IT博客网- i have only belief--wjw-随笔分类-硬软知识

“熊猫烧香”病毒的手动清除方法!

i have only belief — Sat, 13 Jan 2007 04:22:00 GMT

可恶的病毒“熊猫烧香”是 2007 年第一周排行榜第一的病毒。这个病毒对 Windows 和常用的系统组件，如 IE、Messenger 等的运行倒没有多大影响，但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件，把这些文件当作宿主，寄生在这些文件里。一旦这几种类型的文件被感染，文件的图标就会变成一个很恶心的烧香熊猫的样子，同时文件大小变大（病毒已经寄生在其中），只要试图运行这些中毒的文件，病毒就会进一步地疯狂扩散。

受病毒的影响，几乎所有的应用软件基本上都不能正常运行了（哪个软件的执行文件不是 .EXE 文件呢）。而且病毒还具有自行关闭防火墙和杀毒软件的能力，电脑上的瑞星防火墙便被强制禁用，病毒监控虽然可以运行，但也被取消了随系统启动一同加载的权利；同时连 Windows 安全中心也未能幸免，Security Center 服务被整个删除；另外在文件夹选项中也无法查看隐藏的文件夹和文件了，这是一个常见问题，在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

由于瑞星已经“泥菩萨过河、自身难保”，所以不得不手动清除。

1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

2.删除位于 %SystemRoot%system32Drivers 文件夹中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件，所以很好找。

3.按照 KB555640 提供的方法，恢复资源管理器不能显示隐含文件的问题：

http://support.microsoft.com/kb/555640/zh-cn

这篇 KB 还是 youyang 写的，向 youyang 同学致敬。

4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE，将这些垃圾全部删除。

5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户，每个用户帐户的 HKEY_CURRENT_USER 都要清理。

6.恢复杀毒软件随系统启动的加载项，以瑞星为例，在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个 RavTask，设置命令为 "C:RiSingRavRavTask.exe" -system 即可，其中 C:RisingRAV 是瑞星的默认安装位置。

7.在另一台“安全中心”服务正常的电脑上打开注册表，将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件，复制到故障电脑上导入注册表，然后重新启动 Windows，恢复被病毒删除的“安全中心”服务。

到这个地步，病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件，一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具，但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE，对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件《超级巡警》里找到了一个熊猫烧香病毒专杀工具 1.6，名为 KillPanda.BAT，这个工具总算没有让人失望，经过扫描后，被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标，而且文件大小也恢复正常了，可以正常运行，总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件，文件的生成时间、修改时间和访问时间就都保不住了，最后还是留下了一点“后遗症”。

i have only belief 2007-01-13 12:22 发表评论

瑞星最新病毒分析报告:'Nimaya(熊猫烧香)'

i have only belief — Sat, 13 Jan 2007 04:21:00 GMT

瑞星介绍了这款今年开年便风行全国的著名病毒-熊猫烧香.这是一个传染型的DownLoad使用Delphi编写,一起来了解一下.该病毒的主要行为:

一.传播
1.本地磁盘感染
病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行
文件遍历感染注:不感染文件大小超过10485760字节以上的.
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
....
(病毒将不感染文件名如下的文件):
setup.exe
NTDETECT.COM

病毒将使用两类感染方式应对不同后缀的文件名进行感染
1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM)
将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.

2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx)
在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):

在感染时会删除这些磁盘上的后缀名为.GHO

2.生成autorun.inf
病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成
setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联
使病毒在用户点击被感染磁盘时能被自动运行.

3.局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典
进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务
启动激活病毒.

被尝试猜测密码的账户号为:
Administrator
Guest
admin
Root

用来进行密码尝试的字典为:
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
mein
12345678
12345
admin
5201314
qq520
1234567
123456789
654321
54321
000000
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
2002
2003
2600
alpha
111111
121212
123123
1234qwer
123abc
patrick
administrator
ator
root
fuckyou
fuck
test
test123
temp
temp123
asdf
qwer
yxcv
zxcv
home
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100

二.修改操作系统的启动关联
病毒会将自己复制到%SYSTEM32%DRIVERS目录下文件名为:spcolsv.exe将以
1秒钟为周期不断设置如下键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare=%病毒文件路径%

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue=0

三.下载文件启动
病毒会以20分钟为周期尝试读取特定网站上的下载文件列表
如:http://wangma.9966.org/down.txt
并根据文件列表指定的文件下载,并启动这些程序.

四.与杀毒软件对抗
1.关闭包含以下字符串的窗口：
防火墙
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
超级兔子
优化大师
大师
木马清道夫
木馬清道夫
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
IceSword

2.结束以下进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe

3.关闭并删除以下服务：
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

注:
因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有利用安全漏洞进行
病毒传播的链接.如果一台服务器被感染将大大增加病毒传播的范围.

i have only belief 2007-01-13 12:21 发表评论

杀毒软件

i have only belief — Mon, 08 Jan 2007 12:07:00 GMT

BitDefender
简介：BitDefender杀毒软件是来自罗马尼亚的老牌杀毒软件，二十四万超大病毒库，它将为你的计算机提供最大的保护，具有功能强大的反病毒引擎以及互联网过滤技术，为你提供即时信息保护功能，通过回答几个简单的问题，你就可以方便的进行安装，并且支持在线升级。它包括 1.永久的防病毒保护；2.后台扫描与网络防火墙；3.保密控制；4.自动快速升级模块；5.创建计划任务；6.病毒隔离区.

排名第一的BitDefender专业版下载地址，最高版本，有汉化，有算号器，17M速度不错啊。
http://www.orsoon.com/Software/Catalog179/6484.html
SN：82E04-6AFBA-1DA94-7B539

Kaspersky
简介：Kaspersky（卡巴斯基）杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒！提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail通路和防火墙。它支持几乎是所有的普通操作系统。卡巴斯基控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和IT出版机构的证书，确认了卡巴斯基具有汇集行业最高水准的突出品质。

卡巴斯基反病毒软件6.0.300个人版官方中文版一年免费升级
http://51ct.cn/downinfo/1848.html
http://www.xxjp.org/Software/Catalog21/2832.html
http://www.orsoon.com/Software/Catalog179/2024.html
http://green.crsky.com/soft/983.html

F-Secure AntiVirus
简介：来自Linux的故乡芬兰的杀毒软件，集合AVP,LIBRA,ORION,DRACO四套杀毒引擎,其中一个就是Kaspersky的杀毒内核，而且青出于蓝胜于蓝，个人感觉杀毒效率比Kaspersky要好，该软件采用分布式防火墙技术，对网络流行病毒尤其有效。在《PC Utilites》评测中超过Kaspersky名列第一，但后来Kaspersky增加了扩展病毒库，反超F-secure。鉴于普通用户用不到扩展病毒库，因此F-secure还是普通用户很不错的一个选择。F-Secure AntiVirus是一款功能强大的实时病毒监测和防护系统，支持所有的 Windows 平台，它集成了多个病毒监测引擎，如果其中一个发生遗漏，就会有另一个去监测。可单一扫描硬盘或是一个文件夹或文件，软件更提供密码的保护性，并提供病毒的信息。

F-Secure AntiVirus6.01
http://www.naf.com.cn/soft/98930.htm
F-Secure AntiVirus Client Security v5.56 特别版
http://www.yesadmin.com/Soft/html/32/198/yesadmin_14873.html
name:www.chinaz.com sn:0QQC-KJ2D-D663-7XC7-P5U7

