[安全问题] 修复安全模式后在安全模式下杀毒还是自动关机 相关搜索: 修复安全模式, 安全模式下杀毒, 还是自动关机

       许多方法不管用,只因中毒深!!!

       1)将硬盘取下，以从盘方式挂接在其他机器上，利用这个机器的系统启动后再手动杀毒即可。

       2)如果..病毒没有守护进程的话..在纯DOS下...删掉就可以了..如果有守护进程..则要找到..一起删之.

双守护进程的病毒怎么删?

        在Windows环境下，点击“开始”菜单，然后点击“运行”；2、输入msconfig，然后点击“确定”按钮；3、点击“Boot.ini”标签； 4、选择"/SAFENOOT"；5、然后点击“确定”按钮保存退出，重新启动计算机；6、重启之后出现的WindowsXP高级选项菜单和 Windows2000的类似，选择“安全模式”即可；7、如果要取消“高级选项菜单”，重复上述1-5步骤，不同的是第4步取消选择 "/SAFENOOT"。

       (此方法未验证）

电脑自动关机问题

1）硬件是否安插完整，松动，变形，断列造成系统自保护关机，特别注意显卡和内存条的安插。
2）CPU是否过热，风扇对CPU的散热效果是否达到机体的要求，芯片过热导致机器自保护自动关机。显卡过热，带风扇的显卡风扇可能损坏！
3）电源是否正常，电源电容是否突起，突起的话换了吧，电压是否达到电源要求，供电不足与电容损坏也造成机器突然断电造成关机。
4）病毒引起，木马与病毒造成机器程序错误或者CPU占有超高，影响机器正常运转，造成自保护关机。建议安全模式杀毒，然后重新分区安装系统。

CPU的正常温度
保证在温升30度的范围内一般是稳定的。也就是说，cpu的耐收温度为65度，按夏天最高35度来计算，则允许cpu温升为30度。按此类推，如果你的环境温度现在是20度，cpu最好就不要超过50度。温度当然是越低越好。不管你超频到什么程度，都不要使你的cpu高过环境温度30度以上。
现在要补充说明几点：
1. 温度和电压的问题。
温度提高是由于U的发热量大于散热器的排热量，一旦发热量与散热量趋于平衡，温度就不再升高了。发热量由U的功率决定，而功率又和电压成正比，因此要控制好温度就要控制好CPU的核心电压。不过说起来容易，电压如果过低又会造成不稳定，在超频幅度大的时候这对矛盾尤其明显。很多时候CPU温度根本没有达到临界值系统就蓝屏重起了，这时影响系统稳定性的罪魁就不是温度而是电压了。所以如何设置好电压在极限超频时是很重要的，设高了，散热器挺不住，设低了，U挺不住。
2. 各种主板的测温方式不尽相同，甚至同一个品牌、型号的主板，由于测温探头靠近CPU的距离差异，也会导致测出的温度相差很大。因此，笼统的说多少多少温度安全是不科学的。我认为在夏天较高室温条件下自己跑一跑super Pi或3DMark，只要稳定通过就可以了，不必过分相信软件测试的温度数据。
3. 究竟什么叫稳定，这也一直是大家喜欢讨论的热点问题。
计算机是电子产品，各部件配合异常微妙，没有人能说我的电脑绝对稳定，稳定是相对的。在合理的范围内超频，可以抵御大多数微小的不稳定因素可能带来的灾难性后果；在硬件的极限边缘超频，一个极细小的电流波动都有可能带来一连串的后继反应，最终可能就把你的屏幕变蓝了或变黑了：）具体量化到多少频率才是稳定的这个问题只有针对具体的情况了，而且也没有任何公式可以套用，只能凭借经验和亲身实践。因此这里再次提醒一些问“我的电脑可以超频到多少”的朋友，还是自己按照科学的超频步骤试一下吧！


~~~~~~
一般进BIOS里面就可以知道.

给你推荐几个CPU控温软件，你就可以了解温度的变化了
一、Waterfall pro
Waterfall Pro(下载地址：新浪下载中心)是一款老牌的电脑制冷软件，体积小、功能强大，可以有效控制CPU温度的上升，优化CPU速度，监视CPU占用率和电源消费量。

二、CPUIdle
CpuIdle(下载地址：新浪下载中心)能够显著降低CPU运行时的温度，延长其使用寿命，同时还能降低CPU的功耗。与其它节能软件不同的是，即使是在超负荷工作的情况下，CpuIdle仍然能够发挥明显的效果。

三、SoftCooler II
SoftCooler(下载地址：新浪下载中心)是一款绿色芯片降温软件，具有占用系统资源和内存空间少的优点，无须进行任何设置，解压后就可直接使用。

四、VCool
VCool(下载地址：新浪下载中心)是一款专门为AMD CPU“量身定做”的降温软件。而且是款绿色软件，使用非常简单，占用系统资源少，针对AMD CPU的降温效果还不错。

五、CPU降温圣手
CPU降温圣手(下载地址：新浪下载中心)是一款体积小巧的CPU降温软件，系统内核处理采用汇编技术，直接对CPU单元进行优化，适合所有型号的CPU产品，对CPU起到良好的优化和保护作用。

~~~~~~

分清电脑自动关机的原因

　　一、软件

1．病毒破坏

自从有了计算机以后不久，计算机病毒也应运而生。当网络成为当今社会的信息大动脉后，病毒的传播更加方便，所以也时不时的干扰和破坏我们的正常工作。比较典型的就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒，发作时还会提示系统将在60秒后自动启动。其实，早在DOS时代就有不少病毒能够自动重启你的计算机。

对于是否属于病毒破坏，我们可以使用最新版的杀毒软件进行杀毒，一般都会发现病毒存在。当然，还有一种可能是当你上网时被人恶意侵入了你的计算机，并放置了木马程序。这样对方能够从远程控制你计算机的一切活动，当然也包括让你的计算机重新启动。对于有些木马，不容易清除，最好重新安装操作系统。

2．系统文件损坏

当系统文件被破坏时，如Win2K下的KERNEL32.DLL，Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏，系统在启动时会因此无法完成初始化而强迫重新启动。你可以做个试验，把WIN98目录下的字库“FONTS”改名试一试。当你再次开机时，我们的计算机就会不断的重复启动。

对于这种故障，因为无法进入正常的桌面，只能覆盖安装或重新安装。

3．定时软件或计划任务软件起作用

如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时，当定时时刻到来时，计算机也会再次启动。对于这种情况，我们可以打开“启动”项，检查里面有没有自己不熟悉的执行文件或其他定时工作程序，将其屏蔽后再开机检查。当然，我们也可以在“运行”里面直接输入“Msconfig”命令选择启动



二、硬件

1．市电电压不稳

一般家用计算机的开关电源工作电压范围为170V－240V，当市电电压低于170V时，计算机就会自动重启或关机。因为市电电压的波动我们有时感觉不到，所以就会误认为计算机莫名其妙的自动重启了。

解决方法：对于经常性供电不稳的地区，我们可以购置UPS电源或130－260V的宽幅开关电源来保证计算机稳定工作。

2．插排或电源插座的质量差，接触不良

市面上的电源插排多数质量不好，内部的接点都是采用手工焊接，并且常采用酸性助焊剂，这样容易导致在以后的使用中焊点氧化引起断路或者火线和零线之间漏电。因为手工焊接，同时因为采用的磷黄铜片弹性差，用不了多长时间就容易失去弹性，致使与主机或显示器的电源插头接触不良而产生较大的接触电阻，在长时间工作时就会大量发热而导致虚接，这时就会表现为主机重新启动或显示器黑屏闪烁。

还有一个可能是我们家里使用的墙壁插座，多数墙壁插座的安装都不是使用专业人员，所以插座内部的接线非常的不标准，特别这些插座如果我们经常使用大功率的电暖器时就很容易导致内部发热氧化虚接而形成间歇性的断电，引起计算机重启或显示器眨眼现象。

解决方法：

① 不要图省钱而购买价廉不物美的电源排插，购买一些名牌的电源插排，因为其内部都是机器自动安装压接的，没有采用手工焊接。

② 对于是否属于墙壁插座内部虚接的问题，我们可以把主机换一个墙壁插座试一试，看是否存在同样的自动重启问题。
3．计算机电源的功率不足或性能差

这种情况也比较常见，特别是当我们为自己主机增添了新的设备后，如更换了高档的显卡，增加了刻录机，添加了硬盘后，就很容易出现。当主机全速工作，比如运行大型的3D游戏，进行高速刻录或准备读取光盘，刚刚启动时，双硬盘对拷数据，就可能会因为瞬时电源功率不足而引起电源保护而停止输出，但由于当电源停止输出后，负载减轻，这时电源再次启动。因为保护后的恢复时间很短，所以给我们的表现就是主机自动重启。

还有一种情况，是主机开关电源性能差，虽然电压是稳定的也在正常允许范围之内，但因为其输出电源中谐波含量过大，也会导致主机经常性的死机或重启。对于这种情况我们使用万用表测试其电压时是正常的，最好更换一台优良的电源进行替换排除。

解决方法：现换高质量大功率计算机电源。

4．主机开关电源的市电插头松动，接触不良，没有插紧

这种情况，多数都会出现在DIY机器上，主机电源所配的电源线没有经过3C认证，与电源插座不配套。当我们晃动桌子或触摸主机时就会出现主机自动重启，一般还会伴有轻微的电打火的“啪啪”声。

解决方法：更换优质的3C认证电源线。

5．主板的电源ATX20插座有虚焊，接触不良

这种故障不常见，但的确存在，主要是在主机正常工作时，左右移动ATX20针插头，看主机是否会自动重启。同时还要检查20针的电源插头内部的簧片是否有氧化现象，这也很容易导致接触电阻大，接触不良，引起主机死机或重启。有时还需要检查20针插头尾部的连接线，是否都牢靠。

