着眼服务，寻找“入口”
    当局域网中的工作站或服务器遭受到病毒或其他非法攻击，或者频繁在其中安装、删除应用程序时，计算机系统中的某些服务可能被强行停止运行；殊不知当系统中与“本地连接”图标有关的服务被停止运行后，我们自然就遇到无法找到局域网管理“入口”的现象。为此，要想找回丢失的“本地连接”这一局域网管理“入口”，我们不妨按照如下操作步骤检查相关服务的运行状态是否正常：

    首先检查一下“Network Connections”网络服务是否处于正常运行状态，因为该服务直接决定着“本地连接”图标能否正常地显示在本地系统的网络连接列表窗口中。在检查该服务的运行状态时，我们可以直接用鼠标右键单击工作站系统桌面中的“我的电脑”图标，从弹出的快捷菜单中执行“管理”命令，打开本地的计算机管理窗口，在该窗口左侧显示区域，用鼠标逐一双击“服务和应用程序”、“服务”选项。

    在“服务”选项所对应的右侧显示区域中，双击“Network Connections”服务项目，在其后出现的服务属性设置窗口中单击“常规”选项卡，打开如图1所示的选项设置页面；在该页面的“服务状态”设置项处，我们要是看到“已启动”字样时，那就表明“Network Connections”网络服务此时运行正常，一旦看到“已停止”字样时，那就表明该服务已经被强迫停止运行了，此时我们必须单击这里的“启动”按钮，同时将该服务的启动类型设置为“自动”，最后单击“确定”按钮确保“Network Connections”服务能重新运行正常。

图1

    当然，在启动“Network Connections”服务的时候我们有时会遇到无法启动的现象，这时我们还需要检查与该服务相关联的“Remote Procedure Call”服务此时是否运行正常，一旦“Remote Procedure Call”被停止的话，那么“Network Connections”服务自然是无法启动成功的，所以我们只有先启动“Remote Procedure Call”服务，然后才能将“Network Connections”服务成功启动起来。

    除了要检查“Network Connections”服务的运行状态是否正常外，我们还必须检查“Plug and Play”服务是否运行正常，因为该服务直接决定系统是否能够正确识别到网卡的工作状态，而网卡的工作状态又会与“本地连接”图标能否正常显示息息相关，所以我们必须按照前面的检查操作方法，看看“Plug and Play”服务是否运行正常，如果不正常时必须及时将它重新启动成功。

    着眼组策略，寻找“入口”
    在局域网环境中，常常有“闲杂人员”进入到自己工作站，随意修改本地系统的组策略设置，倘若将本地工作站的“自动删除已有连接” 策略起用的话，那么“本地连接”这一局域网管理“入口”也有可能发生丢失现象。为此，要想找回局域网管理“入口”，我们也需要检查一下系统组策略，看看“自动删除已有连接” 策略是否已经启用，下面就是具体的检查步骤：

    首先打开系统“开始”菜单执行“运行”命令，并将“gpedit.msc”字符串命令填写在系统运行框中，单击回车键后进入本地系统组策略列表窗口；

    在该窗口左侧显示区域，用鼠标展开“用户配置”分支，然后依次在该分支下面选中“Windows 设置”/“Internet Explorer 维护”/“连接”选项，在“连接”选项所对应的右侧显示区域中，找到“连接设置”项目并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图2所示的策略属性设置窗口；检查该设置窗口中的“删除已有的拨号连接设置”选项有没有处于选中状态，要是已经处于选中状态的话，我们必须及时将它的选中状态取消，再单击“确定”按钮，相信这么一来我们就有可能将丢失的局域网管理“入口”找回来。

图2

    首先打开系统“开始”菜单并单击“运行”选项，然后在系统运行框中输入“Dcomcnfg.exe”字符串命令，单击回车键后，进入到系统COM权限配置界面，在该配置界面中单击“默认属性”标签，进入到如图3所示的标签页面；

图3

    将其中的“在这台计算机上启用分布式COM”选项选中，然后打开“默认模拟级别”下拉列表，检查一下当前的模拟级别权限是否已经被设置成了“标识”，如果不是必须从下拉列表中重新选择“标识”，再单击“确定”按钮，最后重新启动Windows 2000工作站系统，这样说不定就可能将丢失的“本地连接”这一局域网管理“入口”找回来了。

    着眼策略，寻找“入口”
    除了通过调整DCOM权限来寻找局域网管理“入口”外，Windows 2000系统工作站也可以通过修改系统策略的方法来寻找“入口”。这里的策略不是前面所提到的组策略，这可是Windows 2000系统所独有的，下面就是具体的寻找步骤：

    首先打开系统“开始”菜单并单击其中的“运行”命令，然后输入“poledit”字符串命令，单击回车键后，进入到Windows 2000工作站系统的策略编辑界面；打开该编辑界面的“文件”菜单，并从中选择“打开注册表”菜单命令，打开如图4所示的设置窗口，选中“本地用户”并用鼠标双击该选项图标，再用鼠标依次展开其后界面中的“外壳界面”/“限制”分支，检查对应该分支下面的“隐藏网上邻居”选项此时是否处于选中状态，要是已处于选中状态我们必须及时将其选中状态取消，再单击“确定”按钮返回到图4设置窗口；