Pc-Cillin（趋势）
简介：趋势科技网络安全个人版集成了包括个人防火墙、防病毒、防LJ邮件等功能于一体，最大限度地提供对桌面机的保护并不需要用户进行过多的操作。在用户日常使用及上网浏览时，进行“实时的安全防御监控”；内置的防火墙不仅更方便您使用因地制宜的设定，“专业主控式个人防火墙”及“木马程序损害清除还原技术”的双重保障还可以拒绝各类黑客程序对计算机的访问请求；趋势科技全新研发的病毒阻隔技术，包含“主动式防毒应变系统”以及“病毒扫瞄逻辑分析技术”不仅能够精准侦测病毒藏匿与化身并予以彻底清除外，还能针对特定变种病毒进行封锁与阻隔，让病毒再无可趁之机；强有力的“LJ邮件过滤功能”为您全面封锁不请自来的LJ邮件。趋势科技网络安全个人版的诸多功能确保您的电脑系统运作正常，从此摆脱病毒感染的恶梦。

PC-cillin 2006 网络安全版 Sn：PGEF-0017-4168-1475-0999
http://www.crsky.com/soft/655.html
趋势科技 PC-cillin 2006 官方简体中文版+ 注册机
http://www.jz5u.com/Codelist/Catalog199/3825.html

ESET Nod32

简介：国外很权威的防病毒软件评测给了NOD32很高的分数，在全球共获得超过40多个奖项，包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等，更加是全球唯一通过26次VB100%测试的防毒软件，高据众产品之榜首！产品线很长，从DOS、Windows 9x/Me、Windows NT/XP/2000，到Novell Netware Server、Linux、BSD等，都有提供。可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度效果都令人满意。

NOD32 Administrator v2.51.22 简体中文封装特别版
http://www.orsoon.com/Software/Catalog179/5243.html
NOD32官方简体中文版v2.51.22管理员版+无限升级补丁FIX2.1
http://51ct.cn/downinfo/555.html
NOD32 Antivirus V2.51.8 完美汉化特别版免ID永久升级
http://www.orsoon.com/Software/Catalog179/4123.html
NOD32升级ID更新地址：
http://rav.xxjp.org/nod32
http://a9z1.zj.com/（推荐）
http://nod32info.vicp.net/(推荐)
设置方法：更新→更新→设定→位置→服务器→新增→新服务器＋输入升级地址→确定→确定。

McAfee Virusscan

简介：全球最畅销的杀毒软件之一，McAfee防毒软件，除了操作介面更新外，也将该公司的WebScanX功能合在一起，增加了许多新功能！除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

McAfee VirusScan 8.0i With Patch 13 简体中文企业版（2006-7-20中文优化版）
(虽然有了新的版本MCfee 10.0以上但还是觉得这个版本是最好的简单实用)
http://www.orsoon.com/Software/Catalog179/1453.html
McAfee2006┊极品个人安全组合套装┊官方无限制简体中文版
http://green.crsky.com/soft/2816.html
http://www.down911.com/SoftView/SoftView_2071.html

Norton AntiVirus

简介：Norton AntiVirus是一套强而有力的防毒软件，它可帮你侦测上万种已知和未知的病毒，并且每当开机时，自动防护便会常驻在System Tray，当你从磁盘、网路上、E-mail 夹档中开启档案时便会自动侦测档案的安全性，若档案内含病毒，便会立即警告，并作适当的处理。另外它还附有“LiveUpdate”的功能，可帮你自动连上 Symantec 的 FTP Server 下载最新的病毒码，於下载完后自动完成安装更新的动作。

诺顿杀毒软件简体中文黄金企业版本10.01.100为企业版本无需要注册
http://www.orsoon.com/Software/Catalog179/5520.html
Norton AntiVirus (诺顿杀毒)10.0.2.2000.Final 简体中文企业版
http://www.orsoon.com/Software/Catalog179/1525.html

AVG Anti-Virus
简介：AVG Anti-Virus欧洲有名的杀毒软件，AVG Anti-Virus System功能上相当完整，可即时对任何存取文件侦测，防止电脑病毒感染；可对电子邮件和附加文件进行扫瞄，防止电脑病毒透过电子邮件和附加文件传播；“病毒资料库”里面则记录了一些电脑病毒的特性和发作日期等相关资讯；“开机保护”可在电脑开机时侦测开机型病毒，防止开机型病毒感染。在扫毒方面，可扫瞄磁碟片、硬盘、光盘机外，也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件（支持ZIP，ARJ，RAR等压缩文件即时解压缩扫描）。在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至AVG Virus VauIt，待扫瞄完成后在一并解毒。支持在线升级。现在提供了最新的免费版供大家使用，安装之前先去官方网站填个表，从回信中得到一个序列号。AVG Anti-Virus 有三个版本（专业、服务器、免费），其中有个人非营利使用的免费版本，功能完整，但是仅某部份功能是无法设定的，例如扫毒排程只能每天一次等等。

AVG anti-virusSHI 家庭用户的免费下载地址
http://free.grisoft.cz/softw/70free/setup/avg71free_375a716.exe 迅雷下载
AVG Anti-Virus v7.1.394a763 Free 下载地址
http://down1.tech.sina.com.cn/download/downContent/2004-03-16/5083.shtml
http://www.crsky.com/soft/7640.html
AVG Anti-Virus with Firewall V7.1.362a656下载地址
http://www.bizdown.net/soft/16523.html

eTrust EZ AntiVirus
简介：反病毒软件“eTrust EZ Antivirus”已经获得了国际计算机安全协会（ICSA：International Computer Security Association）的认证。ICSA专门负责检测和认证产品对来自病毒及恶意代码的攻击的有效性。CA公司表示，在ICSA的测试中，eTrust EZ Antivirus软件甚至连“In-The-Wild”恶性病毒也可以100％地检测出来。eTrust EZ Antivirus是一种主要为中小型企业及SOHO用户提供解决方案的反病毒软件。该产品支持的操作系统包括Windows 98、Windows ME、Windows NT以及Windows 2000 Professional等。除此以外，CA公司还提供包括eTrust EZ Antivirus在内的反病毒解决方案组件“eTrust EZ Armor”。新版本采用全新用户界面，更加易于使用；新的文件隔离功能可有效防止系统文件被误删；改进了帮助系统；增强了“闪动”系统托盘图标功能。

eTrust EZ Antivirus 7.1.6.0 简体中文版
http://www.joyopc.cn/soft/15/2006/20060412883.html
License Key: XMLTY-ECYXL-XJRIH-RIGEC

Norman Virus Control
简介：Norman Virus Control是欧洲名牌杀毒软件，为了确保您的计算机系统得到最好的保护，Norman 数据安全系统提供了多种防毒工具供您选择，以满足您的不同需要。此产品结合了先进的病毒扫描引擎、启发式分析技术以及宏验证技术，可有效查杀已知和未知病毒。NVC 可以查杀所有类型的病毒，包括文件和引导扇区病毒而无需使用杀毒软件重新启动开机。

Norman Virus Control 破解版|破解补丁|注册码|注册机|免费下载
http://www.qddown.com/bbs/2-543/
http://www.yesky.com/imagesnew/software/img/2006-1/001/790.html
http://download.enet.com.cn/speed/toftp.php?fname=030202004053101
Key:F8YACF2QNUX3TFDEKV9WWXC8E

AntiVirusKit
AntiVirusKit 2006 v16.0.7. 0，是德国G-Data公司产品，英文全名是GData AntiVirusKit，
简称AVK，这是一款采用KAV（卡巴）和BitDefender（BD）罗马尼亚杀毒软件的双引擎杀毒软件，具有超强的杀毒能力，在国外拥有非常高的知名度，运行速度稳定，
具有病毒监控、EMAIL病毒拦截器、EMAIL防护、支持在线自动更新等功能，可以阻挡来自互联网的病毒、蠕虫、黑客后门、特洛伊木马、拨号程序、广告软件、间谍软件等所有威胁，支持对压缩文件、电子邮件即时扫描，支持启发式病毒扫描，
支持密码保护，有详细的日志方便查询，对计算机提供永久安全防护。AVK最大优点是，只要病毒或木马录入病毒库，它在病毒运行前拦截，不会出现中毒后再杀毒的情况。
AVK2006目前病毒库已经超过33W 卡吧+BD 双杀毒引擎效果绝对一流！

