Remove or Reset Trend Micro OfficeScan Uninstall Password to Default

1. Search for Ofcscan.ini file. Normally the file is located in C:\Windows folder for Windows 95 and Windows 98, or C:\WINNT directory for Windows NT and Windows 2000. In newer operating system, the Ofcscan.ini can be saved in C:\Program Files\ folder.
2. Open the Ofcscan.ini file using Notepad for editing.
3. Search for the [INI_CLIENT_SECTION] section heading.
4. Locate the line starting with Uninstall_Pwd=. Comment the line (make it inactive by typing a # at the beginning of the line, i.e. #Uninstall_Pwd=…..
5. Insert a new line beneath the existing line as following:

Uninstall_Pwd=70
6. Save the Ofcscan.ini file.
7. Try to uninstall Trend Microsoft OfficeScan again. When prompted to enter a password to continue to uninstall, enter 1 as the password.

硬盘加密的几种方法

　一、修改硬盘分区表信息

　　硬盘分区表信息对硬盘的启动至关重要，如果找不到有效的分区表，将不能从硬盘启动或即使从软盘启动也找不到硬盘。通常，第一个分区表项的第0子节为80h，表示c盘为活动dos分区，硬盘能否自举就依靠它。若将该字节改为00h，则不能从硬盘启动，但从软盘启动后，硬盘仍然可以访问。分区表的第4字节是分区类型标志，第一分区的此处通常为06h，表示c盘为活动dos分区，若对第一分区的此处进行修改可对硬盘起到一定加密作用。
　　具体表现在：
　　1.若将该字节改为0，则表示该分区未使用，当然不能再从c盘启动了。从软盘启动后，原来的c盘不见了，你看到的c盘是原来的d盘，d盘是原来的e盘，依此类推。
　　2.若将此处字节改为05h，则不但不能从硬盘启动，即使从软盘启动，硬盘的每个逻辑盘都不可访问，这样等于整个硬盘被加密了。另外，硬盘主引导记录的有效标志是该扇区的最后两字节为55aah。若将这两字节变为0，也可以实现对整个硬盘加锁而不能被访问。硬盘分区表在物理0柱面0磁头1扇区，可以用norton for win95中的diskedit直接将该扇区调出并修改后存盘。或者在debug下用int 13h的02h子功能将0柱面0磁头1扇区读到内存，在相应位置进行修改，再用int 13h的03h子功能写入0柱面0磁头1扇区就可以了。上面的加密处理，对一般用户来讲已足够了。但对有经验的用户，即使硬盘不可访问，也可以用int 13h的02h子功能将0柱面0磁头1扇区读出，根据经验将相应位置数据进行修改，可以实现对硬盘解锁，因为这些位置的数据通常是固定的或有限的几种情形。另外一种保险但显得笨拙的方法是将硬盘的分区表项备份起来，然后将其全部变为0，这样别人由于不知道分区信息，就无法对硬盘解锁和访问硬盘了。

　　二、对硬盘启动加口令

　　我们知道，在cmos中可以设置系统口令，使非法用户无法启动计算机，当然也就无法使用硬盘了。但这并未真正锁住硬盘，因为只要将硬盘挂在别的计算机上，硬盘上的数据和软件仍可使用。要对硬盘启动加口令，可以首先将硬盘0柱面0磁头1扇区的主引导记录和分区信息都储存在硬盘并不使用的隐含扇区，比如0 柱面0磁头3扇区。然后用debug重写一个不超过512字节的程序(实际上100多字节足矣)装载到硬盘0柱面0磁头1扇区。该程序的功能是执行它时首先需要输入口令，若口令不对则进入死循环；若口令正确则读取硬盘上存有主引导记录和分区信息的隐含扇区(0柱面0磁头3扇区)，并转去执行主引导记录。由于硬盘启动时首先是bios调用自举程序int 19h将主硬盘的0柱面0磁头1扇区的主引导记录读入内存0000：7c00h处执行，而我们已经偷梁换柱，将0柱面0磁头1扇区变为我们自己设计的程序。这样从硬盘启动时，首先执行的不是主引导程序，而是我们设计的程序。在执行我们设计的程序时，口令若不对则无法继续执行，也就无法启动了。即使从软盘启动，由于0柱面0磁头1扇区不再有分区信息，硬盘也不能被访问了。当然还可以将我们设计的程序像病毒一样，将其中一部分驻留在高端内存，监视int 13h的使用，防止0柱面0磁头1扇区被改写。

　　三、对硬盘实现用户加密管理

　　unix操作系统可以实现多用户管理，在dos系统下，将硬盘管理系统进行改进，也可实现类似功能的多用户管理。该管理系统可以满足这样一些要求： 1.将硬盘分为公用分区c和若干专用分区d。其中“超级用户”来管理c区，可以对c区进行读写和更新系统；“特别用户”(如机房内部人员)通过口令使用自己的分区，以保护自己的文件和数据；“一般用户”(如到机房上机的普通人员)任意使用划定的公用分区。后两种用户都不能对c盘进行写操作，这样如果把操作系统和大量应用软件装在c盘，就能防止在公共机房中其他人有意或无意地对系统和软件的破坏，保证了系统的安全性和稳定性。 2.在系统启动时，需要使用软盘钥匙盘才能启动系统，否则硬盘被锁住，不能被使用。此方法的实现可通过利用硬盘分区表中各逻辑盘的分区链表结构，采用汇编编程来实现。

