主题：【常见电脑故障集】！

57、sndrec32 - sndrec32.exe - Process Information
Process file: sndrec32 or sndrec32.exe
Process Name: indows Sound Recorder
Description: The Windows Sound Recorder is used to play and record sound files (.wav)
Common Errors: N/A
System Process: No

58、spoolss - spoolss.exe - Process Information
Process file: spoolss or spoolss.exe
Process Name: Printer Spooler Subsystem
Description: The Windows Printer Spooler Subsystem controls despooling of Printer data from Disk to Printer
Common Errors: N/A
System Process: No

59、starter - starter.exe - Process Information
Process file: starter or starter.exe
Process Name: Creative Labs Ensoniq Mixer Tray icon
Description: Tray Icon for opening the Creative Sound Mixer installed with Creative Soundcards (Soundblaster)
Common Errors: N/A
System Process: No

60、systray - systray.exe - Process Information
Process file: systray or systray.exe
Process Name: Windows Power Management
Description: The Windows power management process handles Energy saving functions and is loaded at startup
Common Errors: N/A
System Process: No

61、tapisrv - tapisrv.exe - Process Information
Process file: tapisrv or tapisrv.exe
Process Name: TAPI Service
Description: Background Service which provides Windows Telephony (TAPI) Support
Common Errors: N/A
System Process: No

62、userinit - userinit.exe - Process Information
Process file: userinit or userinit.exe
Process Name: UserInit Process
Description: The UserInit program runs logon scripts, reestablishes network connections and starts the Shell
Common Errors: N/A
System Process: No

63、vptray - vptray.exe - Process Information
Process file: vptray or vptray.exe
Process Name: Norton AntiVirus
Description: Norton Anti-Virus scans you files and email for viruses
Common Errors: N/A
System Process: No

64、vshwin32 - vshwin32.exe - Process Information
Process file: vshwin32 or vshwin32.exe
Process Name: McAfee VirusScan
Description: McAfee VirusScan is an Anti-Virus program which Scans your Files and Emails for Viruses
Common Errors: N/A
System Process: No

65、vsmon - vsmon.exe - Process Information
Process file: vsmon or vsmon.exe
Process Name: True Vector Internet Monitor
Description: The True Vector Internet Monitor is a component of the ZoneAlarm Personal FireWall which monitors internet traffic and generates alerts
Common Errors: N/A
System Process: No

66、vsstat - vsstat.exe - Process Information
Process file: vsstat or vsstat.exe
Process Name: McAfee VirusScan
Description: McAfee VirusScan is an Anti-Virus program which Scans your Files and Emails for Viruses
Common Errors: N/A
System Process: No

67、wab - wab.exe - Process Information
Process file: wab or wab.exe
Process Name: Address BookThe Address Book stored email address and contact information and is used by Outlook
Description:
Common Errors: N/A
System Process: No

68、webscanx - webscanx.exe - Process Information
Process file: webscanx or webscanx.exe
Process Name: McAfee VirusScan
Description: McAfee VirusScan is an Anti-Virus program which Scans your Files and Emails for Viruses
Common Errors: N/A
System Process: No

69、winoa386 - winoa386.mod - Process Information
Process file: winoa386 or winoa386.mod
Process Name: MS-DOS Console
Description: The Windows MS-DOS Console provides DOS console and script funtions in Windows
Common Errors: N/A
System Process: No

70、winproj - winproj.exe - Process Information
Process file: winproj or winproj.exe
Process Name: Microsoft Project
Description: Microsoft Project is a Project planning program
Common Errors: N/A
System Process: No

71、winroute - winroute.exe - Process Information
Process file: winroute or winroute.exe
Process Name: WinRoute
Description: WinRoute is a firewall/router/connection sharing software for Windows
Common Errors: N/A
System Process: No

72、wkcalrem - wkcalrem.exe - Process Information
Process file: wkcalrem or wkcalrem.exe
Process Name: Microsoft Works Calendar Reminder
Description: The Microsoft Works Calendar Reminders Background process shows popup reminders for scheduled events in your Works Calendar
Common Errors: N/A
System Process: No

73、wkqkpick - wkqkpick.exe - Process Information
Process file: wkqkpick or wkqkpick.exe
Process Name: WinZip traybar icon
Description: The WinZip traybar icon allows you to start WinZip from the traybar
Common Errors: N/A
System Process: No

74、wordpad - wordpad.exe - Process Information
Process file: wordpad or wordpad.exe
Process Name: Wordpad
Description: Wordpad is a text editor used to open and edit txt and rtf documents
Common Errors: N/A
System Process: No

75、wowexec - wowexec.exe - Process Information
Process file: wowexec or wowexec.exe
Process Name: Windows On Windows Execution Process
Description: Windows On Windows Execution Support Process provides support for 16-bit Windows applications together with ntvdm.exe
Common Errors: N/A
System Process: No

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
.
.
附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
.
.
上面的服务都对安全有害，如果不是必要的应该关掉。
以下服务很少会用到：
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序(系统服务).
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
.
.
详细说明：
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的会话期间都包含一组服务，以至于单独的服务必须依*Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

更多的信息
为了能看到正在运行在Svchost列表中的服务。开始－运行－敲入cmd，然后再敲入 tlist -s （tlist 应该是win2k工具箱里的冬冬）。Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息，可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208 services.exe Svcs:AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem, Netman, NtmsSvc, RasMan, SENS, TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。

explorer.exe
这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。
通常不会对系统产生什么负面影响。

internat.exe
这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。 当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。

mstask.exe
这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

smss.exe
这个进程是不可以从任务管理器中关掉的。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，
包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

spoolsv.exe
这个进程是不可以从任务管理器中关掉的。缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

service.exe
这个进程是不可以从任务管理器中关掉的。大多数的系统核心模式进程是作为系统进程在运行。

System Idle Process
这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化taskmagr.exe。这个进程呀，哈哈，就是任务管理器了

Windows Xp修复控制台详细的命令和用法

Windows XP（包括 Windows 2000）的控制台命令是在系统出现一些意外情况下的一种非常有效的诊断和测试以及恢复系统功能的工具。（当然大家可以在系统启动后按F8，插入XP系统光盘进入）这次整理了一下，希望对大家有所帮助：