AntiVirusKit InternetSecurity 2006 16.03
http://www.52shadu.cn/soft/15/2006/200606052114.html
AntiVirusKit2006 (AVK2006)木蚂蚁社区绿色版（v16.0.5）+KEY
http://www.eyabo.com/soft/7/76/3431.html
AntiVirusKit2006 （v16.0.7）专用精简版（有升级KEY）
http://blog.sina.com.cn/u/55f2afbd010003lf
AntiVirusKit 2006 精简中文版 Name: fischer2815 Serial : 7j1n1e
http://bbsnan.vicp.net/topic.cgi?forum=48&topic=27

AVAST!
现在网上最火的杀软AVAST中文版
来自捷克的AVAST，已有17年的历史，但最近才在我们这里兴起，它在国外市场一直处于领先地位。
它的家庭版是免费得，只要在它的网页上填写一下资料，但是邮箱一定要写正确，这样它才能把使用KEY发给你,这你也就可以享用它14个月了，然后再注册再使用。
Avast！的实时监控功能十分强大！它拥有七大防护模块：网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。这么完善的防护系统，定能让你的系统练就一副金刚不坏之身！任意开启各项保护模块能够查杀**软件,比如3721。升级很人性化
Avast是捷克一家软件公司(ALWILSoftware)的产品。ALWIL软件公司的研发机构在捷克的首都－布拉格，现在他们和世界上许多国家的安全软件机构都有良好的合作关系。
早在80年代末ALWIL公司的安全软件已经获得良好的市场占有率，但当时仅限于捷克地区。
ALMIL公司是擅长于安全软件方面的研发，开发的Avast Antivirus系列是他们的拳头产品，Avast在许多重要的市场和权威评奖中都取得了骄人的成绩，同样在此后进军国际市场上也赢得了良好的增长率。
主要特点：
（1）高侦测的反病毒表现，多次获得过ICSA和Virus Bulletin 100%认证，启发式强大。
（2）较低的内存占用和直观，简洁的使用界面。
（3）支持SKIN更换，完善的程序内存检测
（4）对SMTP/POP3/IMAP邮件收发监控的全面保护。
（5）支持MSOUTLOOK外挂，智能型邮件帐号分析。
（6）支持宏病毒文档修复，修复档案后自动产生病毒还原数据库（VRDB功能）。
（7）支持P2P共享下载软件和即时通讯病毒检测，保护全面。
（8）良好有效的侦测并清除病毒，如虫，广告和木马程序
（9）病毒库更新速度快，对新型病毒和木马有迅捷的反应。
　功能特性如下：
＊反病毒内核＊自动升级＊简单的使用界面＊病毒隔离区＊实时监控＊系统结合＊P2P和聊天软件监控保护＊病毒清除＊网络防护＊64位系统支持＊网页防护＊多国语言支持＊增强型用户界面＊恶意脚本屏蔽＊DOS下扫描＊扩展病毒库升级＊移除病毒备份　　
占用内存不到25兆,让你老机器也流畅,在欧洲被称为唯一能与NOD32媲美的杀软

Avast! V4.7.844┊高侦测反病毒软件、0613病毒库┊绿色下载站免安装版
http://green.crsky.com/soft/3155.html
现在网上最火的杀软AVAST 4.7 Professional官方中文版下载(完全免费的正版,自动升级！)
http://www.avast.com/eng/download-avast-home.html
附：AVAST序列号
S6039686R6039
W1106-FBYVE2MU
　　有效期2009.5.6
　　升级有效期2010.1.1
　　
　　S7935192R4371
　　Z1106-S1BJD5AJ
　　有效期2012.1.6
　　升级有效期2008.8.1
　　
S6945137R6826
L1106-WXH4K1SJ
　　有效期2008.4.6
　　升级有效期2010.9.1
皮肤下载： http://www.avast.com/eng/skins.html

i have only belief 2007-01-08 20:07 发表评论

花3分钟时间来关闭你电脑上没用的服务(加快你的电脑运行)

i have only belief — Tue, 10 Oct 2006 11:36:00 GMT

花3分钟时间来关闭你电脑上没用的服务(加快你的电脑运行)

可能有很多朋友还不知道如何启动服务选项：在控制面板→管理工具→服务；指着建议为“已停用”的服务属性改成“已禁用”并按停止即可；

Alerter
微软：通知选取的使用者及计算机系统管理警示。如果停止这个服务，使用系统管理警示的程序将不会收到通知。如果停用这个服务，所有依存于它的服务将无法启动。
补充：一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts)，除非你的计算机用在局域网络上
依存： Workstation
建议：已停用

Application Layer Gateway Service
微软：提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持
补充：如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉
依存： Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议：已停用

Application Management (应用程序管理)
微软：提供指派、发行、以及移除的软件安装服务。
补充：如上说的软件安装变更的服务
建议：手动

Automatic Updates
微软：启用重要 Windows 更新的下载及安装。如果停用此服务，可以手动的从 Windows Update 网站上更新操作系统。
补充：允许 Windows 于背景自动联机之下，到 Microsoft Servers 自动检查和下载更新修补程序
建议：已停用

Background Intelligent Transfer Service
微软：使用闲置的网络频宽来传输数据。
补充：经由 Via HTTP1.1 在背景传输资料的?#124;西，例如 Windows Update 就是以此为工作之一
依存： Remote Procedure Call (RPC) 和 Workstation
建议：已停用

ClipBook (剪贴簿)
微软：启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止，剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：把剪贴簿内的信息和其它台计算机分享，一般家用计算机根本用不到
依存： Network DDE
建议：已停用

COM+ Event System (COM+ 事件系统)
微软：支持「系统事件通知服务 (SENS)」，它可让事件自动分散到订阅的 COM 组件。如果服务被停止，SENS 会关闭，并无法提供登入及注销通知。如果此服务被停用，任何明显依存它的服务都无法启动。
补充：有些程序可能用到 COM+ 组件，像 BootVis 的 optimize system 应用，如事件检视器内显示的 DCOM 没有启用
依存： Remote Procedure Call (RPC) 和 System Event Notification
建议：手动

COM+ System Application
微软：管理 COM+ 组件的设定及追踪。如果停止此服务，大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用，任何明确依存它的服务将无法启动。
补充：如果 COM+ Event System 是一台车，那么 COM+ System Application 就是司机，如事件检视器内显示的 DCOM 没有启用
依存： Remote Procedure Call (RPC)
建议：手动

Computer Browser (计算机浏览器)
微软：维护网络上更新的计算机清单，并将这个清单提供给做为浏览器的计算机。如果停止这个服务，这个清单将不会被更新或维护。如果停用这个服务，所有依存于它的服务将无法启动。
补充：一般家庭用计算机不需要，除非你的计算机应用在区网之上，不过在大型的区网上有必要开这个拖慢速度吗？
依存： Server 和 Workstation
建议：已停用

Cryptographic Services
微软：提供三个管理服务: 确认 Windows 档案签章的 [类别目录数据库服务]; 从这个计算机新增及移除受信任根凭证授权凭证的 [受保护的根目录服务]; 以及协助注册这个计算机以取得凭证的 [金钥服务]。如果这个服务被停止，这些管理服务将无法正确工作。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证，如果你有使用 Automatic Updates ，那你可能需要这个
依存： Remote Procedure Call (RPC)
建议：手动