图4

    接下来再打开图4界面中的“文件”菜单，从其中选择“保存”菜单命令，将前面的设置操作存储到本地系统注册表中，最后重新启动Windows 2000工作站系统，这样“本地连接”图标多半能重新显现在我们眼前了。

    着眼网卡，寻找“入口”
    当我们逐一尝试过上面的所有招数后，仍然还无法找回丢失的局域网管理“入口”——“本地连接”图标时，我们就不得不将目光转向工作站的网卡设备了，因为如果网卡工作状态不正常或者存在硬件故障的话，上面的绝招都将失灵。

    在检查工作站网卡工作状态是否正常时，我们可以用鼠标右击桌面中“我的电脑”，从右键菜单中选择“属性”选项，打开本地工作站的系统属性设置窗口；单击该窗口中的“硬件”标签，并在对应标签页面中单击“设备管理器”按钮，在弹出的系统设备列表窗口中，用鼠标右击安装到本地工作站的目标网卡设备，再执行快捷菜单中的“属性”命令，打开如图5所示的网卡属性设置界面；在该界面的“常规”标签页面中，我们就能清楚地看到网卡此时是否运行正常了。

图5

    一旦发现网卡运行不正常，我们可以右击目标网卡图标，执行快捷菜单中的“卸载”命令，将网卡设备先从系统中彻底卸载下来；之后打开工作站机箱，将网卡设备拔出来并重新插入到新的插槽中去，看看在网卡更换新插槽后网卡工作状态是否正常，如果还不正常的话，那多半是网卡发生了硬件损坏，相信在更换了新网卡设备后“本地连接”图标一定能正常显示出来。

　　有时我们想对网络参数进行重新配置，可是进入网络连接列表窗口后，竟然发现“本地连接”图标不翼而飞了!找不到“本地连接”图标，我们怎么设置网络参数呀?!那“本地连接”是怎么丢失的呢，我们又该如何才能让它“失而复得”呢?

　　事实上，造成“本地连接”丢失故障的因素有多种，例如网卡没有安装成功，与“本地连接”相关的系统服务被不小心停止了，网络参数没有设置正确，或者对系统进行了不恰当的设置等。不同的因素引发的“本地连接”丢失故障，需要使用不同的方法来应对:

　　首先打开系统的设备管理器界面，检查一下是否存在网卡设备，如果找不到的话，那就证明网卡还没有安装好，那必须重新正确安装好网卡设备;如果网卡能够显示在设备管理器中的话，那可以用鼠标右键单击网卡设备，并从其后出现的右键菜单中执行“属性”命令，在随后出现的窗口中，我们就能查看到网卡设备的当前工作状态了(如图3所示)，如果发现该设备处于不可用状态，不妨更换一下网卡的安装位置，然后再重新安装一次网卡的驱动程序，看看能不能将故障现象消除掉;要是重装网卡还无法让网卡工作状态恢复正常的话，那十有八九是网卡自身已经损坏，此时必须重新更换新的网卡设备。

　　接着我们可以打开系统的运行对话框，在其中执行“Dcomcnfg.exe”字符串命令，进入系统的分布式COM配置界面，单击其中的“默认属性”标签，查看对应标签页面中的“在这台计算机上启用分布式COM”是否处于选中状态，如果该项目此时并没有处于选中状态的话，那“本地连接”丢失故障多半是由该因素引起的，此时我们只有重新将“在这台计算机上启用分布式COM”选中，同时将模拟级别权限调整为“标识”，最后单击一下“确定”，这样的话“本地连接”图标在系统重新启动之后说不定就可以出现了。

　　如果上面的几个步骤还不能让“本地连接”图标重见天日的话，那我们有必要检查一下是否人为将“网上邻居”功能隐藏起来了，如果是这样的话我们必须打开系统运行框，在其中执行“poledit”字符串命令，打开系统策略编辑器界面;依次单击该界面菜单栏中的“文件”/“打开注册表”项目，然后双击其后界面中的“本地用户”图标，再逐一单击“外壳界面”/“限制”项目，并将“限制”项目下的“隐藏网上邻居”取消选中，最后保存好上面的设置操作，并重新启动一下计算机系统，就能恢复网上邻居的显示功能，这样多半也能解决“本地连接”丢失故障。

http://www.sina.com.cn 2006年07月28日 16:55 天极yesky

　　服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

　　检查系统启动项

　　由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查：

　　HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion下所有以“run”开头的键值；

　　HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion下所有以“run”开头的键值；

　　HKEY-USERS Default Software Microsoft Windows CurrentVersion下所有以“run”开头的键值。

　　Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！

　　检查网络连接情况

　　由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

　　检查系统帐户

　　恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下方法对账户进行检测。

　　点击“开始”->“运行”->“cmd”，然后在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不应该属于administrators组，如果你发现一个系统内置的用户是属于administrators组的，那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧。