显隐藏文件、清毒等.doc

1、您的 PC 是否已经中毒？ .1认识 XP 系统中的几个特殊文件 3自己动手打造一道超级电脑防火墙 4我的电脑不能设置显示隐藏文件怎么办？（设置显示后. .12流氓软件与 SPI 相关知识及修复工具 - .15黑客基地 http:/ PC 是否已经中毒？出处：网络 作者：佚名 责任编辑：永恒 2007-10-16如果计算机突然自动关闭，该怎么办？ 或者，您发现某些文件丢失或无法打开。 或者，您的程序开始运行得非常缓慢。此类奇怪行为是硬件或软件故障的常见表现。 或者，也可能表示您的计算机感染了病毒。如何进行区分呢？如果您必须依靠自己，这里为您提供了一些可以确定计算机是否感染病毒的方法。运行恶意软

2、件删除工具“恶意软件”术语指病毒、蠕虫和特洛伊木马，这些小程序会破坏您的计算机工作并损坏文件。 如果您的计算机中安装了病毒，Microsoft 提供的 Windows 恶意软件删除工具可用于删除这些病毒。 这款免费工具可以快速检查运行 Windows XP、Windows 2000 或 Windows Server 2003 的计算机是否感染病毒。 但其检测范围仅限于当前传播的常见恶意软件类型。即使没有警告可能感染病毒，您也可以定期运行恶意软件删除工具。 您启动此工具后，它将扫描您的计算机内存查看有无已知恶意软件，并终止查找到的任意恶意进程。 它还可以删除与恶意进程相关的文件，并取消与恶意进程

3、相关的系统更改。 该工具可能会要求您重新启动计算机或执行某些手动步骤。 病毒检测和删除进程完成后，该工具将显示一则报告描述结果。 更新您的防病毒软件并扫描系统恶意软件删除工具仅查找部分已知病毒 - 即最严重和最新的侵犯程序。 它也仅检测当前正在运行的恶意软件。 这意味着它可能错过一些处于非活动状态或不常见的病毒。 为了弥补这些限制，您应当使用防病毒软件扫描系统，查看有无其它类型的病毒。 （如果未安装防病毒软件，请立即购买并安装！）如果您的防病毒软件漏掉了某种病毒，则可能是因为您没有用最新的病毒定义文件更新软件。 扫描系统之前，请转至软件制作者的站点下载并安装所有可用更新。 如果您无法连接至 I

4、nternet 下载更新，则将更新下载至同事或朋友的计算机上，然后复制到磁盘并在您的计算机上安装。此外，在启动扫描之前，关闭 Windows XP 中的系统还原功能。 此工具（可将您的计算机恢复至较早的状态）会将所选文件自动备份至 C:_Restore 文件夹。 这意味着受到感染的文件可能会被作为备份文件存储起来，病毒扫描工具将无法删除它。 您必须禁用系统还原工具才能从 C:_Restore 文件夹中删除受到感染的文件。要禁用系统还原，请用鼠标右键单击桌面上“我的电脑”图标并单击“属性”。 单击“系统还原”选项卡，并选择“在所有驱动器上关闭系统还原”复选框。现在继续病毒扫描，并按照任何说明处理

5、找到的受到感染的文件。 如果防病毒程序无法自动删除病毒，则应隔离受到感染的文件，然后提供如何手动修复破坏的指导。 请注意，某些病毒是无法从受感染对象中删除的。 如果无法从文件中删除某个病毒，则应将该文件删除。另外，请记得扫描所有可能受病毒感染的磁盘和可移动存储介质。更多可用策略 如果您的计算机感染了病毒，而扫描无法发现病毒证据，这里为您提供了一些其他诊断方法。使用其他防病毒产品进行扫描。 并非所有防病毒程序的功能都相同。 要了解病毒是否躲过了您使用的防病毒程序，请尝试使用其他防病毒程序扫描计算机。 您可以在某些提供免费扫描服务的重要的安全公司网站执行此操作。监视您的网络。 如果您的计算机在未使