Bootcfg

　　bootcfg 命令启动配置和故障恢复（对于大多数计算机，即 boot.ini 文件）。
　　含有下列参数的 bootcfg 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 bootcfg 命令。

用法：

　　bootcfg /default　　设置默认引导项。

　　bootcfg /add　　　　向引导列表中添加 Windows 安装。

　　bootcfg /rebuild　　重复全部 Windows 安装过程并允许用户选择要添加的内容。

　　注意：使用 bootcfg /rebuild 之前，应先通过 bootcfg /copy 命令备份 boot.ini 文件。

　　bootcfg /scan　　　 扫描用于 Windows 安装的所有磁盘并显示结果。

　　注意：这些结果被静态存储，并用于本次会话。如果在本次会话期间磁盘配置发生变化，为获得更新的扫描，必须先重新启动计算机，然后再次扫描磁盘。

　　bootcfg /list　　　列出引导列表中已有的条目。

　　bootcfg /disableredirect 在启动引导程序中禁用重定向。

　　bootcfg /redirect [ PortBaudRrate] |[ useBiosSettings]

　　在启动引导程序中通过指定配置启用重定向。

范例：
　　bootcfg /redirect com1 115200
　　bootcfg /redirect useBiosSettings

hkdsk

　　创建并显示磁盘的状态报告。Chkdsk 命令还可列出并纠正磁盘上的错误。

　　含有下列参数的 chkdsk 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 chkdsk 命令。

vol [drive:] [ chkdsk [drive:]

[/r]

　　参数　　无

　　如果不带任何参数，chkdsk 将显示当前驱动器中的磁盘状态。

drive: 指定要 chkdsk 检查的驱动器。
/p　　 即使驱动器不在 chkdsk 的检查范围内，也执行彻底检查。该参数不对驱动器做任何更改。
/r　　 找到坏扇区并恢复可读取的信息。隐含着 /p 参数。

　　注意

Chkdsk 命令需要 Autochk.exe 文件。如果不能在启动目录（默认为 \%systemroot%\System32）中找到该文件，将试着在 Windows 安装 CD 中找到它。如果有多引导系统的计算机，必须保证是在包含 Windows 的驱动器上使用该命令。

Diskpart

　　创建和删除硬盘驱动器上的分区。diskpart 命令仅在使用故障恢复控制台时才可用。

　　diskpart [ /add |/delete] [device_name |drive_name |partition_name] [size]

　　参数 无

　　如果不带任何参数，diskpart 命令将启动 diskpart 的 Windows 字符模式版本。

　　/add

　　创建新的分区。

　　/delete

　　删除现有分区。

　　device_name

　　要创建或删除分区的设备。设备名称可从 map 命令的输出获得。例如，设备名称：

　　\Device\HardDisk0

　　drive_name

　　以驱动器号表示的待删除分区。仅与 /delete 同时使用。以下是驱动器名称的范例：

　　D:

　　partition_name

　　以分区名称表示的待删除分区。可代替 drive_name 使用。仅与 /delete 同时使用。以下是分区名称的范例：

　　\Device\HardDisk0\Partition1

　　 大小

　　要创建的分区大小，以兆字节 (MB)表示。仅与 /add 同时使用。

　　范例

　　下例将删除分区：

diskpart /delete \ Device\ HardDisk0\ Partition3
diskpart /delete F:

　　下例将在硬盘上添加一个 20 MB 的分区：

　　diskpart /add \ Device\ HardDisk0 20

Fixboot

　　向系统分区写入新的分区引导扇区。只有在使用故障恢复控制台时，才能使用 fixboot 命令。

　　fixboot [drive]

　　参数　　驱动器

　　将要写入引导扇区的驱动器。它将替代默认的驱动器（即用户登录的系统分区）。例如，驱动器：D:

　　范例

　　下列命令范例向驱动器 D: 的系统分区写入新的分区引导扇区：

　　fixboot d:

　　注意: 如果不带任何参数，fixboot 命令将向用户登录的系统分区写入新的分区引导扇区。

　　Fixmbr

　　修复启动磁盘的 主启动记录。fixmbr 命令仅在使用故障恢复控制台时才可用。

　　fixmbr [ device_name]

　　参数

　　device_name

　　要写入新的主引导记录的设备（驱动器）。设备名称可从 map 命令的输出获得。例如，设备名称：

　　\Device\HardDisk0

　　范例

　　下列命令示例向指定设备写入一个新的主引导记录：

　　fixmbr \Device\HardDisk0

　　注意：如果不指定 device_name，新的主引导记录将被写入引导设备，即装载主系统的驱动器。
如果系统检测到无效或非标准分区表标记，将提示用户是否继续执行该命令。除非您访问驱动器有问题，否则不要继续进行。向系统分区写入新的主引导记录可能破坏分区表并导致分区无法访问。

format

　　将指定的驱动器格式化为指定的文件系统。含有下列参数的 format 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 format 命令。

　　format [ drive:] [ /fs:file-system]

　　参数

drive:

　　指定要格式化的驱动器。不能从故障恢复控制台格式化软盘。

　　/q

　　对驱动器进行快速格式化。不扫描驱动器看是否有坏区域，因此只应对以前格式化过的驱动器使用该参数。

　　/fs:file-system

　　指定要使用的文件系统：FAT、FAT32 或 NTFS 。如果未指定文件系统，将使用现有的文件系统格式。

Map

　　显示驱动器号与物理设备名称的映射。该信息在运行 fixboot 和 fixmbr 命令时非常有用。

　　map 命令仅在使用故障恢复控制台时才可用。

　　Map [ arc]

　　参数

arc

　　指示 map 命令显示高级 RISC 计算 (ARC)设备名称而不是设备名称。以下是 ARC 设备名称的范例：

　　multi(0)disk(0)rdisk(0)partition(1)