解决方法：

① 如果是主板焊点虚焊，直接用电烙铁补焊就可以了。注意：在对主板、硬盘、显卡等计算机板卡焊接时，一定要将电烙铁良好接地，或者在焊接时拔下电源插头。

② 如果是电源的问题，最好是更换一台好的电源。

6．CPU问题

CPU内部部分功能电路损坏，二级缓存损坏时，计算机也能启动，甚至还会进入正常的桌面进行正常操作，但当进行某一特殊功能时就会重启或死机，如画表，播放VCD，玩游戏等。

解决办法：试着在CMOS中屏蔽二级缓存（L2）或一级缓存（L1），看主机是否能够正常运行；再不就是直接用好的CPU进行替换排除。如果屏蔽后能够正常运行，还是可以凑合着使用，虽然速度慢些，但必竟省钱了。

7．内存问题

内存条上如果某个芯片不完全损坏时，很有可能会通过自检（必竟多数都设置了POST），但是在运行时就会因为内存发热量大而导致功能失效而意外重启。多数时候内存损坏时开机会报警，但内存损坏后不报警，不加电的故障都还是有的。最好使用排除法，能够快速确定故障部位。

8．光驱问题

如果光驱内部损坏时，也会导致主机启动缓慢或不能通过自检，也可能是在工作过程中突然重启。对于后一种情况如果是我们更换了光驱后出现的，很有可能是光驱的耗电量不同而引起的。大家需要了解的是，虽然光驱的ATPI接口相同，但不同生产厂家其引脚定义是不相同的，如果我们的硬盘线有问题时，就可能产生对某一牌子光驱使用没有问题，但对其他牌子光驱就无法工作的情况，这需要大家注意。

9．RESET键质量有问题

如果RESET开关损坏，内部簧片始终处于短接的位置时，主机就无法加电自检。但是当RESET开关弹性减弱或机箱上的按钮按下去不易弹起时，就会出现在使用过程中，因为偶尔的触碰机箱或者在正常使用状态下而主机突然重启。所以，当RESET开关不能按动自如时，我们一定要仔细检查，最好更换新的RESET按钮开关或对机箱的外部按钮进行加油润滑处理。

还有一种情况，是因为机箱内的RESET开关引线在焊接时绝缘层剥离过多，再加上使用过程中多次拆箱就会造成RESET开关线距离过近而引起碰撞，导致主机自动重启。

10．接入网卡或并口、串口、USB接口接入外部设备时自动重启

这种情况一般是因为外设有故障，比如打印机的并口损坏，某一脚对地短路，USB设备损坏对地短路，网卡做工不标准等，当我们使用这些设备时，就会因为突然的电源短路而引起计算机重启。



三、其他原因

1．散热不良或测温失灵

CPU散热不良，经常出现的问题就是CPU的散热器固定卡子脱落，CPU散热器与CPU接触之间有异物，CPU风扇长时间使用后散热器积尘太多，这些情况都会导致CPU散热不良，积聚温度过高而自动重启。

还有就是CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏，主板上的BIOS有BUG在某一特殊条件下测温不准，这些都会引起主机在工作过程中自动保护性重启。

最后就是我们在CMOS中设置的CPU保护温度过低也会引起主机自动重启。

2．风扇测速失灵

当CPU风扇的测速电路损坏或测速线间歇性断路时，因为主板检测不到风扇的转速就会误以为风扇停转而自动关机或重启，但我们检查时可能看到CPU风扇转动正常，并且测速也正常。

3．强磁干扰

不要小看电磁干扰，许多时候我们的电脑死机和重启也是因为干扰造成的，这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰，也有来自外部的动力线，变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良，就会出现主机意外重启或频繁死机的现象。


~~~~~~
ShutDown命令
＝用法: shutdown <-i | -l | -s | -r | -a> <-f> <-m \computername> <-t xx> <-c "comment"> <-d up:xx:yy>
没有参数 显示此消息(与 ? 相同)
-i 显示 GUI 界面，必须是第一个选项
-l 注销(不能与选项 -m 一起使用)
-s 关闭此计算机
-r 关闭并重启动此计算机
-a 放弃系统关机
-m \computername 远程计算机关机/重启动/放弃
-t xx 设置关闭的超时为 xx 秒
-c "comment" 关闭注释(最大 127 个字符)
-f 强制运行的应用程序关闭而没有警告
-d

:xx:yy 关闭原因代码
u 是用户代码
p 是一个计划的关闭代码
xx 是一个主要原因代码(小于 256 的正整数)
yy 是一个次要原因代码(小于 65536 的正整数)
-f：强行关闭应用程序
-m \计算机名：控制远程计算机
-i：显示图形用户界面，但必须是Shutdown的第一个选项
-l：注销当前用户
-r：关机并重启
-t时间：设置关机倒计时
-c "消息内容"：输入关机对话框中的消息内容(不能超127个字符

2、举例：

关闭计算机 shutdown –s （方法：”开始”->”运行”->”shutdown -s”->”确定”）

延迟3秒关闭计算机 shutdown –s –t 3（方法：”开始”->”运行”->”shutdown –s –t 3”->”确定”）

取消关闭计算机 shutdown –a （方法：”开始”->”运行”->”shutdown –a”->”确定”）

3、应用：
(1)您如果想在1小时后自动关闭计算机，比如：您正在下载一个软件或一部电影，而您有急事要去丽水，您会怎么办？停止下载？太可惜了！继续？下载完后电脑怎么关闭？不用愁！您可以使用该命令解决：

shutdown –s –t 3600 (系统在3600秒后关闭计算机，时间自定)

您就放心地去丽水了，而不用担心您的计算机长期开着了。

(2)出现RPC漏洞而导致倒计时自动关机，使用该命令取消倒计时自动关机：

shutdown –a （方法：”开始”->”运行”->”shutdown –a”->”确定”）

前一段时间的网络病毒非常猖獗，如震荡波、冲击波等就是针对WindowsXP的RPC(远程过程调用)漏洞设计的，它导致系统倒计时自动关机，很多同学、老师头痛不已。如下图：



(3)利用Shutdown命令 实现网络统一关机

　　笔者所在单位下班后常有很多老师不关电脑，领导发现后要求解决这个问题。我想如果到各办公室去查看，这很费时，于是就想能否通过一台电脑把所有的机器都关掉。因为所有的办公用机安装的都是Windows XP系统，就想到了使用远程关机“Shutdown”命令。具体方法如下：

　　步骤1 单击“开始→运行”，在对话框中输入“Gpedit.msc”，单击<确定>，打开“组策略编辑器”。

　　步骤2 在“组策略编辑器”窗口的左边打开“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，在右边的窗口选择“从远端系统强制关机”。在弹出的对话框中显示目前只有“Administrators”组的成员才有权远程关机；单击对话框下方的<添加用户或组>按钮，然后在弹出的对话框中输入“Heyongsheng”(管理员账号)，再单击<确定>。

　　步骤3 这时在“从远端系统强制关机”的属性中便添加了一个“Heyongsheng”用户，单击<确定>，最后关闭“组策略编辑器”窗口。

　　对各办公室的电脑进行上述操作后，我们便给每台计算机的“Heyongsheng”用户授予了远程关机的权限。到下班时，我只要在自己的机器上进行以下操作：

　　步骤4单击“开始→运行”，在对话框中输入“Shutdown -I”，屏幕上将显示“远程关机”对话框(图1)。
图1 远程关机控制窗口
(4)用XP的ShutDown.exe实现服务器定时重启
Windows XP的关机是由Shutdown.exe程序来控制的，位于WindowsSystem32文件夹中。如果想让Windows 2000也实现同样的效果，可以把Shutdown.exe复制到系统目录System32下。
首先当然要求主板必须支持软件关机功能，否则你还得亲自去按电源开关才能关机，现在的主板一般都支持软件关机。操作步骤：单击“开始”/程序/附件/系统工具中"计划任务"，弹出计划任务窗口，然后双击"添加已计划的任务"，运行“计划任务向导”，按“浏览”，找到WINDOWS目录中的Rundll32.exe 文件，单击"打开"按钮，在出现的对话框中键入该任务的名字(如"定时关机")，执行方式选择“每天” ，然后按“下一步”选择定时关机时间(可以先试一下比现在机器上显示的时间晚1分钟)，下一步选中“当单击完成打开该任务的高级属性”，单击"完成"，最后右击"定时关机"来打开属性，在运行栏输入“C:WINNTsystem32shutdown.exe -r -t 1”，单击"确定"不久，OK了。
4.结论：WindowsXP中的shutdown命令功能很强大，你可以去尝试使用，挖掘出功能，为我们服务