6、用 Internet 时仍表现为联机状态，则可能已感染病毒。 为了能够更加密切地监视您的网络活动，您可以在系统托盘处显示网络状态指示灯，它会在网络活动期间闪烁显示。 在 Windows XP 中，依次选择“开始”、“控制面板”、“网络连接”，然后用鼠标右键单击您想要监视的网络连接。 然后选择“属性”，选择“连接后在通知区域显示图标”，然后单击“确定”。如果您发现了病毒，或确实怀疑有病毒，则应当立即断开 Internet 连接或任何本地网络连接，以避免病毒传播。 如果计算机仍然反应异常，但并未找到病毒，则考虑将系统还原至先前运行良好的状态。当然你必须得有系统的备份啦。认识 XP 系统中的几个特殊

7、文件出处：IT 专家网 作者：CC 责任编辑：永恒 2007-10-15Windows XP 系统应该是如今使用最广泛的操作系统之一，有时用户会突然发现某个文件大小突然增加，其实这并不一定是病毒，笔者将带用户认识几个特殊文件（夹）1、System Volume Information 文件夹System Volume Information 文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息。“系统还原”是 Windows XP 最实用的功能之一，它采用“快照”的方式记录下系统在特定时间的状态信息，也就是所谓的“还原点”，然后在需要的时候根据这些信息加以还原。随

8、着用户使用系统时间的增加，还原点会越来越多，导致硬盘空间越来越少，最后还要被警告“磁盘空间不足”。在 ntfs 分区的系统还愿文件夹默认只允许 System 帐户访问，而管理员在内的普调帐户拒绝访问。fat32 分区则没有限制。2、pagefile.sys 文件系统盘存在，是 windows 的页面文件即虚拟内存文件 ，大小一般为物理内存的 1.5-2.5 倍。虚拟内存文件可以设置在其它分区，但这个分区就不能在windows 状态下格式化了。这个文件的大小是自己系统虚拟内存设置的最小值的大小。假如虚拟内存的设置为 800MB1600MB 那么你在自己的设定驱动盘下面就可看到大小为800MB 的

9、 pagefile.sys 文件3、hiberfil.sys 文件在系统盘中，这个较大的文件是休眠文件，在启用了休眠功能后产生，休眠时电脑将内存中的数据保存在硬盘上，可以恢复到之前的状态。它的大小始终和你的物理内存大小一致。取消休眠后，休眠文件自动清除。4、thumbs.db 文件在图片文件夹下存在，删除后仍会产生，随图片数量越多而增大。它不是病毒，而是用来加快缩略图显示的缓存数据库文件。可以设置：在“文件夹选项”中，勾选“不缓存缩略图”，即可删除这个文件。5、Recycled 文件夹回收站，每个分区都存在，暂时存放删除的文件。可以设置回收站的空间大小。6、Favorites 文件夹图标为五角

10、星，是收藏夹，存放你喜欢的网址。可以在其中放网址快捷方式和文件夹快捷方式，可以新建类别(文件夹)。7、SendTo 文件夹其中包含着右键“发送到”的内容，可以在其中粘贴文件夹的快捷方式。8、temp 文件夹存放 windows 临时文件，其中的垃圾文件可以删除。9、Recent 文件夹最近打开过的文档历史记录。10、Temporary Internet Files 文件夹IE 浏览器的临时文件,包括浏览的网页、图片及 cookie，可删除其中的文件以防泄露隐私。自己动手打造一道超级电脑防火墙出处：eNet 硅谷动力 作者：佚名 责任编辑：永恒 2007-10-15网络安全中谈到个人上网时的安全

11、，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种： (1) 被他人盗取密码； (2) 系统被木马攻击； (3) 浏览网页时被恶意的 java scrpit 程序攻击； (4) QQ 被攻击或泄漏信息； (5) 病毒感染； (6) 系统存在漏洞使他人攻击自己。 (7) 黑客的恶意攻击。 下面我们就来看看通过什么样的手段来更有效的防范攻击。 1、察看本地共享资源 运行 CMD 输入 net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。 2、删除共享(每次输入一

12、个) net share admin$ /delete net share c$ /delete net share d$ /delete(如果有 e，f，可以继续删除) 3、删除 ipc$空连接 在运行内输入 regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous 的数值数据由 0 改为 1。 4、关闭自己的 139 端口，Ipc 和 RPC 漏洞存在于此 关闭 139 端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet 协议(TCP/IP)”属性