　　等价的设备名称是：

　　\Device\HardDisk0\Partition1

　　范例

　　下例将物理设备名映射为使用 ARC 设备名称的驱动器号：

　　map arc

　　注意：如果不使用 arc 参数，则 map 命令显示设备名称。map 命令还显示文件系统的类型和每个磁盘的大小（MB）。

寻找丢失的记忆——深入电脑数据恢复3

一、知难行易——了解数据恢复的基本原理

为了加深大家对数据恢复的理解，我们有必要简单了解一下数据存储的基本原理。这里以硬盘为例做简单说明（软盘、光盘及闪盘的数据存储原理与硬盘大同小异）。先来看看硬盘的数据结构。当我们拿到一块新硬盘时，必须先对其进行分区和格式化操作后才能使用。对于目前大多数朋友所使用的Windows操作系统来说，硬盘被操作系统划分成主引导扇区、操作系统引导扇区、文件分配表、目录区和数据区这5个部分。其中主引导扇区在每块硬盘中都是唯一的，一块硬盘上只能有一个主引导扇区，而其他部分则在硬盘的每个分区里都会存在。

软盘、光盘、闪存盘和硬盘的数据存储原理其实有较大不同。软盘的存储原理更像是录音带，直接通过电磁感应原理把磁场变化变成电流变化，对磁头和磁介质等材料并没有特殊要求。光盘上面也说了，至于闪盘，是直接用半导体储存高电位和低电位信号来表示0和1的数据信息。同时，各种存储介质所采用的文件格式也有很大区别。

主引导扇区位于整个硬盘的0磁道0柱面1扇区，它包括硬盘主引导程序MBR（Main Boot Record）和分区表DPT（Disk Partition Table）两部分。主引导程序是由分区程序（如大家最常用的Fdisk）产生的，所以在不同的操作系统中，主引导程序可能会不同。它的作用就是检查分区表是否正确并确定以哪个分区为引导分区，然后在程序结束时把该分区的启动程序（即操作系统）调入内存执行。而对于分区表，大家应比较熟悉了，它以80H或00H为开始标志，以55AAH为结束标志，共64字节，位于0磁道0柱面1扇区的最末端。它规定着系统有几个分区，每个分区的起始和终止扇区、大小及是否为活动分区等重要信息。

操作系统引导扇区即OBR（OS Boot Record），通常位于硬盘的0磁道1柱面1扇区（如果硬盘被设置为多重引导方式，则位于每个引导系统所在的主分区或扩展分区的第一个扇区）。它是操作系统可直接访问的第一个扇区，也包括一个引导程序和一个被称为BPB（BIOS Parameter Block）的分区参数记录表。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件。如检查通过，就将引导文件读入内存，并把控制权交予该文件。BPB分区表参数块则是记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元（Allocation Unit，以前也称为簇）的大小等重要参数。

不知大家注意过没有，同一个硬盘，用生产厂家的原厂工具来分区与用Fdisk或Partition Magic之类的第三方工具来分区是有区别的。我们可以试一下，先用原厂工具来分区，然后启动Partition Magic查看，发现什么问题没有？通常用原厂工具分区的硬盘开头或结尾部分，有可能还剩下4～8MB左右的未使用空间，而用Fdisk或Partition Magic分区则不会产生这种情况。这是硬盘厂家为防止硬盘因为引导区的信息出错，或该处扇区物理损坏而产生的一系列麻烦而采取的一个小小的但是却很有实用价值的措施。所以，一般用原厂工具分区，硬盘工作起来会比较稳定，在非法关机时也不容易掉链子；即使出现所谓的零磁道损坏（逻辑零磁道）、引导区出错而导致系统不认盘等问题，用户也不需使用Disk Editor、PCTools等软件修复（甚至找JS维修），只需一个原厂工具重新快速低格然后分区就一切如常了。

文件分配表即FAT（File Allocation Table），是系统的文件寻址系统，为了数据安全起见，FAT一般做两个，第二FAT为第一FAT的备份。FAT区紧接在OBR之后，其大小由本分区的大小及文件分配单元的大小决定。FAT的格式有很多种，大家比较熟悉的有FAT12、FAT16和FAT32等格式。FAT12目前仅在软盘驱动器中使用，FAT16只能用于2GB以下的分区；而FAT32使用最为广泛，可管理的最大分区为32GB。

在硬盘克隆、扫描、格式化、拷贝大文件过程中突然断电的话，基本可肯定会出现分区表损坏的情况。不过现在大家知道原来分区表有两个，同时如果使用原厂工具分区，非法关机时则不易丢失分区表信息。文件系统的格式除了FAT16和FAT32外，还有NTFS、ReiserFS、ext、ext2、ext3、ISO9660、XFS、Minx、VFAT、HPFS、NFS、SMB、SysV、PROC、JFS等。其实，日常我们接触的都是DOS和Windows下的文件系统，而其他的文件系统则同我们相距较远，这里就不多做介绍了。

目录区即DIR（Directory），它紧接在第二FAT表之后。只有FAT还不能定位文件在磁盘中的位置，FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件（目录）的起始单元（对于文件来说，这才是至关重要的）、文件的属性等。操作系统在定位文件位置时，根据DIR中的起始单元，再结合FAT表就可知文件在磁盘的具体位置及大小了。
数据区即DATA，当将数据复制到硬盘时，数据就存放在DATA区。对于一块储存数据的硬盘来说，它占据了硬盘的绝大部分空间，但如没有前面所提到的4个部分，DATA区就仅只是一块填充着0和1的区域，没有任何意义。

也不能说没有任何意义，特别是在SCSI硬盘这种具备完整的校验和安全机制的硬盘上，数据区的信息里也还有很多附加标识信息和校验信息，可作为数据恢复的手段。IDE硬盘上则确实较麻烦，要花不少功夫。不过目前很多发布数据恢复软件的公司都在不断研究这个问题，希望能通过优化算法，尽量提高数据恢复的成功率和恢复速度。

当操作系统要在硬盘上写入文件时，首先在DIR区中写入文件信息（包括文件名、后缀名、文件大小和修改日期），然后在DATA区找到闲置空间将文件保存，并将DATA区中存放文件的簇号写入DIR区，从而完成整个写入数据的工作。系统删除文件时的操作则简单许多，它只需将该文件在DIR区中的第一个字符改成E5，在文件分配表中把该文件占用的各簇表项清0，就表示将该文件删除，而它实际上并不对DATA区进行任何改写。通常的高级格式化程序，只是重写了FAT表而已，并未将DATA区的数据清除；而对硬盘进行分区时，也只是修改了MBR和OBR， 并没有改写DATA区中的数据。正因为DATA区中的数据不易被改写，从而也为恢复数据带来了机会。事实上各种数据恢复软件，也正是利用DATA区中残留的种种痕迹，来恢复数据，这就是整个数据恢复的基本原理。

● 二、亡羊补牢——实战数据恢复




一般存储器中的数据被破坏，主要有以下几方面的原因：

（1）自然灾害，如水灾、火灾、雷击、地震等造成计算机系统的破坏，导致存储数据被破坏或完全丢失；
（2）使用人员的误操作；
（3）计算机设备的硬件故障，包括存储介质的老化、失效；
（4）病毒感染造成的数据破坏；
（5）“黑客”程序或软件Bug对数据的破坏。
我们要根据数据损坏的原因，采用不同的恢复方法。现在我们就针对目前使用最为广泛的硬盘、光盘、软盘及闪存等设备，来谈谈数据恢复的具体工作。

在《大众硬件》2003年第12期的专题《再见硬盘的硬伤和软伤——硬盘维修与数据恢复》中，笔者提到南方一家公司写的一个恢复软件，并就他们说的可从厂家级数据列表（P列表）被清除的情况下恢复数据发表了几句评论后，收到了他们的责难，这里我可以详细解释一下。在所有正常损坏的方式中（上面说的几种），甚至更极端一点，把硬盘从五楼高扔到地上，都不会导致P列表清除，除非有人吃饱了撑的，愿意花一百几十块让人用PC3000之类的软件清除P列表。因此，国外的恢复软件都没有在零售版本中为这种正常损坏下不可能发生的情况而专门放上这样的功能。写出这样的软件展示一下公司的实力是有意义的，但因为别人没有放上类似不实在的功能就说自己天下第一、独一无二那就未免有炒作嫌疑了。毕竟数据还在硬盘里面放着，虽然清除P列表的同时，也等于同时改变甚至完全清除了目录区的信息，大大增加了数据恢复的难度，但只要有针对性地采用一种新的算法和恢复方式，要恢复数据也并不是海底捞月；而且国外也不是没有这样的软件，只是没有零售版而已。

1.硬盘的数据恢复

硬盘作为操作系统的载体，是各种程序运行的主要场所，也是进行数据交换的重要平台。在使用过程中，因使用不当、病毒破坏等原因造成的数据丢失现象最为常见。

①恢复由分区表损坏造成的数据丢失

分区表记录了关于硬盘分区情况的重要信息，是引导型病毒最喜欢破坏的地方。当硬盘的分区表被破坏后，系统就会无法正确识别分区，从而造成硬盘的分区丢失，导致无法引导系统。如处理不当，有可能丢失硬盘上的所有数据。有时用户也会因对分区软件不熟悉，从而错误地删除某个分区，会造成该分区内数据丢失。

解决此类问题的关键，不在于如何恢复硬盘中的数据，因为数据区并未损坏，仅是因为硬盘的分区表被改写而无法正常访问，所以最佳的修复方法是恢复硬盘分区表。只要能正确恢复硬盘的分区表，就可恢复硬盘上的所有数据。一般情况下，如事先已利用软件备份了硬盘的分区表信息，只需通过该软件将分区表还原即可（很多硬盘工具都具有备份硬盘分区表的功能，笔者推荐使用Disk Genius，该软件为全中文界面，使用十分方便）。但如事先并未备份分区表，就只有利用软件来重建分区表了（无论用什么方法来修复分区表，在修复之前必须先将BIOS中的病毒保护功能关闭，即进入“BIOS FEATURES SETUP”设置，将“Virus Warning”选项设置为“Disabled”，否则当分区表被修改时，系统会报警并挂起，导致修复失败）。由于对分区表的操作，不会影响到硬盘的数据区，所以我们可在备份了原有分区表的情况下，直接将新的分区表写入硬盘，而不用担心对硬盘上的数据造成影响。

软件推荐1：KV3000

这里笔者向大家首推的软件是KV3000 DOS版。利用KV3000中的“系统测试和灾难修复”功能，可方便地修复硬盘分区表。使用方法是：先利用DOS引导软盘引导系统，然后启动KV3000，进入KV3000主界面。




图01：KV3000 DOS版主界面）

然后按F10键进入“系统测试与灾难修复”界面，此时程序会自动检测硬盘分区表。如分区表被破坏，则屏幕显示：

Hard Disk Partition Table - Error!!!
Fix Hard Disk Partition Table or Sector (Y/N)?

意为：硬盘分区表错误，是否修复硬盘分区表或引导区？

按“Y”开始修复分区表，屏幕显示“Scanning……”字样的提示。经过一段时间后，会出现如下提示：
Insert a formatted diskette into drive A, Pressed “Y” to save “error” Partition table floppy filename HDPT.VIR,“N” to exit continue (Y/N)。

意为：请插入一张软盘，以便将原先硬盘的分区信息备份到软盘上。插入软盘后按“Y”键继续，按“N”退出。（请注意，备份原先硬盘分区表的步骤不能跳过，所以在利用KV3000修复分区表前一定要先准备好一张没有问题的软盘。这样即使还原分区表不成功，也可利用KV3000/HDPT.DAT命令将分区表还原至修复前的状态，再尝试利用其他软件修复。）

然后插入一张空白软盘，并按“Y”键后，屏幕显示：
Hard disk Partition table or boot sector fixed OK!!!
Fixing ……
此时KV3000便开始自动修复分区表，当屏幕上显示：
OK!OK!OK!
Press any key to return ……

则表示重建分区表的操作成功了。此时可按任意键退出并重启电脑，再利用软盘引导系统。一般情况下，原先丢失的分区都可恢复，数据也不会丢失。如发现修复后的硬盘分区与原先的分区不符，则可利用KV3000/HDPT.DAT将分区表还原至修复前的状态。