~~~~~~

Windows关机故障的处理办法

通过**作系统支持的ACPI(Advanced Configuration and Power Interface，高级系统配置和电源管理)技术来实现的(当然ACPI的功能不仅仅是自动关机)。ACPI是由英特尔、微软和东芝等多家公司共同开发的，可以在BIOS之上通过****作系统进行电源管理。该技术要求主板控制芯片和其他I/O芯片与***作系统建立标准联系通道，使**作系统可以通过瞬间软电源开关(MSPS：Momentary Soft Power Switch)进行电源管理。
　　因此，只有在硬件(控制芯片)、电源(ATX电源)及****作系统(Win98以上版本)都支持ACPI技术的前提下，自动关机才能实现。因此，为了保证自动关机的实现，在BIOS设置中，必须把“ACPI fnuction”设置为“Enabled”；同时必须启用APM(高级电源管理)功能。
　　自动关机是一个比较复杂的过程，它是由系统进程Csrss和Winlogon配合并调用关机函数ShutdownSystem来完成的，这个函数进一步调用SetSystemPowerState关闭驱动程序和其他的当前执行程序子系统(如即插即用管理器、电源管理器、执行程序、IO管理器、配置管理器、内存管理器等)。此外，执行自动关机时，系统还要检查当前系统中各种外部设备的状态以及尚未关闭的应用程序的状态，处理各个数据缓冲器中的数据等。如果在上述工作中发生错误就不能正常关机。因此一般说来在关机之前应该使各种外设停止工作，关闭所有的应用程序后再行关机。
　　在Windows系统中的确常常出现自动关机失败的情况，下面谈谈具体的原因和处理办法：
　　1.系统文件中自动关机程序有缺陷。为了确认是否是这个原因所致，可以作下述实验。在“开始/运行”中输入命令：“rundll32 user.exe，exitwindows”，看看能否正常关机。如果在这个命令下可以正常关机，表示自动关机程序可能有某种缺陷，如果使用的是Win98系统，请在“开始/程序/附件/系统工具/系统信息/工具/系统文件检查器”检查系统文件的完整性和修补文件。如果采用其他系统(Me/2000/XP)，也可在相应的项目中完成文件修补。如果修补文件仍然不能解决问题，只能重新安装系统。而运行“rundll32 user.exe,exitwindows”也不能正常关机，则可能是****作系统中某些系统程序有缺陷，但是处理办法仍然是修补系统或者重新安装系统。
　　2.病毒和某些有缺陷的应用程序或者系统任务有可能造成关机失败。首先查杀病毒，在关机之前关闭所有的应用程序。由于有些应用程序是系统启动时加载的，因此可在“启动”菜单(在“开始/运行”中输入命令：“msconfig”)中逐个减去加载的程序，以便看看有无影响关机的文件(当然要重新启动之后才能生效)。
　　3.外设和驱动程序兼容性不好，不能响应快速关机。可在“开始/运行”中输入命令：“msconfig”，在“常规”标签页中选择“高级”，在打开的窗口中选择“禁用快速关机”。如果怀疑外设有故障，也可以逐个卸载外设进行检查，以便找到有影响的外设。
　　4.如果设置了在关闭Windows时使用声音文件，当该文件被破坏时也可以造成关机失败。请在“控制面板/声音/事件”中选择“退出Windows”项，把声音名称设置为“无”。这样处理之后如果能够正常关机，则表示的确是该原因所致，可重新安装声音文件供使用。
　　5.在Win98自动关闭时将显示“现在可以安全地关闭计算机了”，这个内容是由Windows目录下的“logos.sys”文件完成的，如果这个文件损坏则不能出现上述提示，而以文本形式提示：“you can now safely turn off you computer”，这也可能造成自动关机失败，恢复该文件即可。
　　6.安装WinXP后不能自动关机，如果排除了上述各种原因后，有可能是其控制面板中的电源选项设置不正确，请检查你的设置，保证ACPI和APM能够正常工作。也有的主板系统BIOS中的APM(高级电源管理)和Win XP之间不完全兼容(以AMI BIOS为多)，因此不能自动关机。选择关机却变成重新启动系统，在这种情况下只能手动关机了(按下电源开关保持4秒钟后放开，如果少于4秒钟则无效)。解决问题的根本办法是升级主板的系统BIOS，采用新的版本。(zt)

电脑进入安全模式自动关机

1．病毒
“冲击波”病毒发作时还会提示系统将在60秒后自动启动。
木马程序从远程控制你计算机的一切活动，包括让你的计算机重新启动。
清除病毒，木马，或重装系统。
2．系统文件损坏
系统文件被破坏，如Win2K下的KERNEL32.DLL，Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏，系统在启动时会因此无法完成初始化而强迫重新启动。
解决方法：覆盖安装或重新安装。
3．定时软件或计划任务软件起作用
如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时，当定时时刻到来时，计算机也会再次启动。对于这种情况，我们可以打开“启动”项，检查里面有没有自己不熟悉的执行文件或其他定时工作程序，将其屏蔽后再开机检查。当然，我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。

二、硬件方面

1．机箱电源功率不足、直流输出不纯、动态反应迟钝。
用户或装机商往往不重视电源，采用价格便宜的电源，因此是引起系统自动重启的最大嫌疑之一。
①电源输出功率不足，当运行大型的3D游戏等占用CPU资源较大的软件时，CPU需要大功率供电时，电源功率不够而超载引起电源保护，停止输出。电源停止输出后，负载减轻，此时电源再次启动。由于保护/恢复的时间很短，所以给我们的表现就是主机自动重启。

②电源直流输出不纯，数字电路要求纯直流供电，当电源的直流输出中谐波含量过大，就会导致数字电路工作出错，表现是经常性的死机或重启。

③CPU的工作负载是动态的，对电流的要求也是动态的，而且要求动态反应速度迅速。有些品质差的电源动态反应时间长，也会导致经常性的死机或重启。

④更新设备（高端显卡/大硬盘/视频卡），增加设备（刻录机/硬盘）后，功率超出原配电源的额定输出功率，就会导致经常性的死机或重启。
解决方法：现换高质量大功率计算机电源。

2．内存热稳定性不良、芯片损坏或者设置错误
内存出现问题导致系统重启致系统重启的几率相对较大。
①内存热稳定性不良，开机可以正常工作，当内存温度升高到一定温度，就不能正常工作，导致死机或重启。

②内存芯片轻微损坏时，开机可以通过自检（设置快速启动不全面检测内存），也可以进入正常的桌面进行正常操作，当运行一些I/O吞吐量大的软件（媒体播放、游戏、平面/3D绘图）时就会重启或死机。

解决办法：更换内存。

③把内存的CAS值设置得太小也会导致内存不稳定，造成系统自动重启。一般最好采用BIOS的缺省设置，不要自己改动。

3．CPU的温度过高或者缓存损坏
①CPU温度过高常常会引起保护性自动重启。温度过高的原因基本是由于机箱、CPU散热不良，CPU散热不良的原因有：散热器的材质导热率低，散热器与CPU接触面之间有异物（多为质保帖），风扇转速低，风扇和散热器积尘太多等等。还有P2/P3主板CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏，主板上的BIOS有BUG在某一特殊条件下测温不准，CMOS中设置的CPU保护温度过低等等也会引起保护性重启。

②CPU内部的一、二级缓存损坏是CPU常见的故障。损坏程度轻的，还是可以启动，可以进入正常的桌面进行正常操作，当运行一些I/O吞吐量大的软件（媒体播放、游戏、平面/3D绘图）时就会重启或死机。

解决办法：在CMOS中屏蔽二级缓存（L2）或一级缓存（L1），或更换CPU排除。

4．AGP显卡、PCI卡（网卡、猫）引起的自动重启
①外接卡做工不标准或品质不良，引发AGP/PCI总线的RESET信号误动作导致系统重启。

②还有显卡、网卡松动引起系统重启的事例。

5. 并口、串口、USB接口接入有故障或不兼容的外部设备时自动重启
①外设有故障或不兼容，比如打印机的并口损坏，某一脚对地短路，USB设备损坏对地短路，针脚定义、信号电平不兼容等等。

②热插拔外部设备时，抖动过大，引起信号或电源瞬间短路。

6．光驱内部电路或芯片损坏
光驱损坏，大部分表现是不能读盘/刻盘。也有因为内部电路或芯片损坏导致主机在工作过程中突然重启。光驱本身的设计不良，FireWare有Bug。也会在读取光盘时引起重启。

7．机箱前面板RESET开关问题
机箱前面板RESET键实际是一个常开开关，主板上的RESET信号是+5V电平信号，连接到RESET开关。当开关闭合的瞬间，+5V电平对地导通，信号电平降为0V，触发系统复位重启，RESET开关回到常开位置，此时RESET信号恢复到+5V电平。如果RESET键损坏，开关始终处于闭合位置，RESET信号一直是0V，系统就无法加电自检。当RESET开关弹性减弱，按钮按下去不易弹起时，就会出现开关稍有振动就易于闭合。从而导致系统复位重启。

解决办法：更换RESET开关。
还有机箱内的RESET开关引线短路，导致主机自动重启。

8. 主板故障
主板导致自动重启的事例很少见。一般是与RESET相关的电路有故障；插座、插槽有虚焊，接触不良；个别芯片、电容等元件损害。

三、其他原因

1．市电电压不稳
①计算机的开关电源工作电压范围一般为170V－240V，当市电电压低于170V时，计算机就会自动重启或关机。

解决方法：加稳压器（不是UPS）或130－260V的宽幅开关电源。

②电脑和空调、冰箱等大功耗电器共用一个插线板的话，在这些电器启动的时候，供给电脑的电压就会受到很大的影响，往往就表现为系统重启。

解决办法就是把他们的供电线路分开。

2．强磁干扰
不要小看电磁干扰，许多时候我们的电脑死机和重启也是因为干扰造成的，这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰，也有来自外部的动力线，变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良，就会出现主机意外重启或频繁死机的现象。

3、交流供电线路接错
有的用户把供电线的零线直接接地（不走电度表的零线），导致自动重启，原因是从地线引入干扰信号。

4．插排或电源插座的质量差，接触不良。
电源插座在使用一段时间后，簧片的弹性慢慢丧失，导致插头和簧片之间接触不良、电阻不断变化，电流随之起伏，系统自然会很不稳定，一旦电流达不到系统运行的最低要求，电脑就重启了。解决办法，购买质量过关的好插座。