13、，进入“高级 TCP/IP 设置”“WinS 设置”里面有一项“禁用 TCP/IP 的 NETBIOS”，打勾就关闭了 139 端口。 5、防止 Rpc 漏洞 打开管理工具服务找到 RPC(Remote Procedure Call (RPC) Locator)服务将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。 Windwos XP SP2 和 Windows2000 Pro Sp4，均不存在该漏洞。 6、445 端口的关闭 修改注册表，添加一个键值 HKEY_LOCAL_MACHINE System CurrentControlSet Services NetBT Para

14、meters 在右面的窗口建立一个SMBDeviceEnabled 为 REG_DWORD 类型键值为 0 这样就 ok 了。7、3389 的关闭 WindowsXP：我的电脑上点右键选属性远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 Win2000server 开始程序管理工具服务里找到 Terminal Services 服务项，选中属性选项将启动类型改成手动，并停止该服务。(该方法在 XP 同样适用) 使用 Windows2000 Pro 的朋友注意，网络上有很多文章说在 Win2000pro 开始设置控制面板管理工具服务里找到 Terminal Services 服务项，选中

15、属性选项将启动类型改成手动，并停止该服务，可以关闭 3389，其实在 2000pro 中根本不存在 Terminal Services。 8、4899 的防范 网络上有许多关于 3389 和 4899 的入侵方法。4899 其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。 4899 不象 3389 那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。 所以只要你的电脑做了基本的安全配置，黑客是很难通过 4899 来控制你的。9、禁用服务 打

16、开控制面板，进入管理工具服务，关闭以下服务： 1.Alerter通知选定的用户和计算机管理警报 2.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享 3.Distributed File System将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享 4.Distributed Link Tracking Server适用局域网分布式链接 5.Human Interface Device Access启用对人体学接口设备(HID)的通用输入访问 6.IMAPI CD-Burning COM Service管理 CD 录制 7.Indexing Servic

17、e提供本地或远程计算机上文件的索引内容和属性，泄露信息 8.Kerberos Key Distribution Center授权协议登录网络 9.License Logging监视 IIS 和 SQL 如果你没安装 IIS 和 SQL 的话就停止 10.Messenger警报 11.NetMeeting Remote Desktop Sharingnetmeeting 公司留下的客户信息收集 12.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换 13.Network DDE DSDM管理动态数据交换 (DDE) 网络共享 14.Print Spooler打印机服

18、务，没有打印机就禁止吧 15.Remote Desktop Help & Session Manager管理并控制远程协助 16.Remote Registry使远程计算机用户修改本地注册表 17.Routing and Remote Access在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息 18.Server支持此计算机通过网络的文件、打印、和命名管道共享 19.Special Administration Console Helper允许管理员使用紧急管理服务远程访问命令行提示符 20.TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网

19、络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 21.Telnet允许远程用户登录到此计算机并运行程序 22.Terminal Services允许用户以交互方式连接到远程计算机 23.Window s Image Acquisition (WIA)照相服务，应用与数码摄象机 如果发现机器开启了一些很奇怪的服务，如 r_server 这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。 10、账号密码的安全原则 首先禁用 guest 帐号，将系统内建的 administrator 帐号改名(改的越复杂越好，最好改成中文的)，而且要设置

20、一个密码，最好是 8 位以上字母数字符号组合。如果你使用的是其他帐号，最好不要将其加进 administrators，如果加入administrators 组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator 的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的 adminitrator 帐号，因为即使有了这个帐号，同样可以登陆安全模式，将 sam 文件删除，从而更改系统的administrator 的密码！而在安全模式下设置的 administrator 则不会出现这种情况，因为不知道这个 administrator 密码是无法

21、进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。 打开管理工具本地安全设置密码策略： 1.密码必须符合复杂要求性.启用 2.密码最小值.我设置的是 8 3.密码最长使用期限.我是默认设置 42 天 4.密码最短使用期限 0 天 5.强制密码历史 记住 0 个密码 6.用可还原的加密来存储密码 禁用 11、本地策略 这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。 (虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的) 打开管理工具，找到本地安全设置本地策略审核策略： 1.审核策略更改 成功失