友情提示：

（1）KV3000相对来说比较“古老”，在某些内存超过512MB的电脑上执行可能会提示出错；
（2）由于KV3000在修复分区表时，必须要求备份分区表，因此不能通过光盘引导系统，否则会因无法将分区表备份到A盘而中断修复工作；
（3）修复后的硬盘有可能仍无法引导，这可能是由于启动文件已被破坏，这时需要利用“SYS C:”命令来传输系统文件，有必要的话还需要重新安装系统。

小结：KV3000的“系统测试和灾难修复”功能是个很好用的硬盘修复工具，特别是在没有备份硬盘分区表的情况下，它往往可让硬盘数据起死回生。它对使用者也没什么特殊要求，只需按软件提示操作即可，成功率相当高，很适合没有数据恢复经验的初学者使用。

这个软件好像对现在的大硬盘支持有点问题，笔者用一个160GB的硬盘试了几次都没有办法重现上面所说的情况。120GB的硬盘在2004年第一期写硬盘结构的时候解剖掉了，没有更多的其他大容量硬盘来做测试，所以只能存疑。不过在小一些的硬盘上，这个软件效果确实不错。

推荐软件2：Disk Genius

Disk Genius的前身就是DISKMAN，是一款经典的全中文经典硬盘分区表维护软件，采用纯中文图形界面，支持鼠标操作。作为一款硬盘分区管理工具，它提供强大的分区表重建功能，可以迅速修复损坏了的分区表。





（图02：Disk Genius使用界面）

利用Disk Genius重建分区表操作起来相当简单，点击“工具”菜单，选择“重建分区表”，程序提示“建议先备份分区表”。之后重建分区表时系统会提示选择“自动方式”或“交互方式”





图03：选择重建分区表的方式）

一般情况下，建议选择“自动方式”（如选择交互方式，则每个分区都给出提示，由用户选择是否保留），此时程序会开始全面扫描硬盘，扫描的时间视硬盘的大小而定。当扫描结束后，程序会提示“分区表重建完毕，存盘后生效”，并将恢复后的硬盘分区情况显示出来。如对该修复结果满意，则可选择“硬盘”→“存盘”，以保存重建后的分区表；如不满意此时程序修复的结果，可选择“硬盘”→“重新加载”，然后再通过交互方式来重建分区表。这里需提醒大家注意的是，当没有选择“存盘”前，一切修复都是在内存中完成的，并不会真正写入到硬盘中，所以可无限制操作而不用担心破坏数据；而一旦选择了“存盘”，对硬盘的修改就会生效了。

友情提示：

（1）和KV3000不同的是，Disk Genius在重建分区表时不会强制备份分区表，但笔者仍建议大家在重建分区表前备份原来的分区表；
（2）对目前动辄数十GB的硬盘，Disk Genius重建分区表时扫描硬盘所花的时间相当长，使用者要有耐心（特别是在硬盘的分区表被彻底破坏后、所有分区全部丢失的情况下，扫描时间实在有点不能忍受。相比之下KV3000的效率要高得多，这也是笔者将Disk Genius作为推荐软件2的原因）。

其实，即使不用Disk Genius这类工具来修复分区表，使用如Easy Recovery或Final Data这类数据恢复软件，也可在分区表损坏的情况下直接恢复数据。不过请大家记住，在恢复时不要选择逻辑驱动器而要选择物理驱动器，因为分区表坏了，则根据坏的分区表显示出来的逻辑驱动器信息也必然是错误的，你要从一个本来就不存在的、错误的逻辑驱动器里恢复数据则根本就不可能。同时，还要忍受一下漫长的扫描时间对你的折磨。

②恢复硬盘主引导程序

硬盘的主引导扇区是硬盘中最为敏感的部分，其中的主引导程序用于检测硬盘分区的正确性并确定活动分区，负责把引导权移交给活动分区的操作系统。如果硬盘主引导程序损坏，将无法从硬盘引导。

推荐软件：Fdisk
修复硬盘主引导程序最简单有效的方法，就是利用引导盘引导系统，然后执行“Fdisk/MBR”命令，利用Fdisk程序中包含的完整的硬盘主引导程序，直接将硬盘的主引导程序覆盖，并且不会破坏硬盘的数据。

友情提示：
如硬盘上设置了多重启动（比如Win98和Win2000的双重启动菜单），当利用Fdisk/MBR恢复主引导程序后，可能会使多重启动菜单丢失，此时需利用相应的软件重新设置。

③恢复因为误删除或格式化而丢失的数据

在使用电脑过程中，我们都有可能因使用不当，不小心删除一些很重要的数据。有时甚至因误操作对硬盘进行了格式化，从而造成大量的数据丢失。其实，当执行删除文件的命令后，上文已说过，数据区并未被清除。同样，当硬盘的分区被格式化后，系统也仅将根目录区清零。由于删除与格式化操作只是在文件名或根目录区上做了一些手脚，对于文件的数据部分丝毫未动，因此只要处理得当，使用数据恢复软件，完全有机会恢复丢失的数据。

推荐软件1：Easy Recovery 6.0

Easy Recovery是个功能强大的数据恢复软件，可轻松地恢复误删除的文件和被格式化的分区，并且支持FAT16、FAT32和NTFS分区。软件的使用很容易，初学者也可轻松掌握。安装启动Easy Recovery后，在软件的主界面上会显示“磁盘诊断”、“数据恢复”、“文件修复”、“邮件修复”、“软件更新”和“救援中心”这6个菜单。

Windows XP 恢复管理员密码的五大秘诀

秘诀1：大家知道，WindowsXP的密码存放在系统所在的Winnt\System32\Config下SAM文件中，SAM文件即账号密码数据库文件。当我们登录系统的时 候，系统会自动地和Config中的SAM自动校对，如发现此次密码和用户名全与SAM文件中的加密数据符合时，你就会顺利登录;如果错误则无法登录。既然如此，我们的第一个方法就产生了：删除SAM文件来恢复密码。

