一块硬盘到第二块硬盘,无需提示,直接克隆。

  10.网络备份

  参数例子:ghost -nbm -clone,mode=dump,src=2,dst=c:\xxxx.gho

  参数功能:由NetBIOS模式连接到正在进行ghost\slave的网络远程个人电脑并备份本机第二块硬盘到远程硬盘C:\xxxx.gho成一映像压缩文件。

  小提示

  该远程客户机必须使用ghost -nbs命令来启动。

  11.将映像文件克隆到硬盘

  参数例子:ghost -clone,mode=load,src=e:\savdsk.gho,dst=1

  参数功能:读入E:\SAVEDSK.gho文件,并把它克隆到第一块硬盘上。

  12.将第二个分区备份为映像文件(还原)

  参数例子:ghost -clone,mode=pdump,src=1:2,dst=g:\imgs\part2.gho

  参数功能:备份第一块硬盘的第二分区到g:\imgs\part2.gho映像文件。

  参数例子:ghost -clone,mode=pload,src=g:\imgs\part2.gho:2,dst=1:2

  参数功能:载入(恢复)映像文件内的第二分区到内部硬盘第一块硬盘的第二分区。

  13.不同硬盘不同分区复制

  参数例子:ghost -clone,mode=pcopy,src=1:2,dst=2:1

  参数功能:拷贝第一块硬盘的第二分区到第二块硬盘的第一分区。

  14.还原到第二块硬盘并调整分区大小

  参数例子:ghost -clone,mode=load,src=g:\imgs\2prtdisk.gho,dst=2,sze1=60P,sze2=40P

  参数功能:克隆g:\imgs\2prtdisk.gho映像文件到第二块硬盘, 并重整按60%和40%大小分配分区大小。

15.还原到第一块硬盘并调整分区大小

  参数例子:ghost -clone,mode=load,src=e:\imgs\3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M

  参数功能:克隆e:\imgs\3prtdisk.gho映像文件到第一块硬盘, 并重整分区大小为: 第一分区450MB,第二分区1599MB,第三分区2047MB。

  16.保留第一分区,其他不分配

  参数例子:ghost -clone,mode=copy,src=1,dst=2,sze1=F,sze2=V,sze3=V

  参数功能:拷贝有三个分区的第一块硬盘到第二块硬盘并保持第一分区与来源大小相同,但是其他分区所剩余空间保留不予分配。

  17.还原到最后的分区并调整分区大小

  参数例子:ghost -clone,mode=load,src=g:\imgs\2prtdisk.gho,dst=1,szeL

  参数功能:载入映像文件到磁盘最后的分区并按照容量重整其大小,第一分区则利用剩余的空间。

  18.从参数文件读取

  参数例子:GHOST.EXE @(参数文件)

  参数功能:GHOST命令行参数可从参数文件读取并执行(注意参数文件是文本格式的)。

  小提示

  参数文件中可以以文本格式编写包含任何Ghost命令行参数,除了-AFILE=和-DFILE= 参数外。

  19.备份并自动分割

  参数例子:ghost -sure -clone,mode=pdump,src=1:1,dst=system.gho -span -split=630

  参数功能:它的作用是把第一块硬盘第一分区信息备份到当前文件夹下的system.gho中,如果生成的system.gho大于630MB,则会分割生成的GHO文件,这个参数在备份大的分区,并把它们烧录到650MB的CD-R上时非常有用。

  20.备份并加密

  参数例子:ghost -sure -pwd,666888 -clone,mode=pdump,src=1:1,dst=system.gho

  参数功能:该语句的作用是把第一块硬盘第一分区信息备份到当前文件夹下的system.gho中,并且以666888作为生成后GHO文件的密码,以便加密。以后用Ghost恢复system.gho文件,或者用Ghost Explorer来释放其中的文件时,都必须输入密码,否则无法恢复或释放文件,从而起到了保密的作用。如果输入ghost -sure -pwd -clone,mode=pdump,src=1:1,dst=system.gho,即-pwd后面不带密码,则Ghost在制作GHO文件前会询问用户加密GHO的密码,你必须记牢。给GHO文件加密后,别人就无法随意查看或恢复我们的文件了。

