shida的博客! » 网络·精品收藏

印度恶搞《黄金甲》

shida — Thu, 02 Sep 2010 08:53:56 +0000

超级叠衣法

shida — Mon, 16 Aug 2010 01:17:46 +0000

这个工具有用!有用！！！

这样更棒！！！

Windows快捷键技巧

shida — Wed, 11 Feb 2009 05:04:52 +0000

Windows快捷键大全
一、常见用法：
F1　　　　　　　　　　　显示当前程序或者windows的帮助内容。
F2　　　　　　　　　　　当你选中一个文件的话，这意味着“重命名”
F3　　　　　　　　　　　当你在桌面上的时候是打开“查找：所有文件” 对话框
F10或ALT　　　　　　　　激活当前程序的菜单栏
windows键或CTRL+ESC　　打开开始菜单
CTRL+ALT+DELETE　　　　在win9x中打开关闭程序对话框
DELETE　　　　　　　　　删除被选择的选择项目，如果是文件，将被放入回收站
SHIFT+DELETE　　　　　　删除被选择的选择项目，如果是文件，将被直接删除而不是放入回收站
CTRL+N　　　　　　　　　新建一个新的文件
CTRL+O　　　　　　　　　打开“打开文件”对话框
CTRL+P　　　　　　　　　打开“打印”对话框
CTRL+S　　　　　　　　　保存当前操作的文件
CTRL+X　　　　　　　　　剪切被选择的项目到剪贴板
CTRL+INSERT 或 CTRL+C　复制被选择的项目到剪贴板
SHIFT+INSERT 或 CTRL+V　粘贴剪贴板中的内容到当前位置
ALT+BACKSPACE 或 CTRL+Z 撤销上一步的操作
ALT+SHIFT+BACKSPACE　　重做上一步怀废牟僮?br>　
Windows键+M　　　　　　最小化所有被打开的窗口。
Windows键+CTRL+M　　　　重新将恢复上一项操作前窗口的大小和位置
Windows键+E　　　　　　打开资源管理器
Windows键+F　　　　　　打开“查找：所有文件”对话框
Windows键+R　　　　　　打开“运行”对话框
Windows键+BREAK　　　　打开“系统属性”对话框
Windows键+CTRL+F　　　　打开“查找：计算机”对话框
SHIFT+F10或鼠标右击　　打开当前活动项目的快捷菜单
SHIFT　　　　　　　　　在放入CD的时候按下不放，可以跳过自动播放CD。在打开word的时候按下不放，可以跳过自启动的宏
　
ALT+F4　　　　　　　　　关闭当前应用程序
ALT+SPACEBAR　　　　　　打开程序最左上角的菜单
ALT+TAB　　　　　　　　切换当前程序
ALT+ESC　　　　　　　　切换当前程序
ALT+ENTER　　　　　　　将windows下运行的MSDOS窗口在窗口和全屏幕状态间切换
PRINT SCREEN　　　　　　将当前屏幕以图象方式拷贝到剪贴板
ALT+PRINT SCREEN　　　　将当前活动程序窗口以图象方式拷贝到剪贴板
CTRL+F4　　　　　　　　关闭当前应用程序中的当前文本（如word中）
CTRL+F6　　　　　　　　切换到当前应用程序中的下一个文本（加shift 可以跳到前一个窗口）
在IE中：
ALT+RIGHT ARROW　　　　显示前一页（前进键）
ALT+LEFT ARROW　　　　　显示后一页（后退键）
CTRL+TAB　　　　　　　　在页面上的各框架中切换（加shift反向）
F5　　　　　　　　　　　刷新
CTRL+F5　　　　　　　　强行刷新
　
　　目的快捷键
　　激活程序中的菜单栏 F10
　　执行菜单上相应的命令 ALT+菜单上带下划线的字母
　　关闭多文档界面程序中的当
　　前窗口 CTRL+ F4
　　关闭当前窗口或退出程序 ALT+ F4
　　复制 CTRL+ C
　　剪切 CTRL+ X
　　删除 DELETE
　　显示所选对话框项目的帮助 F1
　　显示当前窗口的系统菜单 ALT+空格键
　　显示所选项目的快捷菜单 SHIFT+ F10
　　显示“开始”菜单 CTRL+ ESC
　　显示多文档界面程序的系统
　　菜单 ALT+连字号(-)
　　粘贴 CTR L+ V
　　切换到上次使用的窗口或者