5. 积尘太多导致主板RESET线路短路引起自动重启。

四、部分实例

1. CPU二级缓存坏的实例
一台几年前配置的兼容机：K6-2 200MHz CPU，采用VX-Pro+芯片组的主板，两根16MB 72线EDO内存，

Windows 98操作系统。在出现蓝天白云画面后自动重启，安全模式同样无法进入，只能进入MS-DOS模式。笔者猜想由于内存条质量问题导致电脑重启的可能性较大，所以首先更换同型号内存条测试，故障依旧。再更换电源仍无法解决问题。排除到最后只剩下主板、CPU和显卡，试过显卡没有问题后，苦于找不到能安装K6-2 200MHz CPU的旧主板只能作罢。
当时也怀疑过BIOS设置可能有误，试过恢复到缺省值，也未能解决问题。过了几天，再次摆弄电脑时，无意进入BIOS并将CPU Internal Cache一项设为Disable，保存退出后重启，系统竟然可以启动了！由此估计应当是CPU的缓存有问题，于是再将缓存设置为打开状态并启动电脑，果然系统又不能正常启动了。由于将缓存关闭后大幅度降低了CPU的性能，所以Windows 98在启动和运行程序时比以往慢了许多，最后换了一块CPU才算解决问题

2. 电源故障的实例
笔者上班的地方计算机每天都要开着（因为上网的人多），十天半月不关机是常事。在如此高的工作强度下，硬件设备的故障率也很高。

故障现象：两台兼容机，一台CPU为Athlon XP 1700+，一台CPU为P4 1.7GHz，主机电源均为世纪之星电源。当计算机处于满负荷状态运行一段时间后（此时CPU使用率保持在100%，硬盘也在大量读写数据），经常性地自动重启。其中一台在挂接一块60GB硬盘和一块80GB硬盘时，出现供电不足的现象。

故障分析处理：由于这两台计算机平时用于文档编辑、上网等一般工作时正常，只有进行大量计算时才出问题。开始怀疑是CPU温度过高所致，但检测表明温度正常。检查硬盘发现，其中一块硬盘出现了坏道，但是在更换硬盘重装系统后故障依旧，看来硬盘出现坏道很可能是计算机经常非正常重启导致的。在更换新电源后，故障消失。
拆开两个旧电源，发现其中一个电源的两个相同型号的电解电容（3300μF/10V）顶端有黄褐色的颗粒状凝结物，另一个电源的两个不同型号的电解电容（1000μF/16V，3300μF/16V）顶端也有黄褐色的颗粒状凝结物，这是电容被击穿漏液所导致的。在电子市场花钱购买了相同型号的电容更换后，经测试均恢复正常。这里提醒一下，千万别把电容正负极接反了！ 事后分析发现，笔者单位电网常因检修或用电不当突然停电，导致配件上的电容被击穿，一块主板也曾经在一次突然停电后罢工，检查发现几个大电解电容被击穿漏液，更换电容后恢复正常。

3. 显卡接触不良的实例
故障现象：朋友电脑配置为明基BenQ 77G的显示器、技嘉8IRX的主板、P4 1.6G CPU、80G硬盘、小影霸速配3000显卡、全向极云飞瀑内猫、主板自带AC97的声卡。因装修房子，要挪动电脑，就把电脑后的连线都拆了。后来自己接好线后，电脑却怎么也启动不起来了。电脑自检正常，闪过主板LOGO后，出现WINDOWS 98启动画面，接着光标闪动，一切很正常，可是约摸着快要进入系统的时候，电脑突然“嘀”的一声重启动了，重新启动几次都是这样。
故障分析：笔者的这位朋友是个纯纯的“菜鸟”，初步判断可能是一般性的接线问题，很有可能是鼠标和键盘接反导致的。先是检查了一遍电脑接线，没有问题，会不会是接线松动呢？重新把所有电脑连线接了一遍

故障依旧。启动时选安全模式能进入系统，运行也正常，重启后进入BIOS里查看CPU温度，在正常范围内，排除因CPU过热导致的重启。朋友也没安装新的硬件，故排除电源供电不足导致重启现象。引起故障的原因可能有以

下四个方面：一是软件冲突；二是显示分辨率或刷新率设置高于额定的值；三是显卡和其它硬件冲突、或驱动程序问题导致；四是显卡故障。
故障排除：问朋友发生故障前对机器进行了哪些操作？朋友说拆机前一直都用的很好，没有安装过新软件。没有蛛丝马迹，只有从上面的四个可能的故障原因里排查。重启后，进入安全模式，运行msconfig命令，把启动项里不是操作系统所必需的项都去掉，重启后，故障依旧。看来不是软件安装导致的。接下来看看是不是分辨率和刷新率过高，在安全模式下，将监视器删除，重启动，故障依旧。最后问题都集中在显卡身上了。再次进入安全模式，删除显卡驱动程序，重启动后，跳过显卡驱动安装，能进入正常启动模式，看来故障是驱动程序的问题或显卡与其它硬件冲突引起的了。下载一个新的驱动看能不能解决这个问题呢？拨号上网，机器突然又重启了，难道猫也坏了吗？这可怎么办，真的山穷水复了吗？这台电脑是因为拆了以后就启不起来了，显卡和猫总不会因搬一下机器就坏了吧？想到搬运机器，是不是因为拆装电脑时把显卡碰松导致接触不良而引起的故障呢？抱着最后试一试的心理，打开机箱，将显卡和猫拔出重新插紧安好，装好显卡驱动，重启，竟然看到美丽的桌面了，试着拨号，也没问题了，故障排除了。原来故障是显卡接触不良的导致。

小结：以上显卡接触不良导致电脑不能进入系统故障，现象有点类似显卡故障的症状，如果不从细小问题入手，还真难一时半会解决，甚至会怀疑是硬件故障，而大费周折。
回答者：7c - 魔法师 五级 4-12 14:55
看下你的CPU温度是否过高了
重新涂下硅胶 或者看下你的CPU转速是否正常
最好给机箱再装个风扇
回答者：linjiebest - 助理 三级 4-12 14:55
情况一分析：
自动关机时，如果是按正常的程序关机，并在关机后马上按电源就能开机，可以先从程序问题开始判断，打开windows启动项，检查有没有恶意程序；

情况二分析：
自动关机时，是突然断电，未按正常程序关机，属于断电关机，并在关机后，按电源开机，5、6秒后再次出现关机。打开机箱，检查CPU风扇情况，是否因温度过高，主板自动保护关机。若如此，更换新的CPU风扇。
使用5-6个小时出现无征兆关机或者重启
一般是系统温度过高引起的硬件不稳定
你应该打开机箱做几个检查
1、显卡是否有风扇 有的话风扇是否停转
2、CPU风扇是否停转 或者转动的时候又明显震动？（停转的可能性不大 因为你用了5个小时才出现重启现象）
3、清理一下板卡上的灰尘 灰尘也是引起温度积蓄的一个原因

诊断报告

1. 2008-03-08,10:23:57
   
2. System Repair Engineer 2.5.16.900
   
3. Smallfrogs (http://www.KZTechs.com)
   
4. Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
   
5. 以下内容被选中：
   
6.     所有的启动项目（包括注册表、启动文件夹、服务等）
   
7.     浏览器加载项
   
8.     正在运行的进程（包括进程模块信息）
   
9.     文件关联
   
10.     Winsock 提供者
    
11.     Autorun.inf
    
12.     HOSTS 文件
    
13.     进程特权扫描
    
14. 
    
15. 启动项目
    
16. 注册表
    
17. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    
18.     <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    
19.     <StartCCC><; C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe>  []
    
20. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    
21.     <run><>  [N/A]
    
22. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    
23.     <AVP><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe">  [(Verified)Kaspersky Lab]
    
24.     <AccelerometerSysTrayApplet><; C:\WINDOWS\system32\AccelerometerSt.exe>  [Hewlett-Packard Corporation]
    
25.     <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Windows Publisher]
    
26.     <PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Windows Publisher]
    
27.     <QlbCtrl><; %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start>  [N/A]
    
28.     <SoundMAX><; C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray>  [Analog Devices, Inc.]
    
29.     <SoundMAXPnP><; C:\Program Files\Analog Devices\Core\smax4pnp.exe>  [(Verified)Microsoft Windows Publisher]
    
30.     <SynTPEnh><; C:\Program Files\Synaptics\SynTP\SynTPEnh.exe>  [(Verified)Microsoft Windows Publisher]
    
31. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    
32.     <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    
33.     <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
    
34. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    
35.     <AppInit_DLLs><>  [N/A]
    
36. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    
37.     <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
    
38. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    
39.     <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
    
40. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    
41.     <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher]
    
42. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    
43.     <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub>  [(Verified)Microsoft Windows Publisher]
    
44. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    
45.     <N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install>  [Microsoft Corporation]
    
46. ==================================
    
47. 启动文件夹
    
48. [腾讯QQ]
    
49.   <C:\Documents and Settings\l-yy\「开始」菜单\程序\启动\腾讯QQ.lnk --> D:\qq\QQ.exe [TENCENT]><H>
    
50. ==================================
    
51. 服务
    
52. [Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
    
53.   <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
    
54. [Kaspersky Anti-Virus 7.0 / AVP][Running/Auto Start]
    
55.   <"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r><Kaspersky Lab>
    
56. [Human Interface Device Access / HidServ][Stopped/Disabled]
    
57.   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
    
58. [hpqwmiex / hpqwmiex][Running/Auto Start]
    
59.   <C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe><Hewlett-Packard Development Company, L.P.>
    
60. ==================================
    
61. 驱动程序
    
62. [197531 / 197531][Stopped/Manual Start]
    
63.   <\??\C:\WINDOWS\system32\Drivers\197500.sys><N/A>
    
64. [210890 / 210890][Stopped/Manual Start]
    
65.   <\??\C:\WINDOWS\system32\Drivers\210890.sys><N/A>
    
66. [Accelerometer / Accelerometer][Running/Manual Start]
    
67.   <system32\DRIVERS\Accelerometer.sys><Hewlett-Packard Corporation>
    
68. [ADI UAA Function Driver for High Definition Audio Service / ADIHdAudAddService][Running/Manual Start]
    