方法1:

点击“开始”-“运行”,将如下命令RunDll32 advpack.dll,LaunchINFSection %windir%\\INF\\msmsgs.inf,BLC.Remove拷贝进去执行即可。

方法2(禁用):

同时还发现微软已经有了解决的方法:

如何禁止 Windows Messenger 在基于 Windows XP 的计算机上运行

基于 Windows XP Professional 的计算机上的 Windows Messenger 4.0 或更高版本
使用组策略 (gpedit.msc) 管理单元打开“不允许运行 Windows Messenger”选项。

注意:• 要使用组策略管理单元,必须使用具有管理员权限的帐户登录到计算机。
• 该方法可防止使用 Messenger API 的程序使用 Windows Messenger。使用这些 API 以及依赖 Windows Messenger 的一些程序有:Microsoft Outlook 2002、Microsoft Outlook Express 6 和 Windows XP 中的“远程协助”功能等。

要打开“不允许运行 Windows Messenger”选项,请按照下列步骤操作:

1. 单击“开始”,单击“运行”,键入 gpedit.msc,然后单击“确定”。
2. 在组策略中,依次展开“本地计算机策略”、“计算机配置”、“管理模板”、“Windows 组件”和“Windows Messenger”。
3. 双击“不允许运行 Windows Messenger”,然后单击“启用”。
4. 单击“确定”。
5. 在“文件”菜单上,单击“退出”以退出组策略管理单元。

基于 Windows XP Home Edition 的计算机上的 Windows Messenger 4.0
注意:该方法不禁止用户手动运行 Windows Messenger,但禁止 Windows Messenger 在每次启动 Windows 时自动运行。

更改 Windows Messenger 中的首选项。为此,请按照下列步骤操作。

1. 启动 Windows Messenger。
2. 在“工具”菜单上单击“选项”,然后单击“首选项”选项卡。
3. 单击以清除“在 Windows 启动时运行此程序”复选框,然后单击“确定”。
如果使用 Outlook Express 或 Outlook 2002,则 Windows Messenger 会在每次运行 Outlook Express 或 Outlook 时自动启动。要防止 Windows Messenger 自动启动,请按照下列步骤操作:

Outlook Express
1. 在“工具”菜单上单击“选项”,然后单击“常规”选项卡。
2. 单击以清除“自动登录到 Windows Messenger”复选框,然后单击“确定”。

Outlook 2002
1. 在“工具”菜单上单击“选项”,然后单击“其他”选项卡。
2. 单击以清除“启用 Microsoft Outlook‘即时消息传递’”复选框,然后单击“确定”。

基于 Windows XP Home Edition 或 Windows XP Professional 的计算机上的 Windows Messenger 4.5 或更高版本
警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

注意:该方法可阻止使用 Messenger API 的程序使用 Windows Messenger。使用这些 API 以及依赖 Windows Messenger 的一些程序有:Outlook 2002、Outlook Express 6 和 Windows XP 中的“远程协助”功能等。

1. 启动注册表编辑器。为此,请单击“开始”,单击“运行”,键入 regedit.exe,然后单击“确定”。

如果以下注册表子项已经存在,则转至步骤 6:

HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Messenger\\Client
2. 单击以下注册表子项:
HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft
3. 在“编辑”菜单上,指向“新建”,然后单击“项”。键入 Messenger 作为新注册表项的名称,然后按 Enter 键。
4. 单击以下注册表子项:项:
HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Messenger
5. 在“编辑”菜单上,指向“新建”,然后单击“项”。键入 Client 作为新注册表项的名称,然后按 Enter 键。
6. 单击以下注册表子项:项:
HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Messenger\\Client
7. 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。键入 PreventRun 作为新 DWORD 值的名称,然后按 Enter 键。
8. 右键单击在步骤 7 中创建的 PreventRun 值,然后单击“修改”。在“数值数据”框中,键入 1,然后单击“确定”。
9. 退出注册表编辑器。