　　四、对某个逻辑盘实现写保护

　　我们知道，软盘上有写保护缺口，在对软盘进行写操作前，bios要检查软盘状态，如果写保护缺口被封住，则不能进行写操作。而写保护功能对硬盘而言，在硬件上无法进行，但可通过软件来实现。在dos系统下，磁盘的写操作包括几种情况：①在command.com支持下的写操作，如md、rd、copy等；②在dos功能调用中的一些子功能如功能号为10h、13h、3eh、5bh等可以对硬盘进行写操作；③通过int 26h将逻辑扇区转换为绝对扇区进行写；④通过int 13h的子功能号03h、05h等对磁盘进行写操作。 但每一种写操作最后都要调用int 13h的子功能去实现。因此，如果对int 13h进行拦截，可以实现禁止对硬盘特定逻辑盘的写操作。由于磁盘上文件的写操作是通过int 13h的03h子功能进行写，调用此子功能时，寄存器cl表示起始扇区号(实际上只用到低6位)；ch表示磁道号，在硬盘即为柱面号，该柱面号用10位表示，其最高两位放在cl的最高两位。对硬盘进行分区时可以将硬盘分为多个逻辑驱动器，而每个逻辑驱动器都是从某一个完整的柱面开始。如笔者的硬盘为 2.5gb，分为c、d、e、f、g五个盘。其中c盘起始柱面号为00h，d盘起始柱面号为66h，e盘起始柱面号为e5h，f盘起始柱面号为 164h，g盘起始柱面号为26bh。如果对int 13h进行拦截，当ah=03h，并且由cl高两位和ch共同表示的柱面号大于e4h并小于164h，就什么也不做就返回，这样就可以实现对e盘禁止写。

忘记系统登入密码的十几种解决办法

在网上传的解决方法无非就是那几种（也算不少了，你看下面，有一些方法实际上是包括不同方案的一类，这样算起来的话……有14个方法呢！），不过，这些方法是否都可以用呢？我不知道——相信在座的许多人都不知道，那些大虾帖出方法就“消失”了，而没什么人站出来说哪个方法是无效的……所以，我花一下午整理出来，现在贴上来，请有用过如下方法的朋友回复告诉我使用效果，我会更正

首先提议：

如果你是一个很容易遗忘的人，那么一定不要忘记在第一次设置密码的同时创建一张可以恢复windows xp中的账户密码的启动盘，它可以让你免去格式化硬盘的烦恼。

　　从“控制面板”中找到“用户账户”项，选中自己的账户进入如图所示的控制界面，我们可以看到左侧任务列表中有一项“阻止一个已忘记的密码”，点击后便可打开“忘记密码向导”，向导会提示插入一张格式化过的空白磁盘，操作过程中会让你输入该账户所使用的密码，很快便可以创建一张密码重设盘。

　　以后，当我们忘记了账户密码的时候，在没有使用“欢迎屏幕”登录方式的情况下登录到windows xp后，按下“ctrl + alt + del”组合键，出现“windows 安全”窗口，点击选项中“更改密码”按钮，出现更改密码窗口。这个窗口中，将当前用户的密码备份，点击左下角“备份”按钮，激活“忘记密码向导”，按照提示创建密码重设盘。

　　如果在windows xp的登录窗口输入了错误的密码，就会弹出“登录失败”窗口，如果你的确想不起来自己的密码是什么时，可点击“重设”按钮，启动密码重设向导，通过刚才所创建的密码重设盘，就可以用这张密码重设盘更改密码并启动系统。重新设定密码，登录windows xp。

　“密码重设盘”的创建，含有一定的危险性，因为任何人都可以使用这一张“密码重设盘”来登录windows xp，都可以以该用户的名义进入用户帐户，操作真正用户所能操作的一切，所以必须将“密码重设盘”保存在适当的地方，以防丢失或失泄密。
　　
---------------------------------------

方法1——利用“administrator”（此方法适用于管理员用户名不是“administrator”的情况）

　　我们知道在安装windows xp过程中，首先是以“administrator”默认登录，然后会要求创建一个新账户，以进入windows xp时使用此新建账户登录，而且在windows xp的登录界面中也只会出现创建的这个用户账号，不会出现“administrator”，但实际上该“administrator”账号还是存在的，并且密码为空。

　　当我们了解了这一点以后，假如忘记了登录密码的话，在登录界面上，按住ctrl+alt键，再按住del键二次，即可出现经典的登录画面，此时在用户名处键入“administrator”，密码为空进入，然后再修改“zhangbp”的口令即可。

---------------------------------------------

方法2——删除sam文件（注意，此法只适用于win2000）

windows nt/2000/xp中对用户帐户的安全管理使用了安全帐号管理器（security account manager , sam）的机制，安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识完全不同。因此，一旦某个帐号被用户名重建帐号，也会被赋予不同的安全标识，不会保留原来的权限。安全帐号管理器的具体表现就是%systemroot%\system32\config\sam文件。sam文件是windows nt/2000/xp的用户帐户数据库，所有用户的登录名以及口令等相关信息都会保存在这个文件中。

知道了这些，我们的解决办法也产生了：删除sam文件，启动系统，它会重建一个干净清白的sam，里面自然没有密码了。

不过，这么简单的方法在xp是不适用的，可能微软以此为bug，做了限制……所以现在在xp系统下，即使你删除了sam，还是不能删除密码，反而会使系统启动初始化出错，从而进入死循环而不能进系统！！
---------------------------------------------

方法3——从sam文件中找密码（前提……会使用dos基本命令就行）

在系统启动前，插入启动盘，进入：c:\winnt\system3\config\ 用copy命令将sam文件复制到软盘上。拿到另一台机子读取。这里需要的工具是lc4，运行lc4，打开并新建一个任务，然后依次击 “import→import from sam file”，打开已待破解的sam文件，此时lc4会自动分析此文件，并显示出文件中的用户名；之后点击“session→begin audit”，即可开始破解密码。如果密码不是很复杂的话，很短的时间内就会得到结果。

　　不过，如果密码比较复杂的话，需要时间会很长，这时我们就需要用下面的方法了。
---------------------------------------------

方法4——用其他sam文件覆盖（前提是你可以得到另外一台电脑的sam文件和它的密码……个人觉得是最为可行的办法）

1——如上所说，sam文件保存着登录名以及口令，那么我们只要替换sam文件就是替换登录名以及口令了。不过，这个替换用的sam文件的 “产地”硬盘分区格式要和你的系统一样（看是fat32还是ntfs，你自己确认）。最好这个“产地”的系统没有设密码，安全方面设置没动过（实际上很大部分的个人电脑都是这样），当然，比较保险的方式是把xp的[win nt\system 32\config\]下的所有文件覆盖到[c：\win nt\system 32\config\]目录中（假设你的xp安装在默认分区c：），

2——如果得不到别人的帮助（我是说“万一”），你可以在别的分区上在安装一个xp系统，硬盘分区格式要和原来的一样，并且请你注意一定不要和原来的xp安装在同一分区！在开始之前，一定要事先备份引导区mbr，备份mbr的方法有很多，使用工具软件，如杀毒软件kv3000等。装完后用administrator登陆，现在你对原来的xp就有绝对的写权限了，你可以把原来的sam考下来，用10phtcrack得到原来的密码。也可以把新安装的xp的win nt\system 32\config\下的所有文件覆盖到c：\win nt\system 32\config\目录中（架设原来的xp安装在这里），然后用kv3000恢复以前悲愤的主引导区mbr，现在你就可以用administrator 身份登陆xp了。

[2号方案我自己都觉得麻烦，还是1号：叫别人帮忙比较好……]
【另外，据说c:\windows\repair 目录下的sam是原始版本的，可以用它来覆盖 system32下的这个 sam，这样就可以删除现在的密码，而恢复到刚开始安装系统时的密码了。如果这个密码为空，岂不是…… 】
---------------------------------------------

方法5——使用win 2000安装光盘引导修复系统（前提……很明显吧？就是你要有一张win 2000安装光盘）

　　使用win 2000安装光盘启动电脑，在wndows2000安装选择界面选择修复windows 2000（按r键）；，然后选择使用故障控制台修复（按c键），系统会扫描现有的window2000／xp版本。一般只有一个操作系统，所以只列出了一个登录选择（l：c：＼windows）。从键盘上按l，然后回车，这个时候，window xp并没有要求输人管理员密码，而是直接登录进入了故障恢复控制台模式（如果使用的是windows xp安装光盘启动的，那是要求输人管理员密码的。这里指的管理员是指系统内建的administraor账户）熟悉windows的朋友都知道，故障恢复控制台里面可以进行任何系统级别的操作，例如：复制、移动、删除文件，启动、停止服务，甚至格式化、重新分区等破坏性操作。

测试使用光盘：集成sp3的windows 2000 proessional 简体中文版。
　　测试通过的系统：windows xp proessional，打spi补丁的windows xp （fat32和ntfs文件系统都一样）


[需要注意的是，由于各种原因，市面上的一些windows 2000安装光盘不能够显现故障控制台登录选项，所以也无法利用这个漏洞。同时，由于故障控制台模式本身的限制，也无法从网络上利用这个漏洞，换句话说，这个漏洞仅限于单机。]
---------------------------------------------

方法6——利用net命令（有两个必要前提才行：按装windows xp的分区必须采用fat 32文件小系统，用户名中没有汉字。）

　　我们知道在windows xp中提供了“net user”命令，该命令可以添加、修改用户账户信息，其语法格式为：
　　net user [username [password | *] [options]] [/domain]

　　net user [username {password | *} /add [options] [/domain]

　　net user [username [/delete] [/domain]]

　　每个参数的具体含义在windows xp帮助中已做了详细的说明，在此笔者就不多阐述了。好了，我们现在以恢复本地用户“zhangbq”口令为例，来说明解决忘记登录密码的步骤：

　　1、重新启动计算机，在启动画面出现后马上按下f8键，选择“带命令行的安全模式”。

　　2、运行过程结束时，系统列出了系统超级用户“administrator”和本地用户“zhangbq”的选择菜单，鼠标单击“administrator”，进入命令行模式。

　　3、键入命令：“net user zhangbq 123456 /add”，强制将“zhangbq”用户的口令更改为“123456”。若想在此添加一新用户（如：用户名为abcdef，口令为123456）的话，请键入“net user abcdef 123456 /add”，添加后可用“net localgroup administrators abcdef /add”命令将用户提升为系统管理组“administrators”的用户，并使其具有超级权限。

　　4、重新启动计算机，选择正常模式下运行，就可以用更改后的口令“123456”登录“zhangbq”用户了。另外，zhangbq 进入 登入後在〔控制台〕→〔使用者帐户〕→选忘记密码的用户，然後选〔移除密码〕後〔等出〕在登入画面中选原来的用户便可不需密码情况下等入 (因已移除了) 删除刚才新增的用户，在〔控制台〕→〔使用者帐户〕→选〔alanhkg888〕，然後选〔移除帐户〕便可

[但是有人提出：在实验后得知——在安全模式命令符下新建的用户不能进入正常模式（此结论暂不确认）]
方法7——用破解密码软件（前提是你要有标准的系统安装光盘——不是那种“集成”多个系统的d版盘）