　　按住 ALT然后重复按TAB，
　　切换到另一个窗口 ALT+ TAB
　　撤消 CTRL+ Z
二、使用“Windows资源管理器”的快捷键
　　目的快捷键
　　如果当前选择展开了,要折
　　叠或者选择父文件夹左箭头
　　折叠所选的文件夹 NUM LOCK+负号(-)
　　如果当前选择折叠了，要展开
　　或者选择第一个子文件夹右箭头
　　展开当前选择下的所有文件夹 NUM LOCK+*
　　展开所选的文件夹 NUM LOCK+加号(+)
　　在左右窗格间切换 F6
三、使用 WINDOWS键
　　可以使用 Microsoft自然键盘或含有 Windows徽标键的其他任何兼容键盘的以下快捷键。
　　目的快捷键
　　在任务栏上的按钮间循环 WINDOWS+ TAB
　　显示“查找：所有文件” WINDOWS+ F
　　显示“查找：计算机” CTRL+ WINDOWS+ F
　　显示“帮助” WINDOWS+ F1
　　显示“运行”命令 WINDOWS+ R
　　显示“开始”菜单 WINDOWS
　　显示“系统属性”对话框 WINDOWS+ BREAK
　　显示“Windows资源管理器” WINDOWS+ E
　　最小化或还原所有窗口 WINDOWS+ D
　　撤消最小化所有窗口 SHIFT+ WINDOWS+ M
四、使用“我的电脑”和“Windows资源管理器”的快捷键
　　目的快捷键
　　关闭所选文件夹及其所有父
　　文件夹按住 SHIFT键再单击“关闭按钮（仅适用于“我的电脑”）
　　向后移动到上一个视图 ALT+左箭头
　　向前移动到上一个视图 ALT+右箭头
　　查看上一级文件夹 BACKSPACE
五、使用对话框中的快捷键
　　目的快捷键
　　取消当前任务 ESC
　　如果当前控件是个按钮，要
　　单击该按钮或者如果当前控
　　件是个复选框，要选择或清
　　除该复选框或者如果当前控
　　件是个选项按钮，要单击该
　　选项空格键
　　单击相应的命令 ALT+带下划线的字母
　　单击所选按钮 ENTER
　　在选项上向后移动 SHIFT+ TAB
　　在选项卡上向后移动 CTRL+ SHIFT+ TAB
　　在选项上向前移动 TAB
　　在选项卡上向前移动 CTRL+ TAB
　　如果在“另存为”或“打开”
　　对话框中选择了某文件夹，
　　要打开上一级文件夹 BACKSPACE
　　在“另存为”或“打开”对
　　话框中打开“保存到”或
　　“查阅” F4
　　刷新“另存为”或“打开”
　　对话框 F5
六、使用“桌面”、“我的电脑”和“Windows资源管理器”快捷键
　　选择项目时，可以使用以下快捷键。
　　目的快捷键
　　插入光盘时不用“自动播放”
　　功能按住 SHIFT插入 CD-ROM
　　复制文件按住 CTRL拖动文件
　　创建快捷方式按住 CTRL+SHIFT拖动文件
　　立即删除某项目而不将其放入 SHIFT+DELETE
　　“回收站”
　　显示“查找：所有文件” F3
　　显示项目的快捷菜单 APPLICATION键
　　刷新窗口的内容 F5
　　重命名项目 F2
　　选择所有项目 CTRL+ A
　　查看项目的属性 ALT+ ENTER或 ALT+双击
　　可将 APPLICATION键用于 Microsoft自然键盘或含有 APPLICATION键的其他兼容键
七、Microsoft放大程序的快捷键
　　这里运用Windows徽标键和其他键的组合。
　　快捷键目的
　　Windows徽标+PRINT SCREEN将屏幕复制到剪贴板（包括鼠标光标）
　　Windows徽标+SCROLL LOCK将屏幕复制到剪贴板（不包括鼠标光标）
　　Windows徽标+ PAGE UP切换反色。
　　Windows徽标+ PAGE DOWN切换跟随鼠标光标
　　Windows徽标+向上箭头增加放大率
　　Windows徽标+向下箭头减小放大率
　
八、使用辅助选项快捷键
　　目的快捷键
　　切换筛选键开关右SHIFT八秒
　　切换高对比度开关左ALT+左SHIFT+PRINT SCREEN
　　切换鼠标键开关左ALT+左SHIFT+NUM LOCK
　　切换粘滞键开关 SHIFT键五次
　　切换切换键开关 NUM LOCK五秒