DHCP Client (DHCP 客户端)
微软：透过登录及更新 IP 地址和 DNS 名称来管理网络设定。
补充：使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP
依存： AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
建议：手动

Distributed Link Tracking Client (分布式连结追踪客户端)
微软：维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。
补充：维护区网内不同计算机之间的档案连结
依存： Remote Procedure Call (RPC)
建议：已停用

Distributed Transaction Coordinator (分布式交易协调器)
微软：协调跨越多个资源管理员的交易，比如数据库、讯息队列及档案系统。如果此服务被停止，这些交易将不会发生。如果服务被停用，任何明显依存它的服务将无法启动。
补充：如上所说的，一般家庭用计算机用不太到，除非你启用的 Message Queuing
依存： Remote Procedure Call (RPC) 和 Security Accounts Manager
建议：已停用

DNS Client (DNS 客户端)
微软：解析并快取这台计算机的网域名称系统 (DNS) 名称。如果停止这个服务，这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。如果停用这个服务，所有依存于它的服务将无法启动。
补充：如上所说的，另外 IPSEC 需要用到
依存： TCP/IP Protocol Driver
建议：手动

Error Reporting Service
微软：允许对执行于非标准环境中的服务和应用程序的错误报告。
补充：微软的应用程序错误报告
依存： Remote Procedure Call (RPC)
建议：已停用

Event Log (事件记录文件)
微软：启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。
补充：允许事件讯息显示在事件检视器之上
依存： Windows Management Instrumentation
建议：自动

Fast User Switching Compatibility
微软：在多使用者环境下提供应用程序管理。
补充：另外像是注销画面中的切换使用者功能
依存： Terminal Services
建议：手动

Help and Support
微软：让说明及支持中心能够在这台计算机上执行。如果这个服务停止，将无法使用说明及支持中心。如果这个服务被停用，它的所有依存服务将无法启动。
补充：如果不使用就关了吧
依存： Remote Procedure Call (RPC)
建议：已停用

Human Interface Device Access
微软：启用对人性化接口装置 (HID) 的通用输入存取，HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止，这个服务控制的快捷纽将不再起作用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：如上所提到的
依存： Remote Procedure Call (RPC)
建议：已停用

IMAPI CD-Burning COM Service
微软：使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘录制。如果这个服务被停止，这个计算机将无法录制光盘。如果这个服务被停用，任何明确地依赖它的服务将无法启动。
补充： XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能，可惜比不上烧录软件，关掉还可以加快 Nero 的开启速度
建议：已停用

Indexing Service (索引服务)
微软：本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。
补充：简单的说可以让你加快搜查速度，不过我想应该很少人和远程计算机作搜寻吧
依存： Remote Procedure Call (RPC)
建议：已停用

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
微软：为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。
补充：如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉
依存： Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建议：已停用

IPSEC Services (IP 安全性服务)
微软：管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。
补充：协助保护经由网络传送的数据。IPSec 为一重要环节，为虚拟私人网络 (VPN) 中提供安全性，而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要，但是一般使用者大部分是不太需要的
依存： IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议：手动

Logical Disk Manager (逻辑磁盘管理员)
微软：侦测及监视新硬盘磁盘，以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止，动态磁盘状态和设定信息可能会过时。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：磁盘管理员用来动态管理磁盘，如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能
依存： Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
建议：自动

Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务)
微软：设定硬盘磁盘及磁盘区，服务只执行设定程序然后就停止。
补充：使用 Microsoft Management Console(MMC)主控台的功能时才用到
依存： Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
建议：手动

Messenger (信差)
微软：在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。如果停止这个服务，Alerter 讯息将不会被传输。如果停用这个服务，所有依存于它的服务将无法启动。
补充：允许网络之间互相传送提示讯息的功能，如 net send 功能，如不想被骚扰话可关了
依存： NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建议：已停用

MS Software Shadow Copy Provider
微软：管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务，就无法管理以软件为主的磁盘区阴影复制。如果停用这个服务，任何明确依存于它的服务将无法启动。
补充：如上所说的，用来备份的?#124;西，如 MS Backup 程序就需要这个服务
依存： Remote Procedure Call (RPC)
建议：已停用

Net Logon
微软：支持网域上计算机的账户登入事件的 pass-through 验证。
补充：一般家用计算机不太可能去用到登入网域审查这个服务
依存： Workstation
建议：已停用

NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享)
微软：让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络，由远程访问这部计算机。如果这项服务停止的话，远程桌面共享功能将无法使用。如果服务停用的话，任何依赖它的服务将无法启动。
补充：如上说的，让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者，如果你重视安全性不想多开后门，就关了吧
建议：已停用

Network Connections (网络联机)
微软：管理在网络和拨号联机数据夹中的对象，您可以在此数据夹中检视局域网络和远程联机。
补充：控制你的网络联机
依存： Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议：手动

Network DDE (网络 DDE)
微软：为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止，DDE 传输和安全性将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：一般人好像用不到
依存： Network DDE DSDM、ClipBook
建议：已停用

Network DDE DSDM (网络 DDE DSDM)
微软：讯息动态数据交换 (DDE) 网络共享。如果这个服务被停止，DDE 网络共享将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：一般人好像用不到
依存： Network DDE
建议：已停用

Network Location Awareness (NLA)
微软：收集并存放网络设定和位置信息，并且在这个信息变更时通知应用程序。
补充：如果不使用 ICF 和 ICS 可以关了它
依存： AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议：已停用

NT LM Security Support Provider (NTLM 安全性支持提供者)
微软：为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。
补充：如果不使用 Message Queuing 或是 Telnet Server 那就关了它
依存： Telnet
建议：已停用

Performance Logs and Alerts (效能记录文件及警示)
微软：基于事先设定的排程参数，从本机或远程计算机收集效能数据，然后将数据写入记录或?#124;发警讯。如果这个服务被停止，将不会收集效能信息。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：没什么价值的服务
建议：已停用

Plug and Play (随插随用)
微软：启用计算机以使用者没有或很少的输入来识别及适应硬件变更，停止或停用这个服务将导致系统不稳定。
补充：顾名思义就是 PNP 环境
依存： Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
建议：自动

Portable Media Serial Number
微软： Retrieves the serial number of any portable music player connected to your computer
补充：透过联机计算机重新取得任何音乐拨放序号？没什么价值的服务
建议：已停用

Print Spooler (打印多任务缓冲处理器)
微软：将档案加载内存中以待稍后打印。
补充：如果没有打印机，可以关了
依存： Remote Procedure Call (RPC)
建议：已停用

Protected Storage (受保护的存放装置)
微软：提供受保护的存放区，来储存私密金钥这类敏感数据，防止未授权的服务、处理、或使用者进行存取。
补充：用来储存你计算机上密码的服务，像 Outlook、拨号程序、其它应用程序、主从架构等等
依存： Remote Procedure Call (RPC)
建议：自动

QoS RSVP (QoS 许可控制，RSVP)
微软：提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。
补充：用来保留 20% 频宽的服务，如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ，那么不用多说，关了它
依存： AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
建议：已停用

Remote Access Auto Connection Manager (远程访问自动联机管理员)
微软：当程序参照到远程 DNS 或 NetBIOS 名称或地址时，建立远程网络的联机。
补充：有些 DSL/Cable 提供者，可能需要用此来处理登入程序
依存： Remote Access Connection Manager、Telephony
建议：手动

Remote Access Connection Manager (远程访问联机管理员)
微软：建立网络联机。
补充：网络联机用
依存： Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager
建议：手动