69.   <system32\drivers\ADIHdAud.sys><Analog Devices, Inc.>
    
70. [AE Audio Service / AEAudio][Running/Manual Start]
    
71.   <system32\drivers\AEAudio.sys><Andrea Electronics Corporation>
    
72. [AMD Processor Driver / AmdK8][Running/System Start]
    
73.   <system32\DRIVERS\AmdK8.sys><Advanced Micro Devices>
    
74. [ati2mtag / ati2mtag][Running/Manual Start]
    
75.   <system32\DRIVERS\ati2mtag.sys><ATI Technologies Inc.>
    
76. [Broadcom NetLink Gigabit Ethernet / b57w2k][Running/Manual Start]
    
77.   <system32\DRIVERS\b57xp32.sys><Broadcom Corporation>
    
78. [Broadcom 802.11 网络适配器驱动程序 / BCM43XX][Stopped/Manual Start]
    
79.   <system32\DRIVERS\bcmwl5.sys><Broadcom Corporation>
    
80. [eabfiltr / eabfiltr][Running/System Start]
    
81.   <system32\DRIVERS\eabfiltr.sys><Hewlett-Packard Development Company, L.P.>
    
82. [HBtnKey / HBtnKey][Running/Manual Start]
    
83.   <system32\DRIVERS\cpqbttn.sys><Hewlett-Packard Development Company, L.P.>
    
84. [Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 / HDAudBus][Running/Manual Start]
    
85.   <system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
    
86. [HP Disk Filter Driver / hpdskflt][Running/Boot Start]
    
87.   <\SystemRoot\system32\DRIVERS\hpdskflt.sys><Hewlett-Packard Corporation>
    
88. [kl1 / kl1][Running/Boot Start]
    
89.   <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
    
90. [klif / klif][Running/System Start]
    
91.   <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
    
92. [Kaspersky Anti-Virus NDIS Filter / klim5][Running/Manual Start]
    
93.   <system32\DRIVERS\klim5.sys><Kaspersky Lab>
    
94. [Direct Parallel Link Driver / Ptilink][Running/Manual Start]
    
95.   <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
    
96. [Srramdisk Driver / RRamdisk][Running/Boot Start]
    
97.   <\SystemRoot\system32\DRIVERS\rramdisk.sys><gavotte>
    
98. [Secdrv / Secdrv][Stopped/Manual Start]
    
99.   <system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
    
100. [Synaptics TouchPad Driver / SynTP][Running/Manual Start]
     
101.   <system32\DRIVERS\SynTP.sys><Synaptics, Inc.>
     
102. ==================================
     
103. 浏览器加载项
     
104. [网络反病毒 统计]
     
105.   {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll, Kaspersky Lab>
     
106. [AxInputControl Class]
     
107.   {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\DOWNLO~1\INPUTC~1.DLL, N/A>
     
108. [Shockwave Flash Object]
     
109.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx, Adobe Systems, Inc.>
     
110. [Shockwave Flash Object]
     
111.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx, Adobe Systems, Inc.>
     
112. [添加到QQ表情]
     
113.   <D:\qq\AddEmotion.htm, N/A>
     
114. ==================================
     
115. 正在运行的进程
     
116. [PID: 960][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
117. [PID: 1024][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
118. [PID: 1060][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
119.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
     
120.     [C:\WINDOWS\system32\Ati2evxx.dll]  [ATI Technologies Inc., 6.14.10.4158]
     
121. [PID: 1104][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
122. [PID: 1116][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
123. [PID: 1304][C:\WINDOWS\system32\Ati2evxx.exe]  [ATI Technologies Inc., 6.14.10.4158]
     
124.     [C:\WINDOWS\system32\Ati2edxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2510]
     
125.     [C:\WINDOWS\system32\atipdlxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2515]
     
126. [PID: 1336][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
127. [PID: 1476][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
128.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll]  [Kaspersky Lab, 7.0.0.125]
     
129. [PID: 1660][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
130.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
     
131. [PID: 1700][C:\WINDOWS\system32\Ati2evxx.exe]  [ATI Technologies Inc., 6.14.10.4158]
     
132.     [C:\WINDOWS\system32\Ati2edxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2510]
     
133.     [C:\WINDOWS\system32\atipdlxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2515]
     
134.     [C:\WINDOWS\system32\ati2evxx.dll]  [ATI Technologies Inc., 6.14.10.4158]
     
135. [PID: 1728][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
136.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
     
137. [PID: 1916][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
138.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
     
139. [PID: 284][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
     
140.     [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
     
141.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll]  [Kaspersky Lab, 7.0.0.125]
     
142.     [C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll]  [, 2, 0, 0, 0]
     
143. [PID: 728][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
144. [PID: 844][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
145. [PID: 1012][C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe]  [Hewlett-Packard Development Company, L.P., 2, 0, 1, 9]
     
146. [PID: 496][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
     
147. [PID: 3064][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
     
148.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
     
149.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll]  [Kaspersky Lab, 7.0.0.125]
     
150.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll]  [Kaspersky Lab, 7.0.0.125]
     
151.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\klscav.dll]  [Kaspersky Lab, 7.0.0.125]
     
152.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\prremote.dll]  [Kaspersky Lab, 7.0.0.125]
     
153.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\prloader.dll]  [Kaspersky Lab, 7.0.0.125]
     
154.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\prkernel.ppl]  [Kaspersky Lab, 7.0.0.125]
     
155.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\params.ppl]  [Kaspersky Lab, 7.0.0.125]
     
156.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\pxstub.ppl]  [Kaspersky Lab, 7.0.0.125]
     
157.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\tempfile.ppl]  [Kaspersky Lab, 7.0.0.125]
     
158.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\nfio.ppl]  [Kaspersky Lab, 7.0.0.125]
     
159.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\fsdrvplg.ppl]  [Kaspersky Lab, 7.0.0.125]
     
160.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\basegui.ppl]  [Kaspersky Lab, 7.0.0.125]
     
161.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\thpimpl.ppl]  [Kaspersky Lab, 7.0.0.125]
     
162.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\FSSync.dll]  [Kaspersky Lab, 7.0.5.125]
     
163.     [c:\program files\kaspersky lab\kaspersky anti-virus 7.0\winreg.ppl]  [Kaspersky Lab, 7.0.0.125]
     
164.     [C:\WINDOWS\system32\mscoree.dll]  [Microsoft Corporation, 2.0.50727.832 (QFE.050727-8300)]
     
165.     [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorie.dll]  [Microsoft Corporation, 2.0.50727.832 (QFE.050727-8300)]
     
166.     [C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx]  [Adobe Systems, Inc., 9,0,115,0]
     
167. [PID: 2832][D:\TDDOWNLOAD\sreng2\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
     
168.     [D:\TDDOWNLOAD\sreng2\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]
     
169.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
     
170.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll]  [Kaspersky Lab, 7.0.0.125]
     
171. ==================================
     
172. 文件关联
     
173. .TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
     
174. .EXE  OK. ["%1" %*]
     
175. .COM  OK. ["%1" %*]
     
176. .PIF  OK. ["%1" %*]
     
177. .REG  OK. [regedit.exe "%1"]
     
178. .BAT  OK. ["%1" %*]
     
179. .SCR  OK. ["%1" /S]
     
180. .CHM  OK. ["C:\WINDOWS\hh.exe" %1]
     
181. .HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
     
182. .INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
     
183. .INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
     
184. .VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
     
185. .JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
     
186. .LNK  OK. [{00021401-0000-0000-C000-000000000046}]
     
187. ==================================
     
188. Winsock 提供者
     
189. N/A
     
190. ==================================
     
191. Autorun.inf
     
192. N/A
     
193. ==================================
     
194. HOSTS 文件
     
195. 127.0.0.1       localhost
     
196. ==================================
     
197. 进程特权扫描
     
198. N/A
     
199. ==================================
     
200. API HOOK
     
201. RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
     
202. RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
     
203. RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
     
204. RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
     
205. RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
     
206. ==================================
     
207. 隐藏进程
     
208. N/A
     
209. ==================================

复制代码

木马的所有隐藏启动方式介绍
　木马的最大的特点之一就是它一定是要和系统一起启动而启动，否则它就完全失去了意义！！！

　　方法一：注册表启动项:这个大家可能比较熟悉，请大家注意以下的注册表键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows

　　\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

　　这里只要有“run”敏感字眼的都要仔细)

　　方法二：利用系统文件

　　可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 当系统启动的时候，上述这些文件的一些内容是可以随着系统一起加载的，从而可以被木马利用

　　用文本方式打开 C:\Windows 下面的system.ini文件 我们会看到

　　其它的几个所述文件也是经常被用来利用，从而达到开机启动的目的的；

　　方法三：系统启动组

　　依次点开“开始”------“程序”------“启动”

　　WINXP: C:\Documents and Settings\gillispie\[开始]菜单\程序\启动

　　WIN98: C:\WINDOWS\Start Menu\Programs\启动

　　对应的注册表键值：

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

　　方法四：利用文件关联：

　　例如：正常情况下txt文件的打开方式为Notepad.exe文件，如果一旦中了文件关联类的木马，这样打开一个txt文件，原本应该用Notepad打开该文件的，现在却变成了启动木马程序了。

　　解决文件的关联问题有两种方法：

　　①修改注册表：

　　如果木马是关联的EXE文件：

　　找到键值：

　　HKEY_CLASSES_ROOT\exefile\shell\open\command

　　HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

　　②进入控制面版，选择文件夹选项-----------文件类型

　　然后点击"高级" 在弹出的菜单中选择“应用程序”