让韩国人羡慕的中国女孩儿

shida — Mon, 15 Sep 2008 10:01:47 +0000

许馨雨–中国女孩-07-韩国自由式轮滑比赛冠军

网友语录集

shida — Mon, 15 Sep 2008 09:59:55 +0000

1、没有人能给你压力，除了你自己。
2、帅能欺骗女人一时，钱能欺骗女人一世。
3、吃中饭就像做恶梦一样痛苦。
4、中饭：看一眼，饱了；再看一眼，撑了；再看一眼，吐了。。。
5、酒不醉人人自醉，倾城一笑是为谁。
6、不能得到你的肯定，也不想得到你的否定。
7、在你面前，我的智商低于零。
8、能在一棵树上吊死就不错了，可悲的是连那棵树都找不到。
9、都说退一步海阔天空，可我身后是悬崖啊。。。
10、每天过着鬼一样的生活，只有睡着时才感到自己还是个人。
11、人啊，总有脑子短路的时候。可我是经常短路的，就连保险丝都换不起了。
12、我都跟蚊子做持久战的，我躺着总比它飞着轻松吧。
13、战争还没开始，我就注定要失败，因为我的心已经背叛了我。
14、我现在就像一条网中鱼，越挣扎网得越紧，不挣扎又不甘心。
15、如果能把烦恼像扔垃圾一样轻松扔掉就好了。
16、做事不要老问为什么，因为问多了，多半做不成了。
17、理想和现实总是有差距的，除非你把现实当成理想。
18、其实没什么对和错，一切取决于衡量对错的标准。
19、老实其实就是傻，而且比傻更可怕。
20、进行很顺利的事情，往往在快结束时会出现不顺利的因素。
21、智者善于改变自己，愚者试图改变别人。
22、好复杂的社会，好复杂的人，而我傻不楞登地只能在那束手无策。
23、人生几何，如果太多的包袱压得你喘不过气，可以选择放下，千万别拖到没得选择再来后悔。
24、没文化就是没文化，绞尽脑汁才绞出这句话。
25、我真傻，傻得无可救药。
26、挖好大一个坑，然后把自己埋了。