22、败 2.审核登陆事件 成功失败 3.审核对象访问 失败 4.审核跟踪过程 无审核 5.审核目录服务访问 失败 6.审核特权使用 失败 7.审核系统事件 成功失败 8.审核帐户登陆时间 成功失败9.审核帐户管理 成功失败 然后再到管理工具找到事件查看器： 应用程序：右键属性设置日志大小上限，我设置了 50mb，选择不覆盖事件。 安全性：右键属性设置日志大小上限，我也是设置了 50mb，选择不覆盖事件。 系统：右键属性设置日志大小上限，我都是设置了 50mb，选择不覆盖事件。 12、本地安全策略 打开管理工具，找到本地安全设置本地策略安全选项： 1.交互式登陆.不需要按 Ctrl+Alt+Del

23、启用 根据个人需要，但是我个人是不需要直接输入密码登陆的。 2.网络访问.不允许 SAM 帐户的匿名枚举 启用。 3.网络访问.可匿名的共享 将后面的值删除。 4.网络访问.可匿名的命名管道 将后面的值删除。 5.网络访问.可远程访问的注册表路径 将后面的值删除。 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 7.网络访问.限制匿名访问命名管道和共享。 8.帐户.(前面已经详细讲过拉)。13、用户权限分配策略 打开管理工具，找到本地安全设置本地策略用户权限分配： 1.从网络访问计算机 里面一般默认有 5 个用户，除 Admin 外我们删除 4 个，当然，等下我们还得建一个属于自己

24、的 ID。 2.从远程系统强制关机，Admin 帐户也删除，一个都不留。 3.拒绝从网络访问这台计算机 将 ID 删除。 4.从网络访问此计算机，Admin 也可删除，如果你不使用类似 3389 服务。 5.通过远端强制关机。删掉。 14、终端服务配置 打开管理工具，终端服务配置： 1.打开后，点连接，右键，属性，远程控制，点不允许远程控制。 2.常规，加密级别，高，在使用标准 Windows 验证上点! 3.网卡，将最多连接数上设置为 0。 4.高级，将里面的权限也删除。 再点服务器设置，在 Active Desktop 上，设置禁用，且限制每个使用一个会话。 15、用户和组策略 打开管理工

25、具，计算机管理本地用户和组用户： 删除 Support_388945a0 用户等等只留下你更改好名字的 adminisrator 权限。 计算机管理本地用户和组组，组.我们就不分组了。 16、自己动手 DIY 在本地策略的安全选项 1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透。 2)登陆屏幕上不显示上次登陆名(远程)如果开放 3389 服务，别人登陆时，就不会残留有你登陆的用户名，让他去猜你的用户名去吧。 3)对匿名连接的额外限制。 4)禁止按 alt+crtl +del(没必要)。 5)允许在未登陆前关机防止远程关机/启动、强制关机/启动。 6)只有本地登陆用户才能访问 cd-

26、rom。 7)只有本地登陆用户才能访问软驱。 8)取消关机原因的提示。 A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面； B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框； C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机； D、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。 9)禁止关机事件跟踪 开始“Start -”运行“ Run -输

27、入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“(Computer Configuration )- ”管理模板“(Administrative Templates)- ”系统“(System)，在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止(Disabled)，点击然后“确定”(OK)保存后退出这样，你将看到类似于 Windows 2000 的关机窗口。17、常见端口的介绍 TCP 21 FTP 22 SSH 23 TELNET 25 TCP SMTP 53 TCP DNS 80 HTTP 135 epmap 138 冲击

28、波 139 smb 445 1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b 1026 DCE/12345778-1234-abcd-ef00-0123456789ac 1433 TCP SQL SERVER 5631 TCP PCANYWHERE 5632 UDP PCANYWHERE 3389 Terminal Services 4444冲击波 UDP 67冲击波 137 netbios-ns 161 An SNMP Agent is running/ Default community names of the SNMP Agent 关于 UDP

29、 一般只有腾讯 QQ 会打开 4000 或者是 8000 端口或者 8080，那么，我们只运 行本机使用 4000 这几个端口就行了。 我的电脑不能设置显示隐藏文件怎么办？（设置显示后.-方法 1：不能设置“显示隐藏文件”悬赏分：0 - 解决时间：2007-7-16 11:09前天我在“开始”菜单里不知道设置了什么，结果昨天我怎么也不能把电脑设置“显示隐藏文件”了，选择“显示所有隐藏文件”后，按应用，确定。它会自动跳回到“不显示所有文件” 。 。 。 。 。 。最佳答案1、右键打开 D、E、F 、G 等盘后，点 工具 文件夹选项 查看 隐藏受保护的. 前的勾 去掉 ， 再选 显示所有文件和文件