　　如果你不用管本来系统卡包含的任意账号，而且有两个操作系统的话，可以使用另外一个能访问NTFS的操作系统启动电脑，或者虽然没有安装两个系统，但可以使用其他工具来访问NTFS。然后删除C：\WINNT\system32\config目录下的SAM文件，重新启动。这时，管理员Administrator账号就没有密码了。当然，取下硬盘换到其他机器上来删除SAM文件也算个好办法。

　　小提示：WindowsNT/2000/XP中对用户账户的安全管理使用了安全账号管理器(Security AccountManager,SAM)的机制，安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也同时被删除。安全标识是惟一的，即使是相同的用户名，在每次创建时获得的安全标识都是完全不同的。因此，一旦某个账号被删除，它的安全标识就不再存在了，即使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原未的权限 。

　　安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。SAM文件是WindowsNT/2000/XP的用户账户数据库，所有用户的登录名及口令等相关信息部会保存在这个文件中。

　　秘诀2：使用Off1ine NT Password & Registry Editor。用该软件可以制作Linux启动盘，这个启动盘可以访问NTFS文件系统，因此可以很好地支持Windows2000/XP。使用该软盘中的一个运行在Linux的工具Ntpasswd就可以解决问题。并且可以读取注册表并重写账号密码。使用的方法很简单，只需根据其启动后的提示一步一步做就可以了。在此，建议你使用快速模式，这样会列出用户供你选择修改哪个用户的密码。默认选择Admin组的用户，自动找到把Administrator的名字换掉的用户，十分方便。

　　秘诀3：使用Windows Key 5.0。该软件包含在PasswareKit5.0中，用于恢复系统管理员的密码，运行后生成3个文件：txtsetup.oem.winkey.sys和winkey.inf,3个文件一共才50KB,短小精悍。把这3个文件放到任何软盘中，然后使用XP安装光盘启动电脑，启动过程中按F6键让系统安装第三方的驱动程序。此时，正是我们切入的最好时机，放人该软盘就会自动跳到WindowsKey的界面。它会强行把Administrator的密码换成 "12345"，如此一来何愁大事不成?呵呵!当你重新启动以后，你会被要求再次修改你的密码。

　　秘诀4：使用NTFS DOS这个可以从DOS下写NTFS分区的工具。用该软件制作一个DOS启动盘，然后到C;\Winnt\System32下将屏幕保护程序logon.scr改名，接着拷贝command.com到C：\Winnt\system32下(2000可以用cmd.exe),并将该文件改名为logon.scr。这样启动机器后等待5分钟，本应该出现的屏幕保护现在变成了命令行模式，而且是具有Administrator权限的，通过它就可以修改密码或者添加新的管理员账号了。改完后不要忘了把屏幕保护程序的名字改回去啊。下载地址：http：/www.cgsecurity.org/index.html?

　　秘诀5：下面介绍一个比较与众不同的方法。你可以在别的分区上再装一个XP，硬盘分区格式要和原来的一样，并且请你注意一定不要和原来的XP安装在同一分区!在开始之前，一定要事先备份引导区MBR(Master Boot Record).备份MBR的方法有很多，可以自己编程，或使用工具软件，如杀毒软件KV3000等。装完后用Administrator登录，现在你对原来的XP就有绝对的写权限了。你可以把原来的SAM拷下来，用lOphtcrack得到原来的密码。也可以把新安装的XP的Winnt\System32\Config\下的所有文件覆盖到C\Winnt\System32\Config目录中(假设原来的XP安装在这里)，然后用KV3000恢复以前备份的主引导区MBR，现在你就可以用Administrator身份登陆以前的XP了。

　　小提示：MBR俗称"主引导区"，它的作用是读取磁盘分区表(Partition Table)里面所设定的活动分区 (Active Partition)，位于硬盘的柱面0、磁头0、扇区1的位置，也即俗你的0磁道位置。它是由分区命令fdisk产生的。MBR包括硬盘引导程序和分区表这两部分。MBR结束标志为55AA，用杀毒软件KV3000的F6功能即可查看，其默认画面即为MBR。如果MBR找不到活动分区，就会在屏幕上显示像Missing operating System等错误讯息，所以，如果你的WindowsXP无法正常开启。而你又在屏幕上看到类似这样的错误讯息，原因大多就是出在这里了。

“木马”万能查杀法和清除法除法

“木马”万能查杀法和清除法除法！


1。“木马”万能查杀法。
很多对安全知识了解不多的菜鸟们，在计算机中了“木马”之后就束手无策了。虽然现在市面上有很多新版杀毒软件都可以自动清除大部分“木马”，但它们并不能防范新出现的“木马”程 序。因此，查杀木马，最关键的还是要知道“木马”的工作原理。相信你看了这篇文章之后，就会 成为一名查杀“木马”的高手了。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端，“木马”会在
每次用户启动时自动装载。Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。

下面具体谈谈“木马”是怎样自动加载的。在Win.ini文件中，在[WINDOWS]下面，“run=”和 “load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面应该什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成 command.exe(真正的系统文件为command.com)文件，如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)。

在System.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer= “C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在“HKEY-
LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接 将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。



2。发现病毒， 无法清除怎么办？


Q：发现病毒，但是无论在安全模式还是Windows下都无法清除怎么办？

A：由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。

1、带毒文件在\Temporary Internet Files目录下。

由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开IE，选择IE工具栏中的"工具"\"Internet选项"，选择"删除文件"删除即可，如果有提示"删除所有脱机内容"，也请选上一并删除。

2、带毒文件在\_Restore目录下，或者System Volume Information目录下。

这是系统还原存放还原文件的目录，只有在装了Windows Me/XP操作系统上才会有这个目录，由于系统对这个目录有保护作用。对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。 关闭系统还原方法。WindowsMe的话，禁用系统还原，DOS下删除。具体请参考下文:
http://community.rising.com.cn/F ... =2028691&page=1。XP关闭系统还原的方法：右键单击“我的电脑”，选“属性”——“系统还原”——在“在所有驱动器上关闭系统还原”前面打勾——按“确定”退出。