困于笼

shida — Mon, 15 Sep 2008 03:48:55 +0000

兽困于笼，思变！人困于笼，…………

常见拖慢系统启动的几个原因

shida — Fri, 15 Aug 2008 07:37:44 +0000

有些时候Windows 启动速度缓慢并不是它本身的问题，而是一些设备或软件造成的，下面简单的列举了一下造成windows开机缓慢的一些原因：
1． USB硬盘和扫描仪等设备
如果电脑安装了扫描仪等设备，或在启动时已经连接了USB硬盘，那么不妨试试先将它们断开，看看启动速度是不是有变化。一般来说，由于USB接口速度较慢，因此相应设备会对电脑启动速度有较明显的影响，应该尽量在启动后再连接USB设备。如果没有USB设备，那么建议直接在BIOS设置中将USB功能关闭。由于Windows 启动时会对各个驱动器（包括光驱）进行检测，因此如果光驱中放置了光盘，也会延长电脑的启动时间。
2．设置不当的网卡
如果设置不当，网卡也会明显影响系统启动速度，如果你的电脑用不着网卡，那就直接将网卡拔掉，以免影响系统启动速度。如果你的电脑连接在局域网内，安装好网卡驱动程序后，默认情况下系统会自动通过DHCP来获得IP地址，但大多数公司的局域网并没有DHCP服务器，因此如果用户设置成“自动获得IP地址”，系统在启动时就会不断在网络中搜索DHCP 服务器，直到获得IP 地址或超时，自然就影响了启动时间，因此局域网用户最好为自己的电脑指定固定IP地址。
3．文件和打印机共享
有些安装了Windows XP专业版的电脑也会出现启动非常慢的问题，甚至达到了1分半钟之多！系统似乎死机了，登录系统后，桌面也不出现，电脑就像停止反应，1分钟后才能正常使用。这是由于使用了Bootvis.exe 程序后，其中的Mrxsmb.dll文件为电脑启动添加了几十秒的时间！
要解决这个问题，只要停止共享文件夹和打印机即可：选择“开始→设置→网络和拨号连接”，右击“本地连接”，选择“属性”，在打开的窗口中取消“此连接使用下列选定的组件”下的“Microsoft网络的文件和打印机共享”前的复选框，重启电脑即可。微软已经对Bootvis．exe文件进行了多次升级，而且它确实对Windows XP的启动速度有很大帮助，建议大家到 http：//www．microsoft．com/whdc/hwdev/platform /performance/fastboot /default．mspx 下载该工具。
4．断开不用的网络驱动器
为了消除或减少 Windows 必须重新建立的网络连接数目，建议将一些不需要使用的网络驱动器断开，也就是进入“我的电脑”，右击已经建立映射的网络驱动器，选择“断开”即可。
5．硬盘分区太多
如果你的Windows 2000没有升级到SP3或SP4，并且定义了太多的分区，那么也会使启动变得很漫长，甚至挂起。所以建议升级最新的SP4，同时最好不要为硬盘分太多区。因为Windows 在启动时必须装载每个分区，随着分区数量的增多，完成此操作的时间总量也会不断增长。
6．桌面图标太多
桌面上有太多图标也会降低系统启动速度。Windows每次启动并显示桌面时，都需要逐个查找桌面快捷方式的图标并加载它们，图标越多，所花费的时间当然就越多。建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除！
有些杀毒软件提供了系统启动扫描功能，这将会耗费非常多的时间，其实如果你已经打开了杀毒软件的实时监视功能，那么启动时扫描系统就显得有些多余，还是将这项功能禁止吧！
7．字体过多
尽管微软声称Windows可以安装1000～1500种字体，但实际上我们却发现当安装的字体超过500 种时，就会出现问题，比如：字体从应用程序的字体列表中消失以及Windows的启动速度大幅下降。在此建议最好将用不到或者不常用的字体删除，为避免删除后发生意外，可先进行必要的备份。
8．微软补丁
还记得Windows XP的某个补丁造成系统启动变慢的新闻吧(比如：代号为 Q328310的补丁会造成Windows 2000/XP启动和关机速度奇慢，甚至有可能导致注册表锁死)，可见微软自己内部出问题的可能性也不小，如果你在升级了某个系统补丁后，突然发现系统启动变慢，那么最好留意一下是不是补丁惹的祸。