1——使用passware kit 5.0中的windows key 5.0，用于恢复系统管理员的密码，运行后生成3个文件：txtsetup.oem、winkey.sys和winkey.inf，3个文件共50kb。把这3个文件放在任何软盘中，然后使用xp安装光盘启动电脑，启动过程中按f6键让系统采用第三方驱动程序。此时，正是我们切入的最好时机，放入该软盘就会自动跳到windows key的界面。他会强行把administrator的密码换成12345，如此一来何愁大事不成？嗬嗬！当你重新启动以后，你会被要求再次修改你的密码。软件下载地址：http://www.mydown.com。

2——使用office nt password & registry editor.用该软件可以制作linux启动盘，这个启动盘可以访问ntfs文件系统，因此可以很好地支持windows 2000/xp。使用该软盘中的一个运行在linux下的工具ntpasswd就可以解决问题，并且可以读取注册表并重写账号。使用方法很简单，只需根据其启动后的提示一步一步做就可以了。在此，建议你使用快速模式，这样会列出用户供你选择修改那个用户密码。默认选择admin组用户，自动找到把 administrator的名字换掉的用户，十分方便。下载地址：http://www.mydown.com。

3——erd.commander2003为windows的管理员和最终用户，面对随时可能崩溃的系统，可能每人都会有自己的一套工具，用来挽救数据和修复系统。erd commander这可以算是winternals administrators" pak工具中最强大的组件了，其中一个引人注目的功能就是修改密码，windows nt/2000/xp/2003 系统中任何一个用户的密码都可以在不知道原先密码的情况下被erd修改掉。
http://www.hzxinxin.com/list/softview.asp?softid=463
---------------------------------------------

方法8——修改屏幕保护程序（前提是你有设置屏保）

使用ntfsdos这个可以从dos下写ntfs分区的工具。用该软件制作一个dos启动盘，然后到c:\win nt\system 32下将屏幕保护程序logon.scr改名，接着拷贝command.com到c:\win nt\system 32下（win2000下可以用cmd.exe），并将该文件改名为logon.scr。这样启动机器15分钟以后，本该出现的屏幕保护现在变成了命令行模式，而且是具有administrator权限的，通过他就可以修改密码或者添加新的管理员账号了。改完以后不要忘了把屏幕保护程序的名字改回去。下载地址：http://www.mydown.com。


---------------------------------------------

方法9——使用启动脚本（前提……会使用dos基本命令就行）

　　windows xp启动脚本(startup scripts)是计算机在登录屏幕出现之前运行的批处理文件，它的功能类似于windows 9×和dos中的自动执行批处理文件autoexec.bat。利用这个特性，可以编写一个批处理文件重新设置用户密码，并将它加入启动脚本中，这样就达到了目的。以下是具体步骤（假设系统目录为c：\windows）。

　　1.使用windows98启动盘启动电脑。在dos下新建一个文件叫a.bat，内容只需要一条“net user”命令即可：“net user rwd 12345678”。这条命令的意思是将用户rwd的密码设置为“12345678”（有关net命令的用法，可参考windows帮助）。然后将文件 a.bat保存到“c:\windows\system32\grouppolicy\machine\scripts\startup”下。

　　2.编写一个启动/关机脚本配置文件scripts.ini，这个文件名是固定的，不能改变。内容如下：

[startup]
0cmdline=a.bat
0parameters=

　　3.将文件scripts.ini保存到“c:\winnt\system32\grouppolicy\machine \scripts”下。scripts.ini保存着计算机启动/关机脚本的设置数据，文件内容通常包含两个数据段：[startup]和 [shutdown]。[startup]数据段下是启动脚本配置，[shutdown]数据段下是关机脚本配置。每个脚本条目被分成脚本名和脚本参数两部分存储，脚本名保存在xcmdline关键字下，参数保存在xparameters关键字下，这里的x表示从0开始的脚本序号，以区别多个脚本条目和标志各脚本条目的运行顺序。

　　4.取出windows 98启动盘，重新启动电脑，等待启动脚本运行。启动脚本运行结束后用户rwd的密码就被恢复为“12345678”。

　　5.登录成功后删除上述步骤建立的两个文件。

[实际上你可以借用另一台电脑用“记事本”编写a.bat和scripts.ini，再用软盘通过dos复制到自己的电脑上]

　　说明：
　　以上脚本使用的是fat32文件系统，如果使用ntfs文件系统，可以将这块硬盘以从盘模式挂接到其它能识别 ntfs文件系统（如windows 2000或windows xp）的计算机上进行上述操作。本方法可以恢复管理员（administrator）的密码。对windows2000系统中本地计算机用户和域用户的密码恢复同样有效。

------------------------------------------------------------------------------------------------------
个人瞎猜的方法
==============


方法10——利用输入法漏洞（前提是进入系统看见的不是欢迎界面，而是一般的系统网络用户登陆窗口）

[其奥义取自网管软件登陆的破解，没有在系统里实验过。不过倒也没有后遗症，你们姑且试试]

按ctrl+shift打开拼音输入法，出现拼音的状态条，在状态条上点击右键，就会出现一个下拉菜单，选择其中的定义词组(放心，就算系统限制右键，在这也不管用)然后选择文件菜单里面的保存，就会调出保存对话框，然后随便选择一个文件夹，点击右键，选择资源管理器，打开，进去添加个超级用户，一切就 ok啦！

（另外也可以用下拉菜单里的[帮助]，打开chm帮助文件，[选项]-[internet选项]-[internet临时文件夹]-[设置]-[查看文件]，同样可以进文件夹）

另外也可以利用输入法bug，这个方法很简单：就是调出输入法，调到智能abc，输入vv。然后按左方向键，光标到字母最前面，按del删掉，按空格，这时系统提示出错，登陆窗口就被关掉了。进去后……要怎么做，不用多说吧？


[这方法的初衷无非是先进入系统，再更改添加用户。大不了放弃原先的管理员用户，自己另建一个使用……]
---------------------------------------------