3、带毒文件在.rar、.zip、.cab等压缩文件中。

现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。

要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。

4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中。

这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。

对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：
(1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME系统上通过"添加／删除程序"进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；
(2) 用这张软盘引导启动带毒的计算机，然后运行以下命令：
A:\>fdisk/mbr
A:\>sys a: c:
如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。

5、带毒文件的后缀名是.vir、.kav、.kbk等。

这些文件一般是一些防毒软件对原来带毒的文件做的备份文件，一般情况下，如果确认这些文件已经无用了，那就将这些文件删除即可。

6、带毒文件在一些邮件文件中，如dbx、eml、box等。

有些防毒软件可以直接检查这些邮件文件中的文件是否带毒，但往往不能对这些带毒的文件直接的进行操作，对于一些邮箱中的带毒的信件，可以根据防毒软件提供的信息找到那带毒的信件，删除信件中的附件或者删除该信件；如果是eml、nws一些信件文件带毒，可以用相关的邮件软件打开，确认该信件及其附件，然后删除相关内容。一般有大量的eml、nws的带毒文件的话，都是病毒自动生成的文件，建议都直接删除。

7、文件中有病毒的残留代码。

这种情况比较多见的就是带有CIH、Funlove、宏病毒（包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾，而且并不常见，如W32/FunLove.app、W32.Funlove.int。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。

8、文件错误。

这种情况出现的并不多，通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒，也没有很好的修复文件，造成文件无法正常使用，同时造成别的防毒软件的误报。这些文件可以直接删除。

9、加密的文件或目录。

对于一些加密了的文件或目录，请在解密后再进行病毒查杀。

10、共享目录。

这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。

11、光盘等一些存储介质。

对于光盘上带有的病毒，不要试图直接清除，这是神仙也做不到的事情。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。

注册表解锁方法

①把下面文件复制到记事本上，保存为扩展名为reg的文件！
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

②把下面文件复制到记事本上，保存为扩展名为reg的文件！
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-

③把下面文件复制到记事本上，保存为扩展名为reg的文件！
REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

④把下面文件复制到记事本上，保存为扩展名为vbs的文件(说明：安装超级解霸后，vbs文件打开方式被更改了，可重新安装WSH)！
Dim WSHShell
Set WSHShell=WScript.CreateObject("WScript.Shell")

WSHShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"
⑤把下面文件复制到记事本上，保存为扩展名为htm的文件！
<html>
<body>
<script language="javascript">
var shl=new ActiveXObject("Wscript.shell");
shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools",0, "REG_DWORD");
window.alert("你的注册表编辑器已解除禁用！")
</script>
</body>
</html>
⑥把下面文件复制到记事本上，保存为扩展名为inf的文件(右键选择安装即可)!
[Version]
Signature="$Chicago$"

[DefaultInstall]
DelReg=DeleteMe

[DeleteMe]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools"
⑦在dos下解开注册表：
regedit/d HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
⑧在线恢复注册表：

⑨把下面文件复制到记事本上，保存为扩展名为js的文件！
var WSHShell=WScript.CreateObject("WScript.Shell");

WSHShell.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DiableRegistryTools",0,"REG_DWORD");

WSHShell.RegDelete("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\");

10、软件解锁，如winodws优化大师等解锁。
11、windows xp可在策略编辑器里解锁。单击“开始→运行”，输入“Gpedit．msc”后回车，打开“组策略”。然后依次展开“用户配置→管理模板→系统”，双击右侧窗口中的“阻止访问注册表编辑工具”，在弹出的窗口中选择“已禁用”，“确定”后再退出“组策略”，即可为注册表解锁。

病毒杀不掉的原因以及处理方法

如今网络上病毒肆虐，让电脑用户在应付病毒上花费了不少精力。当你使用杀毒软件查杀病毒时，是否遇到查出了病毒，但是杀不掉的情况，原因何在?该如何处理呢?以下笔者对此略作介绍。　　

●系统还原文件

restore文件夹是Windows Me/XP系统特有的系统还原文件夹，隐藏在该文件夹中的病毒是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒，可以关闭Windows系统的“系统还原”功能，清理系统还原点，或者直接删除_restore文件夹的内容。

　　●疑似电脑病毒

　　有时杀毒软件会出现提示：unknown.com.tsr.virus。该提示中，unknown是“不明的”意思，tsr是内存驻留的意思，本信息一般提示的是纯DOS环境下的可执行文件，表明杀毒软件在该文件中发现了可疑代码，类似病毒，但是没有确定是什么病毒。

　　如果疑似病毒提示涉及Type-Win32代码，则表示可疑的32位代码的意思，是指Windows环境下可疑的可执行代码。对于疑似病毒，可以直接删除该文件，或者将这些“疑似”的病毒文件发送给反病毒软件公司，请求帮助。

　　●ex_文件感染病毒

　　以.ex_为扩展名称的文件是软件安装程序的部分文件，其中的病毒不能直接清除。只有在软件完全安装成功后，方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。

　　●在DOS下清除病毒

　　对于在引导区发现的病毒，如POLYBOOT/WYX.b病毒，请使用干净的系统盘启动系统到DOS，然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中，可以直接删除该文件。

　　●系统初始文件中引用病毒

　　杀毒时出现如下提示：

　　C：\Windows\brasil.pif worm.win32.opasoft.a病毒　已删除
　　C：\Windows\instit.bat worm.win32.opasoft.a病毒　已删除
　　C：\Windows\alevir.exe worm.win32.opasoft.a病毒　已删除
　　C：\Windows\marco.scr worm.win32.opasoft.a病毒　已删除
　　C：\Windows\SCRSVR.exe worm.win32.opasoft.a病毒　已删除

　　杀毒后，重启动电脑时出现很多找不到文件的信息，而且再次杀毒时提示依旧，病毒还是存在。这些顽固病毒的引用应该是在win.ini文件中，请单击“开始→运行”，键入“sysedit”，按下回车键，编辑win.ini，删除对病毒的引用行。