Remote Desktop Help Session Manager
微软：管理并控制远程协助。如果此服务停止的话，远程协助将无法使用。停止此服务之前，请先参阅内容对话框中的 [依存性]标签。
补充：如上说的管理和控制远程协助，如果不使用可以关了
依存： Remote Procedure Call (RPC)
建议： Disable

Remote Procedure Call (RPC) (远程过程调用，RPC)
微软：提供结束点对应程序以及其它 RPC 服务。
补充：一些装置都依存它，别去动它
依存：太多了，自己去看看
建议：自动

Remote Procedure Call (RPC) Locator (远程过程调用定位程序)
微软：管理 RPC 名称服务数据库。
补充：如上说的，一般计算机上很少用到，可以尝试关了
依存： Workstation
建议： Disable

Remote Registry (远程登录服务)
微软：启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止，登录只能由这个计算机上的使用者修改。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：基于安全性的理由，如果没有特别的需求，建议最好关了它，除非你需要远程协助修改你的登录设定
依存： Remote Procedure Call (RPC)
建议：已停用

Removable Storage (卸除式存放装置)
微软： None
补充：除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置，不然可以尝试关了
依存： Remote Procedure Call (RPC)
建议： Disable

Routing and Remote Access (路由和远程访问)
微软：提供连到局域网络及广域网络的公司的路由服务。
补充：如上说的，提供拨号联机到区网或是 VPN 服务，一般用户用不到
依存： Remote Procedure Call (RPC)、NetBIOSGroup
建议：已停用

Secondary Logon
微软：启用在其它认证下的起始程序。如果这个服务被停止，这类的登入存取将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：允许多个使用者处理程序，执行分身等
建议：自动

Security Accounts Manager (安全性账户管理员)
微软：储存本机账户的安全性信息。
补充：管理账号和群组原则(gpedit.msc)应用
依存： Remote Procedure Call (RPC)、Distributed Transaction Coordinator
建议：自动

Server (服务器)
微软：透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务，将无法使用这些功能。如果停用这个服务，所有依存于它的服务将无法启动。
补充：简单的说就是档案和打印的分享，除非你有和其它计算机分享，不然就关了
依存： Computer Browser
建议：已停用

Shell Hardware Detection
微软：为自动播放硬件事件提供通知。
补充：一般使用在记忆卡或是CD装置、DVD装置上
依存： Remote Procedure Call (RPC)
建议：自动

Smart Card (智慧卡)
微软：管理这个计算机所读取智能卡的存取。如果这个服务被停止，这个计算机将无法读取智能卡。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：如果你不使用 Smart Card ，那就可以关了
依存： Plug and Play
建议：已停用

Smart Card Helper (智能卡协助程序)
微软：启用对这个计算机使用的旧版非随插即用智能卡读取头的支持。如果这个服务被停止，这个计算机将不支持旧版读取头。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：如果你不使用 Smart Card ，那就可以关了
建议：已停用

SSDP Discovery Service
微软：在您的家用网络上启用通用随插即用装置的搜索。
补充：如上说的，通用随插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置，经由网络联机透过 TCP/IP 来搜索装置，像网络上的扫瞄器、数字相机或是打印机，亦即使用 UPnP 的功能，基于安全性没用到的大可关了
依存： Universal Plug and Play Device Host
建议：已停用

System Event Notification (系统事件通知)
微软：追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。
补充：如上所说的
依存： COM+ Event System
建议：自动

System Restore Service
微软：执行系统还原功能。若要停止服务，从我的计算机->内容，[系统还原] 中关闭系统还原
补充：将计算机回复至先前的状态，不使用就关了
依存： Remote Procedure Call (RPC)
建议：已停用

Task Scheduler (工作排程器)
微软：让使用者能够在这个计算机上设定和排定自动的工作。如果停止这个服务，这些工作在它们排定的时间时将不会执行。如果停用这个服务，任何明确依存于它的服务将无法启动。
补充：设定排定自动的工作，像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等
依存： Remote Procedure Call (RPC)
建议：自动

TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序)
微软：启用 [NetBIOS over TCP/IP (NetBT)] 服务及 NetBIOS 名称解析的支持。
补充：如果你的网络不使用 NetBios 或是 WINS ，你大可关闭
依存： AFD 网络支持环境、NetBt
建议：已停用

Telephony (电话语音)
微软：为本机计算机上及经由局域网络连接到正在执行此服务的服务器上，控制电话语音装置和 IP 为主语音联机的程序，提供电话语音 API (TAPI) 支持。
补充：一般的拨号调制解调器或是一些 DSL/Cable 可能用到
依存： Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
建议：手动

Telnet
微软：启用一个远程使用者来登入到这台计算机和执行应用程序，以及支持各种 TCP/IP Telnet 客户端，包含以 UNIX 为基本和以 Windows 为基本的计算机。如果服务停止了，远程使用者可能无法存取应用程序。如果服务停用了，任何明确地依存于这项服务的其它服务将会启动失败。
补充：允许远程使用者用 Telnet 登入本计算机，一般人会误解关了就无法使用BBS，这其实和BBS无关，基于安全性的理由，如果没有特别的需求，建议最好关了
依存： NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议：已停用

Terminal Services (终端机服务)
微软：允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。
补充：远程桌面或是远程协助的功能，不需要就关了
依存： Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
建议：已停用

Themes
微软：提供使用者经验主题管理。
补充：很多人使用布景主题，不过如果没有使用的人，那就可以关闭
建议：自动

Uninterruptible Power Supply (不断电供电系统)
微软：管理连接到这台计算机的不断电电源供应 (UPS)。
补充：不断电电源供应 (UPS)一般人有用到吗？除非你的电源供应器有具备此功能，不然就关了
建议：已停用

Universal Plug and Play Device Host
微软：提供主机通用随插即用装置的支持。
补充：用来侦测安装通用随插即用服务 (Universal Plug and Play, UPnP)装置，像是数字相机或打印机
依存： SSDP Discovery Service
建议：已停用

Volume Shadow Copy
微软：管理及执行用于备份和其它目的的磁盘区卷影复制。如果这个服务被停止，卷影复制将无法用于备份，备份可能会失败。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：如上所说的，用来备份的?#124;西，如 MS Backup 程序就需要这个服务
依存： Remote Procedure Call (RPC)
建议：已停用

WebClient
微软：启用 Windows 为主的程序来建立、存取，以及修改因特网为主的档案。如果停止这个服务，这些功能将无法使用。如果停用这个服务，任何明确依存于它的服务将无法启动。
补充：使用 WebDAV 将档案或数据夹上载到所有的 Web 服务，基于安全性的理由，你可以尝试关闭
依存： WebDav Client Redirector
建议：已停用

Windows Audio
微软：管理用于 Windows 为主程序的音讯装置。如果这个服务被停止，音讯装置和效果将无法正常?#092;作。如果这个服务被停用，任何明确依存于它的服务将无法启动。
补充：如果你没有声卡可以关了他
依存： Plug and Play、Remote Procedure Call (RPC)
建议：自动

Windows Image Acquisition (WIA) (Windows影像取得程序)
微软：为扫描仪和数字相机提供影像撷取服务。
补充：如果扫描仪和数字相机内部具有支持WIA功能的话，那就可以直接看到图档，不需要其它的驱动程序，所以没有扫描仪和数字相机的使用者大可关了
依存： Remote Procedure Call (RPC)
建议：已停用

Windows Installer (Windows 安装程序)
微软：根据包含在 .MSI 档案内的指示来安装，修复以及移除软件。
补充：是一个系统服务，协助使用者正确地安装、设定、追踪、升级和移除软件程序，可管理应用程序建立和安装的标准格式，并且追踪例如档案群组、登录项目及快捷方式等组件
依存： Remote Procedure Call (RPC)
建议：手动