几个有用的Regsvr32命令

shida — Tue, 15 Jul 2008 01:33:39 +0000

Regsvr32命令修复系统故障实例使用过activex的人都知道，activex不注册是不能够被系统识别和使用的，一般安装程序都会自动地把它所使用的 activex控件注册，但如果你拿到的一个控件需要手动注册怎么办呢？如果修改注册表那就太麻烦了，在windows的system文件夹下有一个 regsvr32.exe的程序，它就是windows自带的activex注册和反注册工具。
2000系统的regsvr32.exe在winnt\system32文件夹下；
WInXP系统的regsvr32.exe在windows\system32文件夹下
regsvr32的用法为：
“regsvr32 [/s] [/n] [/i(:cmdline)] dllname”。其中dllname为activex控件文件名，建议在安装前拷贝到system文件夹下。
参数有如下意义：
/u–反注册控件
/s–不管注册成功与否，均不显示提示框
/c–控制台输出
/i–跳过控件的选项进行安装(与注册不同)
/n–不注册控件，此选项必须与/i选项一起使用
执行该命令的方法：
1、可以在”开始”–”运行”，调出运行的对话框，也可以使用Win+R热键，然后直接在输入栏输入即可
2、在开始–运行输入cmd，调出‘命令提示符’窗口，然后再执行regsvr32命令。
二、Regsvr32错误消息的说明
当使用 Regsvr32.exe 时，它会尝试加载该组件并调用它的 DLLSelfRegister 函数。如果此尝试成功，Regsvr32.exe 会显示一个指示成功的对话框。如果此尝试失败，Regsvr32.exe 会返回一条错误消息，其中可能会包括一个 Win32 错误代码。
以下列表介绍了 RegSvr32 错误消息和可能的原因。
Unrecognized flag:/invalid_flag
键入的标志或开关组合无效（请参阅本文中的”Regsvr32.exe 的用法”一节）。
No DLL name specified.
未包括 .dll 文件名（请参阅本文中的”Regsvr32.exe 的用法”一节）。
Dllname was loaded, but the DllRegisterServer or DllUnregisterServer entry point was not found.
Dllname不是.dll 或.ocx 文件。例如，键入 regsvr32 wjview.exe 就会生成该错误消息。
例如，键入regsvr32 icwdial.dll 后就会返回该错误消息，因为 Icwdial.dll 文件不能自行注册。如果您怀疑内存中有损坏的 Dllname 版本，请尝试重新启动计算机，或重新提取该文件的原始版本。如果您运行的是 Windows NT，可能需要使用 Microsoft Windows NT Server 4.0 资源工具包中的 Kill 或 Pview 工具。有关其他信息，请单击以查看以下 Microsoft 知识库文章：197155 如何终止孤立进程 OleInitialize failed (or OleUninitialize failed).
Regsvr32 必须先初始化 COM 库，然后才能调用所需的 COM 库函数并在关闭时撤消对该库的初始化。
一、轻松修复IE浏览器
regsvr32 Shdocvw.dll
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 browseui.dll
作用：
1、同时运行以上命令不仅可以解决IE不能打开新的窗口，用鼠标点击超链接也没有任何反应的问题；
2、还能解决大大小小的其它IE问题，比如网页显示不完整，JAVA效果不出现，网页不自动跳转，打开某些网站时总提示‘无法显示该页’等。
二、解决Windows无法在线升级的问题
regsvr32 wupdinfo.dll
作用：
Windows的漏洞很多，每隔一段时间就需要使用”Windows Update”升级程序进行在线升级，不过”Windows Update”经常出现无法使用的情况，这时，我们可以使用Regsvr32来解决这个问题。
三、防范网络脚本病毒有新招
regsvr32 /u scrrun.dll
作用：
网络脚本病毒嵌在网页中，上网时在不知不觉中机器就会感染上这种病毒。笔者认为单纯使用杀毒软件并不能有效地防范这些脚本病毒，必须从病毒传播的机理入手。网络脚本病毒的复制、传播都离不开FSO对象（File System Object，文件系统对象），因此禁用FSO对象就能有效地控制脚本病毒的传播。
如果需要使用FSO对象，键入”regsvr32 scrrun.dll”命令即可。
四、卸载Win XP自带的ZIP功能
regsvr32 /u zipfldr.dll
作用：
Win XP以功能强大而著称，但有些功能却常常令人有”鸡肋”之感，比如Win XP自带的ZIP功能和图片预览功能，不仅占用了系统资源，功能也远不如第三方软件强大。其实用Regsvr32命令可以很容易地卸载这些功能。