30、夹。如果看不到隐藏文件，点 开始 运行REGEDIT 找到以下键值：KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL，右边的CheckedValue 键值改为 1。这样，就可以看见 D、E、F、G 等盘里的隐藏文件，全部砍了。2、到瑞星网站，下载并安装瑞星卡卡，查杀恶意和流氓软件、插件；进行 IE 修复；垃圾清理；开机启动项目管理，删除病毒启动项目。3、电脑重启，按 F8，进入安全模式（不带网络连接） ，开始 运行 REGEDIT 编辑查找 autorun.inf

31、,找到后斩立决,再按 F3,找到后,再杀了,赶尽杀绝。4、如果还不行，可能是系统关系。建议全新安装系统，不要克隆版的，推荐安装XP 上海市政府版或俄罗 斯高手破解版。系统装好后，克隆一下，以后如中毒了，可很快地进行系统恢复。一劳永逸！5、如果已装正版杀毒软件，要经常升级，经常查杀病毒。其实，要想电脑正常运行，钱还是不能省的。买一个正版的软件也是必要的，建议买正版的瑞星杀毒软件150 元左右，支持国产软件！你试试，祝你成功！方法 2打开“记事本” ，复制如下内容：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicro

32、softWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL“CheckedValue“=dword:00000001保存文件名：“显示被隐藏的文件.REG” ， （确保在“文件夹选项”中去掉“隐藏已知文件类型的扩展名” ） ，双击运行此文件，再重新到“文件夹选项”中设置显示隐藏文件。方法 3新建文本文档复制以下东西另存为 1.reg(记得文件类型改成所有文件) 双击另存为的文件普通的显示文件的方法设置一下Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMic

33、rosoftWindowsCurrentVersionExplorerAdvancedFolderHidden“Text“=“shell32.dll,-30499“Type“=“group“Bitmap“=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,0

34、0,6c,00,2c,00,34,00,00,00“HelpID“=“shell.hlp#51131“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN“RegPath“=“SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced“Text“=“shell32.dll,-30501“Type“=“radio“CheckedValue“=dword:00000002“ValueName“=“Hidden“Defa

35、ultValue“=dword:00000002“HKeyRoot“=dword:80000001“HelpID“=“shell.hlp#51104“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL“RegPath“=“SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced“Text“=“shell32.dll,-30500“Type“=“radio“CheckedValue“=dword:00000001“

36、ValueName“=“Hidden“DefaultValue“=dword:00000002“HKeyRoot“=dword:80000001“HelpID“=“shell.hlp#51105“-方法 4核对注册表项键值，修改为如下的对应值即可HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL“RegPath“=“SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced“Text“=“显示所有文件和文件夹“ （

37、或者为shell32.dll,-30500）“Type“=“radio“CheckedValue“=dword:00000001“ValueName“=“Hidden“DefaultValue“=dword:00000002“HKeyRoot“=dword:80000001“HelpID“=“shell.hlp#51105“流氓软件与 SPI 相关知识及修复工具 - Tag：资料SPI 是网络协议相关的东东，是一个链式结构，存在于HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesWinSock2ParametersProtocol_Catalo

38、g9。如果该结构被破坏，系统的表现就是上不了网。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2Parameters 下的Current_NameSpace_Catalog 描述了当先使用的协议目录，一般为 Protocol_Catalog9。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2Parameters Protocol_Catalog9 下的 Num_Catalog_Entries 记录了该结构链的节点的总数。HKEY_LOCAL_MACHINESYST

39、EMCurrentControlSetServicesWinSock2Parameters Protocol_Catalog9Catalog_Entries 下面的以序号为键名的内容依次对应了一个服务程序，可以自启动，因此 SPI 成了流氓软件和病毒的目标。以流行的流氓软件 msplus.dll 为例，该文件又名Adplus.dll、quartz32.dll 、wshcon32.dll 、 secur.dll、raspapi.dll、winipsec32.dll 等，存在于系统目录下，后面几个文件类似于系统文件名，极其隐蔽。该流氓软件在链的开头和结尾各挂了一个节点，PackedCatalogI