Windows Management Instrumentation (WMI)
微软：提供公用接口及对象模型，以存取有关操作系统、装置、应用程序及服务的管理信息。如果这个服务已停止，大多数的 Windows 软件将无法正常?#092;作。如果这个服务已停用，所有依存于它的服务都将无法启动。
补充：如上说的，是一种提供一个标准的基础结构来监视和管理系统资源的服务，由不得你动他
依存： Event Log、Remote Procedure Call (RPC)
建议：自动

Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸)
微软：提供系统管理信息给予/取自驱动程序。
补充： Windows Management Instrumentation 的延伸，提供信息用的
建议：手动

Windows Time (Windows 时间设定)
微软：维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止，将无法进行日期及时间同步处理。如果这个服务被停用，所有依存的服务都会停止。
补充：网络对时校准用的，没必要就关了
建议：已停用

Wireless Zero Configuration
微软：为 802.11 适配卡提供自动设定
补充：自动配置无线网络装置，言下之意就是说，除非你有在使用无线网络适配卡装置，那么你才有必要使用这个网络零管理服务
依存： NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)
建议：已停用

WMI Performance Adapter
微软：提供来自 WMIHiPerf 提供者的效能链接库信息。
补充：如上所提
依存： Remote Procedure Call (RPC)
建议：已停用l

Workstation (工作站)
微软：建立并维护到远程服务器的客户端网络联机。如果停止这个服务，这些联机将无法使用。如果停用这个服务，所有依存于它的服务将无法启动。
补充：因特网联机中所必要的一些功能
依存： Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
建议：自动

方法一：
用批处理命令进行处理：SC CONFIG 命令进行处理
描述:
在注册表和服务数据库中修改服务项。
用法:
sc <server> config [service name] <option1> <option2>...

选项:
注意: 选项名称包括等号。
type= <own|share|interact|kernel|filesys|rec|adapt>
start= <boot|system|auto|demand|disabled>
error= <normal|severe|critical|ignore>
binPath= <BinaryPathName>
group= <LoadOrderGroup>
tag= <yes|no>
depend= <依存关系(以 / (斜杠) 分隔)>
obj= <AccountName|ObjectName>
DisplayName= <显示名称>
password= <密码>

方法二：
在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]下查看的可疑主键。
然后禁用或删除木马添加的服务项：在“运行”中输入“Services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。也可以通过注册表进行修改，依次展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices服务显示名称”键，在右边窗格中找到二进制值“Start”，修改它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然最好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。

i have only belief 2006-10-10 19:36 发表评论

关掉XP不必要的服务

i have only belief — Tue, 12 Sep 2006 11:32:00 GMT

关掉XP不必要的服务
单击“开始”→“设置”→“控制面板”。双击“管理工具”→“服务”，打开后将看到服务列表，有些服务已经启动，有些则没有。右键单击要配置的服务，然后单击“属性”。在“常规”选项卡上选择“自动”、“手动”或“禁用”，其中“自动”表示每次系统启动时，Windows XP都自动启动该服务；“手动”表示Windows XP不会自动启动该服务，而是在你需要该服务时手动启动该服务；而“禁用”则表示不允许启动该服务。在实际配置时，选择“手动”或者“禁用”都可以实现关闭该服务的目的，推荐使用手动功能，这样你随时可以启动一些临时需要的服务。
有些服务是Windows XP所必需的，不能关闭，否则将会造成系统崩溃。至于各项服务的功能，我们可以通过双击该服务或将鼠标悬停在该服务名上查看。下面我们就先来看一看这些服务的说明，最后再看哪些服务可以关掉(见下表)。
Alerter：你未连上局域网并且不需要管理警报
Clipbook：你不需要查看远程剪贴簿的剪贴页面
distributed link tracking client：若不使用ntfs分区并且没有联入局域网
distributed transaction coordinator：不需要同时处理多个数据库或者文件系统
fax service：不用windows 2000发送或者接收传真
ftp publishing service：你的计算机不做ftp服务器
iis admin service：你的计算机不做www服务器
indexing service：你的计算机不提供远程文件索引和快速访问或者没有连上局域网
internet connection sharing：你不准备用windows 2000做路由服务器，让多人共享一条线路上网
ipsec policy agent：你未连接到windows 2000的域
logical disk manager administrative service：你不准备使用磁盘配额
message queuing：你未连接到windows 2000的域
messenger：你未连接到windows 2000的域并且不需要管理警报
net logon：你不想让局域网上的其他用户登录
netmeeting remote desktop sharing：你不想使用netmeeting远程管理计算机
network dde：你没有连入局域网
network dde dsdm：你没有连入局域网
performance logs and alerts：若不想知道计算机每一秒都干什么
qos rsvp：你没有使用依赖于qos的程序
remote access auto connection manager：你不想在程序企图读取网络信息时自动连接到网络
remote procedure call (rpc) locator:你不需要管理rpc名称服务数据库
routing and remote access:你的计算机不做路由器
runas service:你不需要在某一用户下以另外一个用户的身份执行一个程序
simple mail transport protocol (smtp):你的计算机不做邮件发送服务器
smart card：你没有智能卡阅读器
smart card helper：你没有旧式智能卡阅读器
snmp trap service：你没有连接到windows 2000的域
tcp/ip netbios helper service：你的计算机不准备让别人共享
tcp/ip print server：不让你的计算机成为网络打印服务器
telnet：不想远程控制计算机执行控制台命令
uninterruptible power supply：没使用ups或ups不支持双向传输信号
utility manager：不从一个窗口中启动和配置辅助工具
windows management instrumentation：你不看你的系统管理信息
world wide web publishing service：你的计算机不做www服务器

i have only belief 2006-09-12 19:32 发表评论

SQL Server补丁版本的检查和安装过程(转载)

i have only belief — Tue, 22 Aug 2006 14:41:00 GMT

一、SQL Server补丁版本的检查

SQL Server的补丁版本检查不如Windows 补丁版本检查直接，一个系统管理员，如果不了解SQL Server版本对应的补丁号，可能也会遇到一点麻烦，因此在这说明一下，通过这样的办法判别机器是安全的办法，不会对系统产生任何影响。
1、用Isql或者SQL查询分析器登录到SQL Server，如果是用Isql，请在cmd窗口输入isql -U sa,然后输入密码，进入；如果是用SQL查询分析器，请从程序中启动，输入sa和密码（也可以用windows验证）。
2、在ISQL中输入：
Select @@Version；
go

或者SQL查询分析器中输入(其实如果不想输入，只要打开帮助的关于就可以了:))
Select @@Version；
然后按执行；
这时会返回SQL的版本信息，如下：
Microsoft SQL Server  2000 - 8.00.760 (Intel X86)   Dec 17 2002 14:22:05   Copyright (c) 1988-2003 Microsoft Corporation  Enterprise Edition on Windows NT 5.0 (Build 2195: Service Pack 3)
其中的8.00.760就是SQL Server的版本和补丁号。对应关系如下：

8.00.194  －——————SQL Server 2000 RTM
8.00.384  －——————(SP1)
8.00.534  －——————(SP2)
8.00.760  －——————(SP3)

这样我们就能看到SQL Server的正确版本和补丁号了。

我们也可以用xp_msver看到更详细的信息。

二、补丁安装过程中常见问题

如果在安装补丁的时候遇到如下类似错误：

1、安装过程中出现“以前进行的程序创建了挂起的文件操作，运行安装程序前，必须重新启动”，请按照下面步骤解决：

a、重启机器，再进行安装，如果发现还有该错误，请按下面步骤
b、在开始->运行中输入regedit
c、到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 位置
d、选择文件->倒出,保存
e、在右边窗口右击PendingFileRenameOperations，选择删除，然后确认
f、重启安装，问题解决

如果还有同样问题，请检查其它注册表中是否有该值存在，如有请删掉。

2、在安装SQL Server SP3，有时候会出现：无论用windows认证还是混和认证，都出现密码错误的情况，这时查看临时目录下的sqlsp.out，会发现以下描述：
[TCP/IP Sockets]Specified SQL server not found.
[TCP/IP Sockets]ConnectionOpen (Connect()).
其实这是SQL Server SP3的一个小bug，在安装sp3的时候，没有监听tcp/ip端口，可以按照以下步骤进行：

1、打开SQL server客户器网络实用工具和服务器网络工具，确保启用的协议中包含name pipe，并且位置在第一位.
2、确保[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo]
"DSQUERY"="DBNETLIB".
如果没有，请自己建立
3、停止mssql.
4、进行安装.