五、修复无法缩略图查看文件问题
2000: 开始→运行，输入regsvr32 thumbvw.dll
XP: 开始→运行，输入regsvr32 shimgvw.dll
六、让WMP播放器支持RM格式
很多朋友喜欢用Windows Media Player（以下简称WMP）播放器，但是它不支持RM格式，难道非得安装其它播放软件吗?笔者有办法。
以 Win XP为例，首先下载一个RM格式插件，解压缩后得到两个文件夹： Release（用于Windows 9x）和 Release Unicode （用于Windows 2000/XP）；将Release Unicode文件夹下的 RealMediaSplitter.ax文件拷贝到”系统盘符\WINDOWS\System32\”目录下；在”开始→运行 “中键入 “regsvr32 RealMediaSplitter.ax”，点击”确定”即可。接着下载解码器，如Real Alternative，安装后就能用WMP播放RM格式的影音文件了。
七、让WMP9的播放器出现
有些音乐网页的在线点歌需要用到Media Player，有的朋友明明安装了WMP9，但在线听音乐却只看到枯燥的WMP6播放器面板，想让漂亮的WMP9面板出现，当然没问题的。
常见问题的操作系统多数WIN 98，先关闭IE，再在”开始→运行”中键入”regsvr32 wmpdxm.dll”，点击”确定”即可。
八、解决打开系统功能时无反应regsvr32 shdocvw.dll
作用：
有时从开始菜单里点击XP系统的搜索功能、帮助和支持或管理工具等，但就是无任何反应，这是它们的打开方式缺少关联，所以我们只要用regsvr32注册它们需要调用的动态连接库文件就行了。
九、添加/删除程序打不开了regsvr32 appwiz.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 msi.dll
regsvr32 “c:\program files\common files\system\ole db\oledb32.dll”
regsvr32 “c:\program files\common files\system\ado\msado15.dll”
regsvr32 mshtmled.dll
regsvr32 /i shdocvw.dll
regsvr32 /i shell32.dll
作用：
当打开控制面板中的添加/删除程序时，双击它的图标后无反应，或者打开后自动关闭了，尝试使用以上命令可以解决。
十、XP的用户帐户打不开regsvr32 nusrmgr.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 /i shdocvw.dll
十一、防范网络脚本病毒有新招
regsvr32 /u scrrun.dll 禁用FSO对象
regsvr32 scrrun.dll 使用FSO对象
十二、解决Windows无法在线升级的问题regsvr32 wupdinfo.dll
以下症状我把它称作IE的活动脚本漏洞，虽然这两个命令能修复，但治标不治本，我建议遇到此问题的朋友到微软网站进行IE安全更新，即打漏洞补丁。
regsvr32 jscript.dll
regsvr32 vbscript.dll
作用：
1、跟上面讲的修复IE浏览器方法配合使用(可以不配)，可以很好的解决浏览某些网页无法正常显示和功能不正常，如：
a.不显示某些验证码
b.不显示某些动态图片
c.不显示某些论坛的帖子列表
d.论坛快速跳转功能无用
e.论坛发贴时按Ctrl+Enter提交无反应
2、修复个别窗口空白，如XP的‘搜索’功能的搜索助理操作面板空白、系统还原页面空白和用户帐户页面空白等。(可修复把握度100%)
3、解决windows media player 9或以上版本打开时提示‘出现内部应用程序错误’。(可修复把握度100%)
4、可以修复win 2000的‘添加/删除程序’打开后一片空白。(可修复把握度99%)
5、解决win 2000以WEB方式查看Program Files文件夹和Winnt文件夹时看不到任何文件，以及‘控制面板’的图标跑到左边去的问题。
6、解决网页上网际快车的右键菜单功能无法使用。
在网站中，当右键点某个‘下载连接’时，会弹出菜单，选择‘使用网际快车下载’会再弹出FLASHGET的下载任务页面，如果发现该功能无反应，那就可能是这个原因：原来这项菜单是调用了FLASHGET目录下的jc_link.htm文件，这个文件是用VB语言编写的，所以其作用丢失是动态连接库 vbscript.dll没有注册和调用到。
增加：
1.关闭AVI等影片的预览功能（有的朋友预览的时候会explorer出错，可以用这个方法）：
regsvr32 /u shmedia.dll
2.禁止Windows scripting host（爱虫病毒就是靠它来发作的）：
regsvr32/u wshom.ocx
regsvr32/u wshext.dll
3.让新版本WMP播放器出现在网页中
Regsvr32 wmpdxm.dll