　　方法五：利用服务加载

　　系统要正常的运行，就少不了一些服务，一些木马通过加载服务来达到随系统启动的目的

　　控制面板--------管理工具------服务

　　通过 net start 服务名（开启服务）

　　net stop 服务名（关闭服务）

完全解析木马驻留系统的方式


　   木马病毒，我们大家都是非常的熟悉，这个病毒传播危害大，那么它都通过那些方式传播的你知道吗？　
  　
　　第一招：利用系统启动文件
　　1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
　　2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
　　3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
　　4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据

  
　　第二招：关联类型文件使木马运行
　　在业内著名的木马冰河就是这样启动的，它关联的是exe类型的文件，方法如下：(以下方法是我在我的win2003中测试通过的)
　　注册表 ClassRoot 下的.exe 文件打开方式为exefile，我们就找到exefile子键，然后exefile该键下有一个shell子键，在shell子键下有open子键，在open下有command子键，command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了
　　当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊
   
　　第三招：文件捆绑使木马运行

　　捆绑和关联文件不同，关联是修改注册表，但捆绑类似于病毒的“感染”，就是把木马的进程感染到其他的执行文件上，业内著名木马“网络公牛 - Netbull”就是利用这种方法进行启动。
　　网络公牛服务端名称newserver.exe,运行后自动脱壳到c:\windows\system\checkdll.exe目录下，下次开机自动运行,同时服务端在运行时会自动捆绑以下文件：
　　win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
　　winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
　　并且自动搜索系统启动项程序，捆绑之。比如qq.exe realplay.exe
　　除非把以上文件全部删除，否则无法清除，但系统文件删除后系统就无法正常运行，所以大多数人只能重装系统。确实牛。

   
　　第四招： 进程保护
　　两个木马进程，互相监视，发现对方被关闭后启动对方。技术其实不神秘，方法如下：
while (true)
{
System.Threading.Thread.Sleep(500);
  //检查对方进程是否关闭，关闭的话再打开。
}

  
　　第五招：巧用启动文件夹
　　开始菜单的启动文件夹内的文件在系统启动后会随系统启动，假如将一个exe文件或exe文件的快捷方式复制到启动文件夹内，太明显，但设置隐藏属性后不会被系统启动。
　　有一个办法，将启动文件夹改名为启动a,并将该文件隐藏，然后再新建一个启动文件夹，将原启动文件夹内的所有内容复制到新建的启动文件夹，这样就可以了。(其实系统还是会启动原来的启动文件夹内的内rogn，也就是现在被改为"启动a"的文件夹，而现在我们新建的"启动"文件夹只是一个摆设而已，因为在这里的"启动a"对应着注册表local_machine\software\microsoft\windows\currentversion\explorer\startmenu内的common startup键值，当我们更该原来系统的启动文件夹的名字为"启动a"的时候该键值也会改为“C:\Documents and Settings\All Users\开始\Programs\启动a”)
　　另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子键来实现自启动，和run不同，run是系统启动后加载,runservices是系统登录时就启动
　　在系统根目录下放置Explorer.exe文件，在Explorer.exe文件中去启动正常的Explorer.exe文件，可以在C盘和D盘下都放上。

专家教你：七种最常见木马的清除方法

　网络公牛（Netbull）
　　
　　网络公牛是国产木马，默认连接端口23444。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件:
　　
　　 win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。
　　
　　服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上，在注册表中网络公牛也悄悄地扎下了根。
　　
　　网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。
　　
　　清除方法：
　　
　　 1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
　　
　　 2.把网络公牛在注册表中所建立的键值全部删除：
　　
　　 3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。
　　
　　 Netspy（网络精灵）
　　
　　 Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了。服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C\windows\system\netspy.exe，用于在系统启动时自动加载运行。
　　
　　清除方法：
　　
　　 1.重新启动机器并在出现Staringwindows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：delnetspy.exe；
　　
　　 2.进入HKEY_LOCAL_MACHINE\
　　
　　 Software\microsoft\windows\CurrentVersion\Run\，删除Netspy的键值即可安全清除Netspy。
　　
　　 SubSeven
　　
　　 SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k，很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此很难查。
　　
　　清除方法：
　　
　　 1.打开注册表Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\
　　
　　 Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器=“c:\windows\system\***”。注：加载器和文件名是随意改变的
　　
　　 2.打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。
　　
　　 3.打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。
　　
　　 4.重新启动Windows，删除相对应的木马程序，一般在c:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。
　　
　　冰河
　　
　　我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sy***plr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sy***plr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sy***plr.exe就会被激活，它将再次生成Kernel32.exe。
　　
　　清除方法：
　　
　　 1.删除C:\Windows\system下的Kernel32.exe和Sy***plr.exe文件；
　　
　　 2.冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它；
　　
　　 3.在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下，还有键值为C:\windows\system\Kernel32.exe的，也要删除；
　　
　　 4.最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由表中木马后的C:\windows\system\Sy***plr.exe%1改为正常的C:\windows\notepad.exe%1，即可恢复TXT文件关联功能。
　　
　　网络神偷（Nethief）
　　
　　网络神偷是个反弹端口型木马。什么叫“反弹端口”型木马呢？与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务端的IP地址:1026客户端的IP地址:80ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。
　　
　　清除方法：
　　
　　 1.网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为“internet.exe/s”，将键值删除；
　　
　　 2.删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
　　
　　广外女生
　　
　　 “广外女生”是是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！
　　
　　清除方法：
　　
　　 1.启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它；
　　
　　 2.我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；
　　
　　 3.回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；
　　
　　 4.找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1"%*；
　　
　　 5.删除注册表中名称为“DiagnosticConfiguration”的键值；
　　
　　 6.关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。
　　
　　 WAY2.4
　　
　　 WAY2.4是国产木马程序，默认连接端口是8011。WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽。看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。
　　
　　清除方法：
　　
　　用进程管理工具查看，你会发现进程CWAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。
　　
　　要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到DoS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了。注意在删除前请做好备份。

做个病毒猎手 教你捕获计算机病毒样本

1 、蠕虫 /特洛伊木马类
　　这类病毒一般不感染其它的正常可执行文件，它会像正常的软件一样 "安装 "在系统中，只不过 "安装 "过程是秘密的。它们一般会更改系统配置文件及注册表：
一、更改系统的相关配置文件（这种情况主要是针对 95/98/me系统）。
　　病毒可能会更改 autoexec.bat，只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。
　　更改 drive:\windows\win.ini或者 system.ini文件。病毒通常会在 win.ini的 "run="后面加入病毒自身的文件名，或者在 system.ini文件中将 "shell="更改。

  
二、更改注册表健值。
　　目前，只要新出的蠕虫 /特洛伊木马类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方：
　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
　　说明：在系统启动时自动执行的程序
　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
　　说明：在系统启动时自动执行的系统服务程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
　　说明：在系统启动时自动执行的程序，这是病毒最有可能修改 /添加的地方。例如： Worm.Netsky.h病毒将增加： HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"antivirus" = "%WINDIR%\maja.exe -antivirus service"
　　HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
　　说明：此键值相当于在 Win.ini的 "run="加入病毒自身文件名，能使在系统启动时自动激活病毒。
　　HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
　　说明：此键值相当于在 System.ini的 "shell="加入病毒自身文件名，能使在系统启动时自动激活病毒。
　　HKEY_CLASSES_ROOT\exefile\shell\open\command
　　说明：此键值能使病毒在用户运行任何 EXE程序时被运行，即文件关联键值。以此类推，..\txtfile\.. 或者 ..\comfile\.. 也可被更改，以便实现病毒自动运行的功能。

　　另外，有些键值还可能被利用来实现比较特别的功能：

　　如有些病毒会通过修改下面的键值来阻止用户查看和修改注册表：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
　　System\DisableRegistryTools =
　　从以上键值找出可疑文件文件名，然后全盘查找这些文件作为附件上报。


2 、引导型病毒
　　计算机硬盘或者软盘引导区可能被病毒感染，而已有的杀毒软件不能检测出来，或检测出有病毒而不能清除，这种情况下，请用户提取引导型病毒样本：
　　方法一、使用瑞星 DOS杀毒工具提取
　　第一步：用瑞星光盘或瑞星 DOS盘启动计算机；
　　第二步：在瑞星 DOS杀毒软件界面【实用工具】选项卡中，选择【提取硬盘引导区信息】，随即弹出窗口提示用户插入软盘，选择【确定】即可开始提取硬盘引导区信息到软盘中；
　　第三步：您可以将保存有硬盘引导区信息的软盘寄送到瑞星公司，或者把软盘中的引导区信息文件作为附件上报。
　　方法二、使用引导区信息提取工具提取
　　第一步：到瑞星网站下载引导区信息提取工具并拷贝到一张软盘中；
　　第二步：用瑞星光盘或其他干净的系统盘启动计算机；
　　第三步：将拷贝了引导区信息提取工具的软盘插入软盘驱动器，并按如下格式运行
　　命令格式： GETBOOT 【 Drive】
　　格式说明：【 Drive】指待提取信息的磁盘驱动器名，在 GETBOOT之后需要输入一个空格。
　　附：
　　举例一：提取 A驱动器软盘引导区的信息到 Boot.dmp文件，文件保存在 A盘的操作命令
　　A:\GETBOOT A:
　　举例二：提取硬盘引导区的信息到 Boot.dmp和 Mbr.dmp两个文件，文件保存在 A盘上，操作命令
　　A:\GETBOOT C:
　　第四步：您可以将保存有硬盘引导区信息的软盘寄送到瑞星公司，或者把软盘中的引导区信息文件作为附件上报。
   
3 、宏病毒类
　　1 ）可直接将 Word、 Excel、 PowerPoint的模板文件 (Word 为 Normal.dot、 Excel 位于 xlStart 目录下所有文件 )拷贝下来即可，可以用查找方式找到，然后作为附件上报。
　　2 ）使用瑞星杀毒软件扫描时报告有“ Unkown Macro Virus”病毒名（即未知宏病毒）的文件，作为附件上报。