方法11——使用注册表（前提……你敢修改注册表）

[借鉴于“修改注册表自动登陆系统”]

“修改注册表自动登陆系统”的内容如下：

【单击“开始　运行”，在输入框中键入“regedit”打开注册表编辑器，然后在注册表编辑器左方控制台中依次单击展开 “hkey_local_machine/software/microsoft/windows nt/current version/winlogon”，再选择“编辑　添加　字符串值”，在数值名称中键入“autoadminlogon”，然后在窗口中的空白位置上点一下，再双击刚新建的字符串“autoadminlogon”，在弹出的“编辑字符串”对话框中输入“1”设置系统允许自动登录。再重复以上的操作，创建一个名为“defaultusername”的字符串值，编辑字符串为您准备用于自动登录的账户名称。再新创建一个名为 “defaultpassword”的字符串值，并编辑字符串为您准备用于自动登录的用户账户密码，编辑完并检查无误后，关闭注册表编辑器并重新启动电脑即可自动登录。注意，如果已有“defaultusername”，可以不必重新创建，直接更改原有字符串值。如果您的系统工作在局域网环境下，并且在登录到系统上时需要登录域服务器，那么您还需要再添加一个“defaultdomainname”并编辑字符串为您登录的域名称。】

而我在修改注册表时，发现里面本来就有“defaultpassword”的字符串，（这是我的个人情况），当然，我原来就没有设密码，所以字符串的值为空。我是想，如果你们的系统也有“defaultpassword”的字符串，那是否它的值就是密码呢？

或者你们谁敢以上文的方法修改注册表，没准会屏蔽原先的登陆窗口呢！当然，要先备份注册表。（干脆建议有条件的朋友在学校机房试试看）
关于sam文件

使用过nt内核windows操作系统的朋友都知道nt内核对系统密码的管理机制比win32内核的windows操作系统要强得多，这部分归功于nt系统的门卫——sam。

对于windows的启动，很多用户并没什么特别的想法，大多数的人都这样看待这个问题：按下电源，稍等片刻，“傻瓜化”的windows登录界面就出现在我们眼前。但是看了此文，你也许就会有点不同的想法了。

微软做了两个不同的系统骨架，一个叫win32，我们用的win9x/me系统就附在它上面；另一个叫nt（new technology），也就是winnt/2000/xp/2003的骨架。不过很不幸，微软有点“偏心”，win32的骨架做得明显有点过小，所以它成了瘦子，而nt则是典型的美国壮汉。更不幸的是，微软给win32配备的pwl门卫是个花瓶，不仅连个家门都看不住，而且嘴巴也守不住秘密；而nt呢，又捞了个好处，sam门卫尽心尽责，嘴巴也难撬开。nt内核windows操作系统的密码安全性较win32内核windows操作系统的密码安全性高出很多跟sam不无关系，在这篇文章里，我们就一起来认识一下nt内核windows操作系统的看门神——sam。

忠实的sam门卫

sam最初是跟随第一代nt来到世界的，它在微软总部的特工代号叫做“安全账户管理器”（security accounts manager），经历了几代系统的改进，这个门卫越来越强壮了。sam平时居住在winnt\system32\config下。当然，它不仅仅是一个 sam文件这么简单，它还带有一名随从：security（如图1所示）。在nt内核windows系统启动的时候，sam就开始忙碌了，首先，它在入口处要求你出示身份证——没有？那么就不能进入windows，并且没得商量。即使你通过了“门检”，事情也还远远没有结束，sam随时盯着你呢，只要哪里又有人进来了，它就赶紧去问人家要“证件”……sam记录的数据很多，包括所有组、账户信息、密码hash、账户sid等，应该说是一个考虑得比较周全的门卫。

前面说过了，sam不仅仅是一个文件那么简单，它不但有文件数据，在注册表里面还有一个数据库，位于hkey_local_machine\sam下，这是一个比较复杂的结构（如图所示）。sam在系统启动后就处于锁定状态，我们没法擅自更改这个文件内容。


sam的主要结构和用户分组

从上述注册表里的分支我们可以看到以下结果：

1.在hkey_local_machine\sam\sam\
domains下就是sam的内容，其下有两个分支“account”和“builtin”。

2.domains\account\users下存放的就是各个账号的信息，当然，这里是加密过的二进制数据，每个账号下面有两个子项，f和v。项目v中保存的是账户的基本资料，用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码设置时间等。项目f中保存的是一些登录记录，比如上次登录时间、错误登录次数等。sam靠这些齐全的备忘录来保存与用户账号相关的各种信息。

3.domains\builtin存放着不同用户分组信息，sam就是根据这个来划分nt中固有的6个不同的工作组的，它们分别是：管理员（administrators）、备份操作员（backup operators）、客人（guests）、高权限用户（power users）、修复员（replicator）和普通用户（users）。

幕后指挥官

在windows系统中，虽然sam如此尽力，但是它却如《terminator 3（终结者3）》里model 101的设置一样，不听从你的指挥。它只听本地安全认证（local security authority）程序——lsass.exe的差遣，就连进门时的审查也是lsass的指示。如果你把lsass杀了，你就等着被赶出门吧——当然，对于普通用户来说，如果你试图用普通的进程管理工具或者windows系统的进程管理杀掉“lsass.exe”进程的话，只会得到“该进程为关键系统进程，任务管理器无法结束进程。”的提示，本地安全认证（local security authority）在windows系统中主要负责以下任务：1.重新找回本地组的sid和用户权限；2.创建用户的访问令牌；3.管理本地安装的服务所使用的服务账号；4. 存储和映射用户权限；5.管理审核的策略和设置；6.管理信任关系。

“萨姆也是人”