这样就可以进行正确安装了。

i have only belief 2006-08-22 22:41 发表评论

MSSQL"以前的某个程序安装已在安装计算机上创建挂起的文件操作。运行安装程序之前必须重新启动计算机"错误提示解决方法

i have only belief — Tue, 22 Aug 2006 07:32:00 GMT

以前装过sql server，后来删掉。现在重装，却出现“以前的某个程序安装已在安装计算机上创建挂起的文件操作。运行安装程序之前必须重新启动计算机”错误。无法进行下去。现在又遇到了,终于完全搞定.

步骤是：

1）添加/删除程序中彻底删除sql server。

2）将没有删除的sql server目录也删除掉。

3）打开注册表编辑器，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager中找到PendingFileRenameOperations项目，并删除它。这样就可以清除安装暂挂项目。

4）删除注册表中跟sql server相关的键。

其中第3步最重要!!!这里所说的找到不是在左边的文件夹找到,而是从右边那里找到!!!左边的树形文件夹是没有这个项目的,只有一个FileRenameOperations,只删了它是没用的.

还有,注册表中sql server相关的键包括如下:

HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer

总之就是凡是有MICROSOFT SQL SERVER或MSSQLSERVER的都删掉!

终于可以顺利安装之后.又遇到了登录不成功的问题.还有返回不了表的问题(想新建表时弹出"在执行该操作期间发生意外错误")找了很多文章.不断尝试终于成功了!过程真是烦死人~~~~~~~步骤如下:

在控制面版----管理工具----服务,找到MSSQLSERVER的一项.更改MSSQLSERVER服务的服务账号信息，换成SQL服务专用的用户。

我的做法是选择登录那里的登录身份是"本地系统帐户".

然后把MSSQL的企业管理器中的登录选项设为仅"WINDOWS验证"

就OK了.

希望大家在安装或重装的过程中没有碰到这么多麻烦.
MS的东西MSSQL是这样,IIS是这样,VC是这样,.NET..............也都是这样.

i have only belief 2006-08-22 15:32 发表评论

路由器与集线器、交换机的根本区别

i have only belief — Thu, 18 May 2006 00:12:00 GMT

在主干网上，路由器的主要作用是路由选择。主干网上的路由器，必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。
    在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位－－园区网，同时负责下层网络之间的数据转发。
    在园区网内部，路由器的主要作用是分隔子网。早期的互连网基层单位是局域网（ＬＡＮ），其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大，局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中，处个子网在逻辑上独立，而路由器就是唯一能够分隔它们的设备，它负责子网间的报文转发和广播隔离，在边界上的路由器则负责与上层网络的连接。

第二层交换机和路由器的区别
    传统交换机从网桥发展而来，属于ＯＳＩ第二层即数据链路层设备。它根据ＭＡＣ地址寻址，通过站表选择路由，站表的建立和维护由交换机自动进行。路由器属于ＯＳＩ第三层即网络层设备，它根据ＩＰ地址进行寻址，通过路由表路由协议产生。交换机最大的好处是快速，由于交换机只须识别帧中ＭＡＣ地址，直接根据ＭＡＣ地址产生选择转发端口算法简单，便于ＡＳＩＣ实现，因此转发速度极高。但交换机的工作机制也带来一些问题。
    1.回路：根据交换机地址学习和站表建立算法，交换机之间不允许存在回路。一旦存在回路，必须启动生成树算法，阻塞掉产生回路的端口。而路由器的路由协议没有这个问题，路由器之间可以有多条通路来平衡负载，提高可靠性。
    2.负载集中：交换机之间只能有一条通路，使得信息集中在一条通信链路上，不能进行动态分配，以平衡负载。而路由器的路由协议算法可以避免这一点，ＯＳＰＦ路由协议算法不但能产生多条路由，而且能为不同的网络应用选择各自不同的最佳路由。
    3.广播控制：交换机只能缩小冲突域，而不能缩小广播域。整个交换式网络就是一个大的广播域，广播报文散到整个交换式网络。而路由器可以隔离广播域，广播报文不能通过路由器继续进行广播。
    4.子网划分：交换机只能识别ＭＡＣ地址。ＭＡＣ地址是物理地址，而且采用平坦的地址结构，因此不能根据ＭＡＣ地址来划分子网。而路由器识别ＩＰ地址，ＩＰ地址由网络管理员分配，是逻辑地址且ＩＰ地址具有层次结构，被划分成网络号和主机号，可以非常方便地用于划分子网，路由器的主要功能就是用于连接不同的网络。
    5.保密问题：虽说交换机也可以根据帧的源ＭＡＣ地址、目的ＭＡＣ地址和其他帧中内容对帧实施过滤，但路由器根据报文的源ＩＰ地址、目的ＩＰ地址、ＴＣＰ端口地址等内容对报文实施过滤，更加直观方便。
    6.介质相关：交换机作为桥接设备也能完成不同链路层和物理层之间的转换，但这种转换过程比较复杂，不适合ＡＳＩＣ实现，势必降低交换机的转发速度。因此目前交换机主要完成相同或相似物理介质和链路协议的网络互连，而不会用来在物理介质和链路层协议相差甚元的网络之间进行互连。而路由器则不同，它主要用于不同网络之间互连，因此能连接不同物理介质、链路层协议和网络层协议的网络。路由器在功能上虽然占据了优势，但价格昂贵，报文转发速度低。　　近几年，交换机为提高性能做了许多改进，其中最突出的改进是虚拟网络和三层交换。
    划分子网可以缩小广播域，减少广播风暴对网络的影响。路由器每一接口连接一个子网，广播报文不能经过路由器广播出去，连接在路由器不同接口的子网属于不同子网，子网范围由路由器物理划分。对交换机而言，每一个端口对应一个网段，由于子网由若干网段构成，通过对交换机端口的组合，可以逻辑划分子网。广播报文只能在子网内广播，不能扩散到别的子网内，通过合理划分逻辑子网，达到控制广播的目的。由于逻辑子网由交换机端口任意组合，没有物理上的相关性，因此称为虚拟子网，或叫虚拟网。虚拟网技术不用路由器就解决了广播报文的隔离问题，且虚拟网内网段与其物理位置无关，即相邻网段可以属于不同虚拟网，而相隔甚远的两个网段可能属于不同虚拟网，而相隔甚远的两个网段可能属于同一个虚拟网。不同虚拟网内的终端之间不能相互通信，增强了对网络内数据的访问控制。交换机和路由器是性能和功能的矛盾体，交换机交换速度快，但控制功能弱，路由器控制性能强，但报文转发速度慢。解决这个矛盾的最新技术是三层交换，既有交换机线速转发报文能力，又有路由器良好的控制功能。