  
4 、电子邮件病毒
　　收到可疑的电子邮件，如包含附件是： .exe、 .com、 .scr、 .pif、 .lnk、 .bat等的特殊邮件，请用户将这封邮件（含其附件）作为附件上报。

5 、感染文件的病毒（文件型）
　　此类病毒在 dos/Win3x时代是最常见的，现在已经不是很常见了。此类病毒最明显的特征是将自身代码加入到正常文件中，因此一般情况下（也有特例，使用压缩功能将代码放置于文件的冗余处使得文件长度不变）受感染的文件字节长度会增加。
　　简单的判断方法是与正常的系统文件进行比较，字节增加的就是可疑文件。如果不放心可使用系统自带的比较命令 "fc.exe"进行比较：
例如：将可疑的 notepad.exe文件改名为 notepad-vir.exe，再将此文件与正常的 notepad.exe文件放在同一个目录中，执行： fc notepad-vir.exe notepad.exe 如果不同，则会提示两个文件的不同代码位置；如果相同，则会提示“找不到相异处”。
   
6 、脚本 /恶意代码类
　　1）此类病毒很多利用 ie漏洞进行传播，一般都是 .js、 .htt、 .as、 .vbs、 .htm、 .html、 .asp等类型文件。比如 redlof（红色结束符病毒）更改系统的 folder.htt文件。这类病毒有的会更改本地的网页文件（ asp,htm,php等），一般会在正常文件后部增加脚本代码。找到这些被修改的网页文件作为附件上报。
　　2 ）用瑞星杀毒软件扫描时报告为 Unkown Script Virus（未知脚本病毒）的文件请作为附件上报。
　　3 ）如果浏览某网站后出现系统异常，用户可以利用瑞星听诊器上传提取的报告，并在邮件正文描述具体的计算机中病毒的现象。
　　在病毒已经激活的情况下，比较常见的病毒都可通过以上方法找到其样本文件。

木马如何利用文件关联和设置名称
       我们知道，在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序，使之开机时自动运行，类似“Run”这样的子键在注册表中还有几处，均以“Run”开头，如RunOnce、RunServices等。除了这种方法，还有一种修改注册表的方法也可以使程序自启动。
　　具体说来，就是更改文件的打开方式，这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说，打开注册表，展开注册表到HKEY_CLASSES_ROOTexefileshell
　　opencommand，这里是exe文件的打开方式，默认键值为：“%1”%*。如果把默认键值改为Trojan.exe“%1”%*，您每次运行exe文件，这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式，而大名鼎鼎的木马冰河采用的是也与此相似的一招??关联txt文件。
　　对付这种隐藏方法，主要是经常检查注册表，看文件的打开方式是否发生了变化。如果发生了变化，就将打开方式改回来。最好能经常备份注册表，发现问题后立即用备份文件恢复注册表，既方便、快捷，又安全、省事。
　　木马对设备名的利用
　　大家知道，在Windows下无法以设备名来命名文件或文件夹，这些设备名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹，让木马可以躲在那里而不被发现。
　　具体方法是：点击“开始”菜单的“运行”，输入cmd.exe，回车进入命令提示符窗口，然后输入md c:con命令，可以建立一个名为con的目录。默认请况下，Windows是无法建立这类目录的，正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux命令，可以建立aux目录，输入md c:prn可以建立prn目录，输入md c:com1目录可以建立Com1目录，而输入md c: ul则可以建立一个名为nul的目录。在资源管理器中依次点击试试，您会发现当我们试图打开以aux或com1命名的文件夹时，explorer.exe失去了响应，而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中，从而达到隐藏、保护木马程序的目的。
　　现在，我们可以把文件复制到这个特殊的目录下，当然，不能直接在Windows中复制，需要采用特殊的方法，在CMD窗口中输入copy muma.exe .c:aux命令，就可以把木马文件muma.exe复制到C盘下的aux文件夹中，然后点击“开始”菜单中的“运行”，在“运行”中输入c:aux muam.exe，就会成功启动该木马。我们可以通过点击文件夹名进入此类特殊目录，不过，如果您要试图在资源管理器中删除它，会发现这根本就是徒劳的，Windows会提示找不到该文件。
　　由于使用del c:aux命令可以删除其中的muma.exe文件，所以，为了达到更好的隐藏和保护效果，下木马者会把muma.exe文件也改名，让我们很难删除。具体方法就是在复制木马文件到aux文件夹时使用命令copy muma.exe .c:con.exe，就可以把木马文件muma.exe复制到aux目录中，并且改名为con.exe，而con.exe文件是无法用普通方法删除的。
　　可能有的朋友会想，这个con.exe文件在“开始”菜单的“运行”中无法运行啊。其实不然，只要在命令行方式下输入cmd /c .c:con就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过，下木马者一般来说会对其进行改进，方法有很多，可以利用开机脚本，也可以利用cmd.exe的autorun：在注册表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一个字串AutoRun，值为要运行的.bat文件或.cmd文件的路径，如c:winntsystem32auto.cmd，如果建立相应的文件，它的内容为@.c:con，就可以达到隐蔽的效果。
　　对于这类特殊的文件夹，发现后我们可以采用如下方法来删除它：先用del .c:con.exe命令删除con.exe文件(该文件假设就是其中的木马文件名)，然后再用rd .c:aux命令删除aux文件夹即可。
　　好了，文章到这里就结束了。由于水平有限，文中如有不正确或值得商榷的地方欢迎大家批评指点，另外，写作时曾参阅过网上高手们的帖子，受益匪浅，在此一并谢过!
　　不过，AutoRun不仅能应用于光盘中，同样也可以应用于硬盘中(要注意的是，AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看AutoRun.inf文件的内容吧。
　　打开记事本，新建一个文件，将其命名为AutoRun.inf，在AutoRun.inf中键入以下内容：
　　[AutoRun]
　　Icon=C:WindowsSystemShell32.DLL,21
　　Open=C:Program FilesACDSeeACDSee.exe
　　其中，“[AutoRun]”是必须的固定格式，一个标准的AutoRun文件必须以它开头，目的是告诉系统执行它下面几行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是给硬盘或光盘设定一个个性化的图标，“Shell32.DLL”是包含很多Windows图标的系统文件，“21”表示显示编号为21的图标，无数字则默认采用文件中的第一个图标;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要运行程序的路径及其文件名。
　　如果把Open行换为木马文件，并将这个AutoRun.inf文件设置为隐藏属性，我们点击硬盘时就会启动木马。
　　为防止遭到这样的“埋伏”，可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主键下，在右侧窗口中找到“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能，如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机，设置就会生效。

恢复EXE文件关联的方法
1,先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”，然后运行它，依次找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command，双击“默认”字符串，将其数值改为"%1" %*就可以了。
2,在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联。
3,打开“我的电脑”，进入菜单“工具”→“文件夹选项”→“文件类型”，这时在现有的文件类型中找不到扩展名为exe的文件类型，没关系，单击“新建”弹出“新建扩展名”对话框，在“文件扩展名”框中填入“exe”，接着单击“高级”，在“关联的文件类型”下拉框中选择“应用程序”，单击“确定”返回，最后单击“应用”后关闭对话框。


EXE文件关联丢失的解决方法
一个十分棘手的问题，就是进入Windows 2000后所有扩展名为EXE的文件都不能运行了。现将发现和解决这一问题的过程及体会写成下文，希望在今后碰到类似问题时会对大家有所帮助。
故障现象
一日，开机后进入Windows 2000，突然弹出了一个对话框，标题为“C:\Program Files\Microsoft office\OSA9.EXE”，
提示信息为“该文件没有关联程序执行该操作。请在控制面板的文件夹选项中创建关联程序”。我十分吃惊，心想：会不会所有扩展名为EXE的文件都不能运行？果然，双击桌面上所有与EXE文件链接的快捷方式图标都不能打开相应的程序！这下我可急出了一身冷汗。
故障分析
一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了，因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令，选择“文件类型”标签，在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮，在“文件扩展名”后输入“.exe”，按[高级]按钮，系统自动将其文件类型定义为“应用程序”，按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”，选择它后按[更改]按钮，系统要求选择要使用的程序，可是到底要选择什么应用程序来打开EXE文件？看来这个方法无效，只好按[取消]按钮返回“文件夹选项”对话框。由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联，所以在“已注册的文件类型”列表中选择“EXE应用程序”，并按[删除]按钮将它删除。由于所有EXE文件都不能执行，所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表，看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键，出现“Windows 2000高级选项菜单”，选其中的“最后一次正确的配置”，进入Windows 2000时仍然报错。只好再次重新启动，这次选“安全模式”，虽然没有报错，但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项，启动成功后在命令提示符窗口的命令行输入：help | more(“|”是管道符号，在键盘上位于Backspace键左边)，在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC显示或修改文件扩展名关联”。心中顿时一喜，别急，按任意键继续查看，又看到了如下信息“FTYPE Displays or modifies file types used in file extension associations.”，大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”，原来在命令提示符窗口还隐藏着这两个特殊命令，可以用来设置文件扩展名关联。于是，在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用方法接着通过下面的设置，终于解决了EXE文件不能运行的故障。
故障解决
先在命令行command输入：assoc .exe来显示EXE文件关联，系统显示“没有为扩展名.exe找到文件关联”，难怪EXE文件都不能执行。接着输入：ftype | more来分屏显示系统中所有的文件类型，其中有一行显示为“exefile="%1" %*”，难道只要将EXE文件与“exefile”关联，故障就会解决？于是在命令行输入：assoc .exe=exefile(assoc与.exe之间有一空格)，屏幕显示“.exe=exefile”。现在关闭命令提示符窗口，按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口，按[关机]按钮后选择“重新启动”选项，按正常模式启动Windows 2000后，所有的EXE文件都能正常运行了。
几点体会
事后，重新在控制面板中执行文件夹选项命令，选择“文件类型”标签，发现在“已注册的文件类型”列表中没有EXE，也没有BAT和COM等文件类型，说明用文件夹选项命令无法创建这些类型的文件关联，我们只能在命令提示符窗口中用ASSOC和FTYPE两个命令来设置。 另外，利用regedit.com的方法应该是最行之有效的办法。
1、修改regedit.exe 为 regedit.com
2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,键值为"%1" %*