　　●病毒最新变种

　　杀毒软件查出的是其病毒库中不存在的新型病毒，请将杀毒软件的病毒库升级到最新，然后再查杀。

PCI声卡爆音的原因及排除

原因1：PCI BUS Master控制权的争夺

　　　　由于PCI BUS Master控制权引起的爆音，主要出现在PCI显卡与PCI声卡共同工作的电脑中。其“病症”通常是：在PCI声卡处理声音信息的同时，运行其他大型的应用程序，在诸如下拉菜单滚动条，使图形画面出现变化的时候，会发出间歇的“噼啪”声。究其更本原因，其实是PCI显卡在作怪。由于当时显卡制造厂商为了最大程度的提升自己产品在运行Winbench之类软件时的图形测试分值，往往将PCI显卡设置为BUS Master的方式。在放音时，画面有所动作，显卡瞬间抢过了PCI BUS Master的主控权，势必造成PCI声卡受到干扰，以至出现瞬间的爆音。如果是AGP接口的显卡则不会有这类困扰，且也并非所有的PCI显卡都有抢夺PCI BUS Master主控权的“恶习”。这类原因引起的爆音是可以非常容易被解决的——在Windows安装目录下找到system.ini文件，对其进行编辑，我们可以试着添加或寻找这样两段语句：

[display]

busthrottle=1

optimization=1

　　　　如果已经有了这两段话，则一定要注意将busthrottle和optimization后面的变量设置为“1”。如果您的PCI声卡爆音来源于BUS Master控制权的争夺，那么修改了以上设置，重新启动机器以后，应该可以解决问题了

原因2：SB live!声卡与VIA主板的兼容问题

　　　　SB live!系列声卡（包括完整版和value版）与VIA公司的芯片组有兼容性问题，主要表现为：当用SB live!声卡播放存储在硬盘中的MP3、WAV等声音信息时，同时运行其他程序会发出偶尔的爆音，大量读写硬盘时（如安装软件）爆音连续不断，异常严重。其中原因主要是VIA主板的硬盘DMA 33会对SB live!的工作产生干扰。我们可以试着关闭硬盘的DMA，再进行放音测试，如果爆音现象消失则说明的确是以上的原因所至。但由于关闭DMA数据接口会降低系统的性能，所以我们建议VIA主板的用户安装一个4in1驱动程序（最新为4.13版），这样再打开DMA接口SB live!也不会出现爆音问题了，同时还可以解决其他许多方面的兼容性问题。

原因3：CD-ROM数字输出的问题

　　　　SB live!的爆音问题还有一个原因来自CD-ROM的数字音频输出。笔者试过不少品牌不同型号的CD-ROM，发现其中有一大部分产品的AUDIO DIGITAL（数字式音频输出）在配合SB live!声卡上的CD SPDIF输出时会出现问题。主要表现为播放CD唱片时一切正常，而重新启动电脑，进入Windows操作系统后会出现连续不断的爆音，当放入一片音乐CD后爆音消失。其表现依光驱的型号不同而有所差异，但原因都是由数字音频引起的。解决方法有两种：1.使用模拟方式输出CD信号，但音质会有所下降。2.平时关闭CD DIGITAL通道，当欣赏CD时在打开。

　　　　鉴于以上情况，笔者建议发烧友们在选择CD-ROM时不妨留意一下其数字音频输出的能力，虽然大部分光驱都标榜了这一功能，在实际使用中可能有问题。在笔者试验的产品中，CREATIVE CD-ROM的数字输出给我留下了较好的印象，配合SB live!一切正常。

　　　　此外最近有用户反映，在安装了Microsoft最新推出的DirectX 7.0以后声卡爆音问题得到了很好的解决，或是消失、或是大大减少。大家不妨一试。

　　　　一般而言，PCI声卡出现爆音干扰主要来源于上面三个方面。当然一些软件（尤其是游戏软件）与声卡的兼容问题也会引起一些干扰声。

注意
　　　　我们这里探讨的“爆音”特指声卡在放音过程中出现的间歇干扰声，不包括诸如信噪比低而引起的信号“噪音”。

如何解除硬盘“逻辑锁”

“硬盘逻辑锁”是一种很常见的恶作剧手段。中了逻辑锁之后，无论使用什么设 备都不能正常引导系统，甚至是软盘、光驱、挂双硬盘都一样没有任何作用。 “逻辑 锁”的上锁原理：计算机在引导DOS系统时将会搜索所有逻辑盘的顺序， 当DOS被引导时，首先要去找主引导扇区的分区表信息，然后查找各扩展分区的逻辑盘。 “逻辑锁修改了正常的主引导分区记录，将扩展分区的第一个逻辑盘指向自己，使得DOS在启动时查找到第一个逻辑盘后，查找下个逻辑盘总是找到自己， 这样一来就形成了死循环。给“逻辑锁”解锁比较容易的方法是“热拔插”硬盘电源。 就是在当系统启动时，先不给被锁的硬盘加电，启动完成后再给硬盘“热插”上电源线， 这样系统就可以正常控制硬盘了。为了降低危险程度，碰到“逻辑锁”后， 大家最好依照下面两种比较简单和安全的方法处理。
　　★UltraEdit★ 首先准备一张启动盘， 然后在其他正常的机器上使用二进制编辑工具(推荐UltraEdit)修改软盘上的IO.SYS文件(修改前记住先将该文件的属性改为正常)，具体是在这个文件里面搜索第一个“55AA”字符串， 找到以后修改为任何其他数值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。 不过这时由于该硬盘正常的分区表已经被破坏，你无法用“Fdisk”来删除和修改分区。
　　★DM★ 因为DM是不依赖于主板BIOS来识别硬盘的硬盘工具，就算在主板BIOS中将硬盘设为“NONE”，DM也可识别硬盘并进行分区和格式化等操作， 所以我们也可以利用DM软件为硬盘解锁。首先将DM拷到一张系统盘上，接上被锁硬盘后开机，按“Del”键进入BIOS设置，将所有IDE接口设为“NONE”并保存后退出，然后用软盘启动系统，系统即可“带锁”启动，因为此时系统根本就等于没有硬盘。启动后运行DM， 你会发现DM
可以识别出硬盘，选中该硬盘进行分区格式化就可以了。