不装杀毒软件，也能杀掉病毒

shida — Tue, 15 Jul 2008 01:26:53 +0000

一、任务管理器

Windows任务管理器是大家对进程进行管理的主要工具，在它的”进程”选项卡中能查看当前系统进程信息。在默认设置下，一般只能看到映像名称、用户名、CPU占用、内存使用等几项，而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息，当系统出现莫名其妙的故障时，没准就能从它们中间找出突破口。 1.查杀会自动消失的双进程木马前段时间朋友的电脑中了某木马，通过任务管理器查出该木马进程为”system.exe”，终止它后再刷新，它又会复活。进入安全模式把 c：＼windows＼system32＼system.exe删除，重启后它又会重新加载，怎么也无法彻底清除它。从此现象来看，朋友中的应该是双进程木马。这种木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这”互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。调出Windows任务管理器，首先在”查看→选择列”中勾选”PID（进程标识符）”，这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程，它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口，执行”taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令如图1，可以看到这次终止的system.exe进程的PID为 1536，它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器，通过查询进程PID得知它就是 “internet.exe”进程进程。（如图）

图1

查询PID进程找到了元凶就好办了，现在重新启动系统进入安全模式，使用搜索功能找到木马文件c：＼windows＼internet.exe ，然后将它们删除即可。前面无法删除system.exe，主要是由于没有找到internet.exe（且没有删除其启动键值），导致重新进入系统后 internet.exe复活木马。 2.揪出狂写硬盘的P2P程序单位一电脑一开机上网就发现硬盘灯一直闪个不停，硬盘狂旋转。显然是本机有什么程序正在进行数据的读取，但是反复杀毒也没发现病毒、木马等恶意程序。打开该电脑并上网，按Ctrl+Alt+Del键启动了任务管理器，切换到”进程”选项卡，点击菜单命令”查看→选择列”，同时勾选上”I/O写入”和 “I/O写入字节”两项。确定后返回任务管理器，发现一个陌生的进程hidel.exe，虽然它占用的CPU和内存并不是特别大，但是I/O的写入量却大得惊人，看来就是它在捣鬼了，赶紧右击它并选择”结束进程”终止，果然硬盘读写恢复正常了。

二、系统备份工具

笔者曾遭遇一个无法删除的病毒”C：＼Program Files＼Common Files＼PCSuite＼rasdf.exe”，同时也无法复制这个文件，如何清除它。笔者通过系统备份工具清除了该病毒，操作过程如下：第一步：单击”开始→所有程序→附件→系统工具→备份”，打开备份或还原向导窗口，备份项目选择”让我选择要备份的内容”，定位到”C：＼Program Files＼Common Files＼PCSuite”。第二步：继续执行备份向导操作，将备份文件保存为”g：＼virus.bkf”，备份选项勾选”使用卷阴影复制”，剩余操作按默认设置完成备份。

第三步：双击”g：＼virus.bak”，打开备份或还原向导，把备份还原到”g：＼virus”。接着打开”g：＼virus”，使用记事本打开病毒文件”rasdf.exe”，然后随便删除其中几行代码并保存，这样病毒就被我们使用记事本破坏了（它再也无法运行）。第四步：操作同上，重新制作”k：＼virus”的备份为”k：＼virus1.bkf”。然后启动还原向导，还原位置选择”C：＼Program Files＼Common Files＼PCSuite＼”，还原选项选择”替换现有文件”。这样，虽然当前病毒正在运行，但备份组件仍然可以使用坏的病毒文件替换当前病毒。还原完成后，系统提示重新启动，重启后病毒就不会启动了（因为它已被记事本破坏）。

三、记事本

1.双进程木马的查杀现在，越来越多的木马采用双进程守护技术保护自己，就是两个拥有同样功能的代码程序，不断地检测对方是否已经被别人终止，如果发现对方已经被终止了，那么又开始创建对方，这给我们的查杀带来很大的困难。不过，此类木马也有”软肋”，它只通过进程列表进程名称来判断被守护进程是否存在。这样，我们只要用记事本程序来替代木马进程，就可以达到”欺骗”守护进程的目的。下面以某变种木马的查杀为例。中招该木马后，木马的”internet.exe”和”systemtray.exe”两个进程会互相监视。当然，我们中招的时候大多不知道木马具体的监护进程。不过，通过进程名称可以知道，”systemtray.exe”是异常的进程，因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。

第一步：单击”开始→运行”，输入”Msinfo32″打开系统信息窗口，展开”系统摘要→软件环境→正在运行任务”，这里可以看到”systemtray.exe”路径在”C：＼Windows＼System32″下。