俗话说，“人无完人”。尽管sam（萨姆）是这么尽心尽责，可是在这里，我们还是必须用那句话——“萨姆也是人”来形容它。由于一些设计上的失误，在winnt/2000里，如果你忘记了密码，那么你要做的不是呼天喊地，只需要在非nt环境里把sam驱逐出硬盘就可以了。但是在xp以后的 windows操作系统里，这个情况得以改善，如果你把萨姆大叔踢了，nt也躲着死活不肯出来了。

当然，这也并不是说xp以后的windows的操作系统密码都无法破解，要知道：经典的lc5和ntpassword都专门拿sam开刀

微软发布补丁修复core duo耗电问题

微软公司在星期二发布了一个windows xp补丁以解决基于英特尔公司core duo处理器的笔记本电脑的电能消耗异常问题。微软公司早在2005年夏季就知道了这个问题，但是它一直守口如瓶，直到今年二月份才对外公开。

　　微软公司在星期二发布的另一份支持文件中说，基于core duo处理器的笔记本电脑的电池耗电速度非常快。因为其usb 2.0驱动器使得cpu无法进入深层次的acpi处理器休眠状态，或者叫作c状态。

　　当处理器没有处于繁忙状态时，c状态可以省电。这些状态又分为c0、c3或者c4几种。一般来说，笔记本电脑空闲时会进入c3和c4状态以保存电池电量。如果一台空闲的笔记本电脑不能进入或者维持在c3或者c4状态的话，电池电能将会迅速耗尽。

　　用户可以从微软公司网站下载相关的windows xp sp 2补丁。只有使用正版windows系统的用户才能修复这个问题。

用Regsvr32命令解决系统疑难杂症

很多朋友都用过Windows系统提供的Regsvr32命令，你千万不要瞧不起这个小命令，有时候它能帮助你解决很多实际的问题，下面就是笔者平时使用中总结出来的几个技巧。

　　1. 修复IE浏览器

　　很多经常上网的朋友都有过这样的遭遇：IE不能打开新的窗口，用鼠标单击超链接也没有任何反应。这时重装IE一般能解决问题。其实不必这么麻烦，使用Regsvr32命令就可以轻松搞定。

　　具体的解决方法：依次选择“开始→运行”，在“运行”对话框中输入“regsvr32 actxprxy.dll”命令，单击“确定”按钮，这时会弹出一个信息对话框，提示“actxprxy.dll中的DllRegisterServer 成功”，单击“确定”按钮，然后再在“运行”对话框中输入“regsvr32 shdocvw.dll”命令，单击“确定”按钮，重新启动计算机后IE就被修复了。

　　2. 解决Windows无法在线升级

　　Windows的漏洞很多，每隔一段时间就需要使用“Windows Update”进行在线升级，不过“Windows Update”经常出现无法使用的情况，这时，我们也可以使用Regsvr32来解决这个问题。

　　具体的解决方法：依次选择“开始→运行”，在“运行”对话框中输入“regsvr32 wupdinfo.dll”命令，单击“确定”按钮，这样在系统中就重新注册了“Windows Update”组件，重新启动计算机后问题即可解决。

　　3. 防范网络脚本病毒

　　网络脚本病毒嵌在网页中，上网时在不知不觉中机器就会感染上这种病毒。笔者认为单纯使用杀毒软件并不能有效地防范这些脚本病毒，必须从病毒传播的机理入手。网络脚本病毒的复制、传播都离不开FSO对象（File System Object，文件系统对象），因此禁用FSO对象就能有效地控制脚本病毒的传播。

　　具体的操作方法：依次选择“开始→运行”，在“运行”对话框中输入“regsvr32 /u scrrun.dll”命令即可禁用FSO对象；如果需要使用FSO对象，输入“regsvr32 scrrun.dll”命令即可。

如何隐藏硬盘分区

不想让别人查看你的硬盘数据？不用加密，另有方法。

　　第一招：修改注册表来隐藏逻辑硬盘

　　1、隐藏“我的电脑”中的磁盘驱动器图标

　　操作步骤如下：

　　①“开始”→“运行”中输入regedit，打开注册表编辑器。

　　②进入HKEY_CURRENT_USER \SoftWare \microsoft \Windows \CurrentVersion \Policies \Explorer分支中。

　　③在右窗口中新建一个二进值的键值名为“NoDrives”，磁盘驱动器所一一对应的键值如下：A驱为“01000000”，B驱为 “02000000”，C驱为“04000000”，D驱为“08000000”，E驱为“10000000”，F驱为“20000000”。即按磁盘驱动器的英文字母顺序（A－Z）从十六进制的二倍数递增。将您所要隐藏的磁盘驱动器所对应的键值按十六进制相加赋值给“NoDrives”，这样，就在“我的电脑”内隐藏起所要隐藏的驱动器了。