系统自动关机故障解决方法(ZT)



对于Windows XP来说，由于其采用了安全性能较高的NT内核，系统运行还算稳定，除了关机速度较慢之外，一般情况下很少发生关机故障。但有时在关闭Windows XP时却莫名其妙地重启，该故障是Windows XP操作系统关机故障中最容易出现的故障。造成该故障的原因可能有以下几方面原因:

系统设置

Windows XP默认情况下，当系统出现错误时会自动重新启动，这样当用户关机时，如果关机过程中系统出现错误就会重新启动计算机。将该功能关闭往往可以解决自动重启的故障。

在桌面上右键点击“我的电脑”，在弹出的右键菜单中选择“属性”，弹出“系统属性”窗口，点选“高级”选项卡，点击“启动和故障恢复”栏目中的“设置”按钮，弹出“启动和故障恢复”窗口。在“系统失败”栏目中将“自动重新 启动”选项前的对勾去掉，点“确定”按钮。

高级电源管理

众所周知，关机是与电源管理密切相关的，造成关机故障的原因很有可能是电源管理对系统支持不好造成的。

点击“开始→设置→控制面板→性能与维护→电源选项”，在弹出的窗口中，根据需要启用或取消“高级电源支持”即可。如果你在故障发生时使用的是启用“高级电源支持”，就试着取消它，如果在故障发生时，你使用的是取消“高级电源支持”就试着启用它，故障往往会迎刃而解。

USB设备

现在是USB设备大行其道之时，什么U盘、鼠标、键盘、Modem等等，应有尽有。殊不知这些USB设备往往是造成关机故障的罪魁祸首。当出现关机变成重启故障时，如果你的电脑上接有USB设备，请先将其拔掉，再试试，如果确信是USB设备的故障，那么最好是换掉该设备，或者是连接一个外置USB Hub，将USB设备接到USB Hub上，而不要直接连到主板的USB接口上。
安全模式下杀毒。

首先谈谈Windows系统自动关机的条件。在Win98及更高版本的系统中都支持自动关机，即不通过电源的物理开关实现关机。自动关机是通过操作系统支持的ACPI（Advanced Configuration and Power Interface，高级系统配置和电源管理）技术来实现的（当然ACPI的功能不仅仅是自动关机）。ACPI是由英特尔、微软和东芝等多家公司共同开发的，可以在BIOS之上通过操作系统进行电源管理。该技术要求主板控制芯片和其他I／O芯片与操作系统建立标准联系通道，使操作系统可以通过瞬间软电源开关（MSPS：Momentary Soft Power Switch）进行电源管理。因此，只有在硬件（控制芯片）、电源（ATX电源）及操作系统（Win98以上版本）都支持ACPI技术的前提下，自动关机才能实现。因此，为了保证自动关机的实现，在BIOS设置中，必须把“ACPI fnuction ”设置为“Enabled”；同时必须启用APM（高级电源管理）功能。
自动关机是一个比较复杂的过程，它是由系统进程Csrss和Winlogon配合并调用关机函数Shutdown Systen来完成的，这个函数进一步调用SetSystenPowerState关闭驱动程序和其它的当前执行程序子系统（如即插即用管理器、电源管理器、IO管理器 、配置管理器、内存管理器等）。此外，执行自动关机时，系统还要检查当前系统中各种外部设备的状态以及尚未关闭的应用程序的状态，处理各个数据缓冲器中的数据等。如果在上述工作中发生错误就不能正常关机。因此一般说来在关机之前应该使各种外设停止工作，关闭所有的应用程序后再行关机。
在Windows系统中的确常常出现自动关机失败的情况，下面谈谈具体的原因和处理办法。

1． 系统文件中自动关机程序有缺陷。为了确认是否是这个原因所致，可以作下述实验。在“开始／运行”中输入命令“rundll32 user.exe,exitwindows”看看能否正常关机。如果在这个命令下可以正常关机，表示自动关机程序可能有某种缺陷，如果使用的是Win98系统，请在“开始／程序／附件／系统工具／系统信息／工具／系统文件检查器”检查系统文件的完整性和修补文件。如果采用其它系统（Me/2000/XP），也可在相应的项目中完成文件修补。如果修补文件仍然不能解决问题，只能重新安装系统。而运行“rundll32 user.exe,exitwindows”也不能正常关机，则可能是操作系统中某些系统程序有缺陷，但是处理办法仍然是修补系统或者重新安装系统。

2． 毒和某些有缺陷的应用程序或者系统任务有可能造成关机失败。首先查杀病毒，在关机之前关闭所有的应用程序。由于有些应用程序是系统启动时加载的，因此可在“启动”菜单（在“开始／运行”中输入命令：“msconfig”）中逐个减去加载的程序，以便看看有无影响关机的文件（当然要重新启动之后才有生效）。

3． 外设和驱动程序兼容性不好，不能响应快速关机。可在“开始／运行”中输入命令：“msconfig”，在“常规”标签页中选择“高级”，在打开的窗口中选择“禁用快速关机”。如果怀疑外设有故障，也可以逐个卸载外设进行检查，以便找到有影响的外设。

4． 如果设置了在关闭Windows时使用声音文件，当该文件被破坏时也可以造成关机失败。请在“控制面板／声音／事件”中选择“退Windows”项，把声音名称设置为“无”。这样处理之后如果能够正常关机，则表示的确是该原因所致，可重新安装声音文件供使用。

5． 在Win98自动关闭时将显示“现在可以安全地关闭计算机了”，这个内容是由Windows目录下的“logos.sys”文件完成的，如果这个文件损坏则不能出现上述提示，而以文本形式提示：“you can now safely turn off you computer”，这也可能造成自动关机失败，恢复该文件即可。

6． 安装WinXP后不能自动关机，如排除了上述各种原因后，有可能是其控制面板中的电源选项设置不正确，请检查你的设置，保证ACPI和APM能够正常工作。也有的主板系统BIOS中的APM（高级电源管理）和Win XP之间不完全兼容（以AMI BIOS为多），因此不能自动关机。选择关机却变成重新启动系统，在这种情况下只能手动关机了（按下电源开关保持4秒钟后放开，如果少于4秒则无效）。解决问题的根本办法是升级主板的系统BIOS，采用新的版本。



还有~
Windows无法关机
造成这个故障的原因很多，解决方法：
1） 电脑硬件的原因造成的。
主板BIOS不能很好支持ACPI，建议升级主板的BIOS，一般就可以解决。
电脑的电源质量不好导致了无法正常关机。建议换一个质量好的电源。
2） 电脑软件的原因造成的。
检查Bootlog.txt文件。下面所列出的记录都可能造成电脑关机失败，可以根据自己电脑中启动盘根目录下的Bootlog.txt中所显示的情况，找出原因：
Terminate=Query Drivers 驱动程序有问题
Terminate=Unload Network 不能加载网络驱动程序冲突
Terminate=Reset Display 显卡设置或显示卡驱动程序有问题
Terminate=RIT 声卡或某些旧的鼠标驱动程序和计时器有关的问题
Terminate=WIN32 某些32位应用程序锁定了系统线程
3）检查【高级电源管理（APM）】：打开【开始】|【设置】|【控制面板】|【系统】，再点【设备管理器】。展开【系统设备】|【高级电源管理】，单击【设置】选项，去掉【强制使用APM方式】前的对号。重新启动计算机后如能正常关机，则问题的原因可能在于APM，应关闭高级电源管理功能。
4）禁用快速关机：点【开始】|【运行】菜单，在命令框里输入“msconfig”后点击【确定】，这时候就出现【系统配置实用程序】窗口。点击【常规】页面，再点击【高级】选项，在此时出现的【高级疑难解答设置】窗口中，将【禁用快速关机】前面的选择框选中就可以了。如果计算机正常关机，则说明快速关机这一项有问题。
5）检查是不是关机的时候已经把应用程序全部关闭了。如果没有关闭，可以关闭全部应用程序。因为有些应用软件可能没有正常关闭，而系统也不能正常结束该应用程序，从而导致出现故障。
6）在您使用IE 5或更高版本上网时要注意，它们在退出后仍然占用大量的系统资源，通常使系统的可用资源不足80%，在这之后运行其他软件就很容易出错，很可能导致系统无法软关机。
7）一些软件在结束时，可能会因为所做的某些操作对系统数据或文件产生影响而导致系统无法正常关机。这种情况区别于软件的设计不良，这可能是系统自身对自己的保护不利，有时也与多任务有关。虽然Windows XP具有多任务的特性，但一些大的软件在多任务同时执行时很容易引起故障，如非法操作、蓝屏故障和死机等。这种情况造成的无法关机的问题通常在下次开机时就不出现了。
8）一些程序的BUG或一些16位软件也有可能破坏内存中的系统数据或文件。驻留内存的软件也容易引起冲突，从而导致系统关机异常。找出具有这样问题的软件也不是很容易，选择"开始"*"程序"*"附件"*"系统工具"*"系统信息"，打开"Microsoft系统信息"对话框，选择"工具"*"系统配置实用程序"，可以设置允许或禁止"启动"中的多个驻留Windows XP的程序。其他有问题的应用软件就只能在长时间的使用过程中去寻找它们的弊端，以便及时避免错误.