第三层交换机和路由器的区别
    在第三层交换技术出现之前，几乎没有必要将路由功能器件和路由器区别开来，他们完全是相同的：提供路由功能正在路由器的工作，然而，现在第三层交换机完全能够执行传统路由器的大多数功能。作为网络互连的设备，第三层交换机具有以下特征：
    1.转发基于第三层地址的业务流；
    2.完全交换功能；
    3.可以完成特殊服务，如报文过滤或认证；
    4.执行或不执行路由处理。

    第三层交换机与传统路由器相比有如下优点：
    1.子网间传输带宽可任意分配：传统路由器每个接口连接一个子网，子网通过路由器进行传输的速率被接口的带宽所限制。而三层交换机则不同，它可以把多个端口定义成一个虚拟网，把多个端口组成的虚拟网作为虚拟网接口，该虚拟网内信息可通过组成虚拟网的端口送给三层交换机，由于端口数可任意指定，子网间传输带宽没有限制。
    2.合理配置信息资源：由于访问子网内资源速率和访问全局网中资源速率没有区别，子网设置单独服务器的意义不大，通过在全局网中设置服务器群不仅节省费用，更可以合理配置信息资源。
    3.降低成本：通常的网络设计用交换机构成子网，用路由器进行子网间互连。目前采用三层交换机进行网络设计，既可以进行任意虚拟子网划分，又可以通过交换机三层路由功能完成子网间通信，为此节省了价格昂贵的路由器。
    4.交换机之间连接灵活：作为交换机，它们之间不允许存在回路，作为路由器，又可有多条通路来提高可靠性、平衡负载。三层交换机用生成树算法阻塞造成回路的端口，但进行路由选择时，依然把阻塞掉的通路作为可选路径参与路由选择。五、结论
    综上所述，交换机一般用于ＬＡＮ－ＷＡＮ的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。路由器用于ＷＡＮ－ＷＡＮ之间的连接，可以解决异性网络之间转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线路可能分属于不同的网络，并采用不同协议。相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵，第三层交换机既有交换机线速转发报文能力，又有路由器良好的控制功能，因此得以广播应用。

i have only belief 2006-05-18 08:12 发表评论

10 个步骤保护IIS Web 服务器

i have only belief — Wed, 17 May 2006 00:16:00 GMT

10 个步骤保护IIS Web 服务器

问题

IIS（Internet Information Services，Internet 信息服务）是黑客们喜欢攻击的对象。因此，对那些管理 IIS Web 服务器的来说，锁定IIS是非常关键的。IIS 4.0 和IIS 5.0 的默认设置存在很多漏洞。

解决方案

通过下面 10 步来保护 IIS：

1. 为IIS 应用程序和数据专门安装一个NTFS 设备。如果有可能，不要允许IUSER（或其它任何匿名用户名）去访问任何其它设备。如果应用程序因为匿名用户无法访问其它设备上的程序而出了问题，马上使用Sysinternals 的FileMon检测出哪个文件无法访问，并吧这个程序转移到IIS 设备上。如果无法做到这些，就允许IUSER 访问且只能访问这个文件。

2. 在设备上设置NTFS 权限：
Developers = Full（所有权限）
IUSER = Read and execute only（读和执行权限）
System and admin = Full（所有权限）

3. 使用一个软件防火墙，确认没有终端用户能够访问 IIS 计算机上的除了 80 端口之外的其它端口。

4. 使用Microsoft 工具锁定计算机：IIS Lockdown和UrlScan.

5. 启用IIS 事件日志。除了使用IIS 事件日志之外，如果有可能的话，尽量也对防火墙启用事件日志。

6. 把日志文件从默认的存储位置移走，并保证对它们的备份。为日志文件建立一个重复的拷贝，以确保这个放在第二位置的拷贝是可用的。

7. 在计算机上启用Windows 审核，因为当我们试图去追踪那些攻击者的行为的时候，我们总是缺少足够的数据。通过使用审核日志，甚至有可能拥有一个脚本来进行可疑行为的审核，这个脚本随后会向管理员发送一个报告。这听起来好像有点走极端了，不过如果对你的组织来说安全性非常重要的话，这样做是最好的选择。建立审核制度来报告任何失败帐户登录行为。另外，同IIS日志文件一样，把它的默认存储位置(c:\winnt\system32\config\secevent.log)改到另外一个地方，并确保它有一个备份和一个重复的拷贝。

8. 一般来说，尽你所能的查找安全方面的文章（从不同的地方），并按照它们进行实践。在IIS和安全实践方面，它们说的通常被你懂得的要好一些，而且不要只信服其他人（比如说我）告诉你的东西。

9. 订阅一份IIS 缺陷列表邮件，并坚持按时对它进行阅读。其中一个列表是Internet Security Systems（Internet 安全系统）的X-Force Alerts and Advisories。

10. 最后，确保你定期的对Windows 进行了更新，并检验补丁是否被成功的安装了。

通过这些精选的文章完成下面的步骤

TechRepublic

用最优的 IIS 日志来跟踪用户行为

感受安全工具为 IIS 带来的好处

保护 IIS Web 服务器安全的十五个技巧（TechProGuild 成员资格必需）

使用工具加强 IIS 安全性（TechProGuild 成员资格必需）

Microsoft

其它

i have only belief 2006-05-17 08:16 发表评论

硬件术语大全--网络经典命令行

i have only belief — Wed, 22 Feb 2006 12:27:00 GMT

1.最基本，最常用的，测试物理网络的
ping 192.168.10.59 －t ，参数－t是等待用户去中断测试
2.查看DNS（对猫用户），还是比较有用处的
A.Win98：winipcfg
B.Win2000以上：Ipconfig/all
C.NSLOOKUP：如河北DNS
C:\>nslookup
Default Server: ns.hesjptt.net.cn
Address: 202.99.160.68

3.网络信使
Net send 计算机名/IP|*(广播) 传送内容，注意不能跨网段
net stop messenger 停止信使服务，也可以在面板－服务修改
net start messenger 开始信使服务

4.探测对方对方计算机名，所在的组、域及当前用户名
ping －a IP地址－t ，只显示NetBios名
nbtstat -a 192.168.10.146 比较全的

5.netstat -a 显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和 IP的统计等

6.探测谁连接了我的计算机，显示对方IP和MAC地址
arp -a

7.在代理服务器端
捆绑IP和MAC地址，解决局域网内盗用IP：
ARP －s 192.168.10.59 00－50－ff－6c－08－75
解除网卡的IP与MAC地址的绑定：
arp -d 网卡IP

8.在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开启

9.几个net命令
A.显示当前工作组服务器列表 net view
B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
D.记录链接 net session
例如：
C:\>net session
计算机用户名客户类型打开空闲时间
-------------------------------------------------------------------------------
\\192.168.10.110 ROME Windows 2000 2195 0 00:03:12

\\192.168.10.51 ROME Windows 2000 2195 0 00:00:39
命令成功完成。

10.路由跟踪命令
A.tracert pop.pcpop.com
B.pathping pop.pcpop.com 除了显示路由外，还提供325S的分析，计算丢失包的％

11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享
net share c$ /d
net share d$ /d
net share ipc$ /d
net share admin$ /d
注意$后有空格。
C.增加一个共享：
c:\net share mymovie=e:\downloads\movie /users:1
mymovie 共享成功。
同时限制链接用户数为1人。

12.在DOS行下设置静态IP
A.设置静态IP
CMD
netsh
netsh>int
interface>ip
interface ip>set add "本地链接" static IP地址 mask gateway
B.查看IP设置
interface ip>show address

i have only belief 2006-02-22 20:27 发表评论