　　这样操作后，进入“MS－DOS方式”还是可以操作的。所以我们还要隐藏“MS-DOS方式”下的磁盘驱动器。

　　2、隐藏“MS-DOS方式”下的磁盘驱动器

　　操作步骤如下：

　　①“开始”→“运行”中输入regedit，打开注册表编辑器。

　　②进入HKEY_CURRENT_USER \SoftWare \Microsoft \Windows \CurrentVersion \Policies分枝中。

　　③在该分枝中新建一个主键“WinOldApp”，在该主键下新建一个DWORD值的键值名“Disabled”，然后将其键值设为“1”。

　　这样，不管是在“我的电脑”里，或“MS－DOS”方式下都看不见了，怎么样，够Cool吧！^_^不过，只要懂注册表的人可骗不了他。

　　第二招：利用PartitionMagic隐藏硬盘驱动器

　　相信大家对这个软件不会太陌生吧，它的不破坏硬盘数据情况下对硬盘分驱的功能确实很不错。不过你有没有想到用它来隐藏硬盘驱动器呢？那就试试看吧！

　　①运行PQMagic。

　　②选定一个分区。

　　③在菜单“Operations”中选“Advanced”下的“HidPartition”菜单项，在出现的对话框中点击OK。

　　④在主窗口下面的两个按钮中点击“Apply”按钮后重新启动

揭開Vista無法上網之謎

DHCP 是 Dynamic Host Configuration Protocol 的縮寫，
由伺服器端和客戶端組成。
標準的DHCP提供兩種 IP 分配方式﹕ 自動分配是DHCP 客戶端第一次成功的
從 DHCP 伺服器端租用到 IP 位址之後﹐就永遠使用這個位址。
動態分配是當 DHCP 第一次從 DHCP 伺服器端租用到 IP 位址之後﹐
不能永久的使用該位址。只要租約到期了﹐客戶端就會釋放IP 位址。
如果安裝了Vista系統，就有可能無法獲取網路中自動分配的位址。
在WindowsXP SP2 中，DHCP 探索數據包中的 BROADCAST標誌設置為 0（禁用）。
而在Windows Vista中，並未禁用 DHCP 探索數據包中的 BROADCAST標誌。
因此，有的非 Microsoft DHCP 伺服器就可能無法處理 DHCP 探索數據包。


解決方案

點擊“開始→運行”，輸入“regedit“打開註冊表編輯器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}
下的DhcpConnForceBroadcastFlag，將它的值由1改為0即可。
如果沒有DhcpConnForceBroadcastFlag，可以點擊“編輯→新建→DWORD (32 位)值”新建一個即可。

如何減少XP啟動磁碟整理的10秒鐘等待

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager] "AutoChkTimeOut"=dword:00000003

ADSL和Cable的加速方法

ADSL和Cable的加速方法
這是我從其他網站上看到的文章,自己使用後覺得有用,所以分享給大家!
ADSL：
開啟記事本，將下列一字不漏的複製，再存成副檔名「.inf」，
存檔後按右鍵，選"安裝"即可。
[Version]
signature=$CHICAGO$

[DefaultInstall]
DelReg=Delete_Old_Tweaks
AddReg=Add_SpeedGuide_Tweaks

[Delete_Old_Tweaks]
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,DefaultRcvWindow
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,DefaultTTL
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,PMTUDiscovery
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,PMTUBlackHoleDetect
HKLM,System\CurrentControlSet\Services\VxD\MSTCP\Parameters,Tcp1323Opts
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,Tcp1323Opts
HKLM,System\CurrentControlSet\Services\VxD\MSTCP\Parameters,SackOpts
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,SackOpts
HKLM,System\CurrentControlSet\Services\VxD\MSTCP\Parameters,MaxDupAcks
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0000,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0001,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0002,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0003,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0004,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0005,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0006,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0007,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0008,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0009,MaxMTU
HKLM,System\CurrentControlSet\Services\ICSharing\Settings\General,InternetMTU

===============================================

CABLE 使用方法同上：
[Version]
signature=$CHICAGO$

[DefaultInstall]
DelReg=Delete_Old_Tweaks
AddReg=Add_SpeedGuide_Tweaks

[Delete_Old_Tweaks]
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,DefaultRcvWindow
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,DefaultTTL
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,PMTUDiscovery
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,PMTUBlackHoleDetect
HKLM,System\CurrentControlSet\Services\VxD\MSTCP\Parameters,Tcp1323Opts
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,Tcp1323Opts
HKLM,System\CurrentControlSet\Services\VxD\MSTCP\Parameters,SackOpts
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,SackOpts
HKLM,System\CurrentControlSet\Services\VxD\MSTCP\Parameters,MaxDupAcks
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0000,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0001,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0002,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0003,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0004,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0005,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0006,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0007,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0008,MaxMTU
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0009,MaxMTU
HKLM,System\CurrentControlSet\Services\ICSharing\Settings\General,InternetMTU

[Add_SpeedGuide_Tweaks]
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,DefaultRcvWindow,0,"256960"
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,DefaultTTL,0,"64"
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,PMTUDiscovery,0,"1"
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,PMTUBlackHoleDetect,0,"0"
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,Tcp1323Opts,0,"1"
HKLM,System\CurrentControlSet\Services\VxD\MSTCP,SackOpts,0,"1"
HKLM,System\CurrentControlSet\Services\VxD\MSTCP\Parameters,MaxDupAcks,0x10001,"3"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0000,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0001,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0002,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0003,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0004,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0005,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0006,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0007,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0008,MaxMTU,0,"1500"
HKLM,System\CurrentControlSet\Services\Class\NetTrans\0009,MaxMTU,0,"1500"

===============================================
並沒有特別限制使用哪種作業系統，所以可試試。
===============================================

104種木馬的手工清除方法

1. 冰河v1.1 v2.2
1 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 搜尋以下的兩個路徑，並刪除 " C:\windows\system\ kernel32.exe" " C:\windows\system\ sysexplr.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木馬程序 重新啟動。OK 清除木馬v2.2 服務器程序、路徑使用者是可以隨意定義，寫入注冊表的鍵名也可以自己定義。 因此，不能明確說明。 你可以察看注冊表，把可疑的文件路徑刪除。重新啟動到MSDOS方式 刪除於注冊表相對應的木馬程序 重新啟動Windows。OK
2. Acid Battery v1.0
清除木馬的步驟： 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Explorer ="C:\WINDOWS\expiorer.exe" 關閉Regedit 重新啟動到MSDOS方式刪除c:\windows\expiorer.exe木馬程序 注意：不要刪除正確的ExpLorer.exe程序，它們之間只有i與L的差別。重新啟動。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木馬的步驟： 重新啟動到MSDOS方式 刪除C:\windows\MSGSVR16.EXE 然后回到Windows系統打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 關閉Regedit 重新啟動。OK 重新啟動到MSDOS方式 刪除C:\windows\wintour.exe然后回到Windows系統 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE" 關閉Regedit 重新啟動。OK