40、tem 项的内容是 2 进制的，打开可以看到含有文件名字样。此时，如果删除该流氓软件，系统将不能上网。由于该流氓软件会注入 services.exe 进程，因此应先将文件删除或改名，然后重新启动计算机，然后推荐使用工具 LSPFix.exe 进行移除相应的项即可，注意是对应的流氓软件 dll 文件，千万不要错了。手工清除方案：1，删除或改名流氓软件文件，如 msplus.dll；2，重启计算机(关键，不可省略 )；3，删除流氓软件文件对应的键，例如 000000000001 和 000000000013；4，将剩下来的键依次改名，如 000000000002000000000012 改名为 0

41、00000000001000000000011；5，将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2ParametersProtocol_Catalog9Num_Catalog_Entries 设为正确的计数，如 11。LSPFix.exe 程序是 SPI 项的移除工具，使用的方法类似于上面的手工清除方法，因此并不是万能的。有些病毒或者狠毒的流氓软件不是在链中增加节点，而是修改已有的节点，这种情况使用 LSPFix.exe 工具和手工方法将很难起作用。建议先备份注册表，删除HKEY_LOCAL_MACHINE SYSTEMCu

42、rrentControlSetServicesWinSock2ParametersProtocol_Catalog9，卸载 TCP/IP协议，重启后再安装 TCP/IP 协议。建议备份注册表，以免被流氓软件修改。如果被修改后，在删除流氓软件之后，可以恢复。“征途”木马，可能导致网络失败自启动一直是病毒和流氓软件最关心的话题之一，最近的流行趋势是通过 winsock2 的 LSP进行自启动。在这一领域，流氓软件是先行者，其目的就是使用户或杀毒软件不能轻易地删除它，因为会导致网络问题。这类流氓软件有著名的 roogoo(即 msplus.dll、 quartz32.dll 之类) 和TCPIPDo

43、g.dll 等等。随着这种技术的应用，病毒也开始行动，其目的是极其恶劣的。因为轻易用杀毒软件进行清除该病毒后，回导致用户无法上网。给用户带来了极大的不便与愤慨。Win32.Troj.ZhengTuSPI 是一个使用该技术的“征途”盗号木马病毒，详情请点击链接查看毒霸网站的介绍。在删除或用杀毒软件清除该病毒后，或者相应文件损坏后，用户将无法上网。这时可以用相应的 LSP 修复工具进行修复。现在，网上有很多 winsock2 修复工具，其原理各不相同，所以各有优缺点。大致有以下几种：1，扫描出对应文件项，由用户选择移除，如 LSPFix.exe。该工具可以修复添加的 LSP 项。缺点是无法修复直接

44、修改正常 winsock 项的病毒或流氓软件。因此无法修复 TcpipDog.dll和 Win32.Troj.ZhengTuSPI 病毒。2，恢复到系统默认状态，如 winsockFix.exe。该工具的可以修复大量的 LSP 问题。缺点是无法判断 winsock2 是否损坏直接修复，即正常的情况下也修复。并且会破坏正常软件的LSP 链，如 “江民杀毒软件”的某个服务；并且会增加大量用户并没有安装的系统协议。我的 2000 系统修复前是 11 项，修复后是 24 项，添加了 SPX、IPX 等协议。3，检测单项是否出现错误，并且进行修复，如金山出版的“LSP 修复工具” 。优点是具有检测系统，可以进行单项检测，发现问题时进行修复，主要针对流氓软件和病毒进行的破坏而设计的，不会破坏正常软件的 LSP 链。另一个优点是可以对注册表项没有修改权限的系统进行修复。该软件可以修复流氓软件或病毒破坏造成的无法上网的问题，包括roogoo(msplus.dll)， TcpipDog.dll 以及 Win32.Troj.ZhengTuSPI 等。缺点是无法修复 LSP 没有损坏，但已经被病毒或流氓软件修改的情况。这种情况可以先使用杀毒软件进行杀毒。以上的 winsock2 工具各有优点，个人建议可以根据情况而使用。金山的“LSP 修复工具”可以从 http:/ 下载。