第二步：打开”C：＼Windows＼System32″，复制记事本程序”notepad.exe”到”D：＼” ，同时重命名为”systemtray.exe”。

第三步：打开记事本程序，输入下列代码，保存为”shadu.bat”，放置在桌面（括号为注释，无须输入）： [table=400][tr][td]@echo offTaskkill /f /im systemtray.exe （使用taskkill命令强行终止”systemtray.exe”进程）Delete C：＼Windows＼System32＼systemtray.exe （删除病毒文件）Copy d：＼systemtray.exe C：＼Windows＼System32＼（替换病毒文件）

第四步：现在只要在桌面运行”shadu.bat”，系统会将”systemtray.exe”进程终止并删除，同时把改名的记事本程序复制到系统目录。这样，守护进程会”误以为”被守护进程还存在，它会立刻启动一个记事本程序。第五步：接下来我们只要找出监视进程并删除即可，在命令提示符输入： “taskkill /f /im systemtray.exe “，将守护进程再生的”systemtray.exe”终止，可以看到”systemtray.exe”进程是由”PID 3288的进程”创建的，打开任务管理器可以看到”PID 3288的进程”为”internet.exe”，这就是再生进程的”元凶”。

第六步：按照第一步方式，打开系统信息窗口可以看到”internet.exe”也位于系统目录，终止”internet.exe”进程并进入系统目录把上述两个文件删除即可。 2.使病毒失效并删除大家知道，文件都是由编码组成的，记事本程序理论上可以打开任意文件（只不过有些会显示为乱码）。我们可以将病毒打开方式关联到记事本，使之启动后变成由记事本打开，失去作恶的功能。比如，一些顽固病毒常常会在注册表的 “HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”等启动位置生成难以删除的键值，达到恶意启动的目的。

下面使用记事本来”废”掉病毒的生命力。

第一步：启动命令提示符，输入”ftype exefile=notepad.exe %1″，把所有EXE程序打开方式关联到记事本程序，重启系统后我们会发现桌面自动启动好几个程序，这里包括系统正常的程序如输入法、音量调整程序等，当然也包括恶意启动的流氓程序，不过现在都被记事本打开了。

第二步：根据记事本窗口标题找到病毒程序，比如上例的systemtray.exe程序，找到这个记事本窗口后，单击”文件→另存为”，我们就可以看到病毒具体路径在”C：＼Windows＼System32″下。现在关掉记事本窗口，按上述路径提示进入系统目录删除病毒即可。第三步：删除病毒后就可以删除病毒启动键值了，接着重启电脑，按住F8，然后在安全模式菜单选择”带命令提示的安全模式”，进入系统后会自动打开命令提示符。输入”ftype exefile=”%1″%*”恢复exe文件打开方式即可。

四、注册表映像劫持让病毒没脾气现在病毒都会采用IFO的技术，通俗的讲法是映像劫持，利用的是注册表中的如下键值 HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options位置来改变程序调用的，而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。恰恰相反，让我们自己可以利用此处欺瞒病毒木马，让它实效。可谓，瞒天过海，还治其人。

下面我们以屏蔽某未知病毒KAVSVC.EXE为例，操作方法如下：

第一步：先建立以下一文本文件，输入以下内容，另存为1.reg [table=400][tr][td]Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼KAVSVC.EXE]“Debugger”=”d：＼＼1.exe” [HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼KAVSVC.EXE]“Debugger”=”d：＼＼1.exe”（注：第一行代码下有空行。）

第二步：双击导入该reg文件后，确定。第三步：点”开始→运行”后，输入KAVSVC.EXE。提示：1.exe可以是任意无用的文件，是我们随意创建一个文本文件后将后缀名.txt改为.exe的。

简单一招杀掉进程

shida — Tue, 15 Jul 2008 01:19:42 +0000

杀进程,关键是找到这个进程的启动方式，不然下次重启它又出来了。其实用Windows自带的工具就能杀大部分进程：
c:\>ntsd -c q -p PID
只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd 从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出(q)，用 -c参数从命令行传递就行了。
开个cmd.exe窗口，输入：
ntsd -c q -p PID
把最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器－>进程选项卡－>查看－>选择列－>勾上”PID（进程标识符）”，然后就能看见了。