4. Ambush
清除木馬的步驟： 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的zka = "zcn32.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除C:\Windows\ zcn32.exe 重新啟動。OK

5. AOL Trojan
清除木馬的步驟： 啟動到MSDOS方式 刪除C:\ command.exe（刪除前取消文件的隱含屬性）注意：不要刪除真的command.com文件。 刪除C:\ americ~1.0\buddyl~1.exe（刪除前取消文件的隱含屬性）刪除C:\ windows\system\norton~1\regist~1.exe（刪除前取消文件的隱含屬性） 打開WIN.INI文件在[WINDOWS]下面"run="和"load="都加載者特洛伊木馬程序的路徑，必須清除它們： run= load= 保存WIN.INI 還要改正注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的WinProfile = c:\command.exe 關閉Regedit，重新啟動Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木馬的步驟： 注意：木馬程序預設文件名是wincmp32.exe，然而程序可以隨意改變文件名。我們可以根據木馬修改的system.ini和win.ini兩個文件來清除木馬。 打開system.ini文件在[BOOT]下面有個"shell=文件名"。正確的文件名是explorer.exe 如果不是"explorer.exe"，那麼那個文件就是木馬程序，把它搜尋出來，刪除。 保存退出system.ini 打開win.ini文件在[WINDOWS]下面有個run= 如果你看到=后面有路徑文件名，必須把它刪除。 正確的應該是run=后面什麼也沒有。 =后面的路徑文件名就是木馬，把它搜尋出來，刪除。 保存退出win.ini。 OK

7. AttackFTP
清除木馬的步驟： 打開win.ini文件 在[WINDOWS]下面有load=wscan.exe 刪除wscan.exe ，正確是load= 保存退出win.ini。 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Reminder="wscan.exe /s" 關閉Regedit，重新啟動到MSDOS系統中刪除C:\windows\system\ wscan.exe OK

8. Back Construction 1.0 - 2.5
清除木馬的步驟： 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的"C:\WINDOWS\Cmctl32.exe" 關閉Regedit，重新啟動到MSDOS系統中刪除C:\WINDOWS\Cmctl32.exe OK

9. BackDoor v2.00 - v2.03
清除木馬的步驟： 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的'c:\windows\notpa.exe /o=yes' 關閉Regedit，重新啟動到MSDOS系統中刪除c:\windows\notpa.exe 注意：不要刪除真正的notepad.exe筆記本程序 ＯＫ

10. BF Evolution v5.3.12
清除木馬的步驟： 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的(Default)=" " 關閉Regedit，再次重新啟動電腦。 將C:\windows\system\ .exe（空格exe文件） ＯＫ

11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是運行在Win95/98 0.9X以上版本有運行在Win95/98 和WinNT上兩個軟體客戶－服務器協議是一樣的，因而NT客戶能黑95/98被感染的機器，和Win95/98客戶能黑NT被感染的系統完全一樣。
清除木馬的步驟： 首先準備一張98的啟動盤，用它啟動后，進入c:\windows目錄下，用attrib libupd~1.exe -h 命令讓木馬程序可見，然后刪除它。 抽出軟式磁碟機后重新啟動，進入98下，在注冊表里找到： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 的子鍵WinLibUpdate = "c:\windows\libupdate.exe -hide" 將此子鍵刪除。

12. Bla v1.0 - 5.03
清除木馬的步驟： 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Systemdoor = "C:\WINDOWS\System\mprdll.exe" 關閉Regedit，重新啟動電腦。搜尋到C:\WINDOWS\System\mprdll.exe和 C:\WINDOWS\system\rundll.exe 注意：不要刪除C:\WINDOWS\RUNDLL.EXE正確文件。 並刪除兩個文件。 OK

13. BladeRunner
清除木馬的步驟： 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 可以找到System-Tray = "c:\something\something.exe" 右邊的路徑可能是任何東西，這時你不需要刪除它，因為木馬會立即自動加上，你需要的是記下木馬的名字與目錄，然后退回到MS-DOS下，找到此木馬文件並刪除掉。 重新啟動電腦，然后重復第一步，在注冊表中找到木馬文件並刪除此鍵。

14. Bobo v1.0 - 2.0
清除木馬v1.0 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe" 關閉Regedit，重新啟動電腦。 DEL C:\Windows\System\Dllclient.exe OK 清除木馬v2.0 打開注冊表Regedit 點擊目錄至： HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ Accel是一個“假象“的主鍵，選中ICQ Accel主鍵並把它刪除。 重新啟動電腦。OK

15. BrainSpy vBeta
清除木馬的步驟： 打開注冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 右邊有 ??? = "C:\WINDOWS\system\BRAINSPY .exe" ???標簽選是隨意改變的。 關閉Regedit，重新啟動電腦搜尋刪除C:\WINDOWS\system\BRAINSPY .exe ok

Got NOD32 v3.0 AV SmartSecurity and no internet conection…

NOD32 v3.0 Offline Update 3890 (20090226) Download HERE:


http://rapidshare.com/files/203042163/_NOD32_v3.0_Offline_Update_3890__20090226___.rar

or

http://www.mediafire.com/?sharekey=6600ecc086fea3188d78a0e555291609e04e75f6e8ebb871



credited to the owner: Whi5t1eRz Den