系统无忧：即时系统恢复工具 Pro Magic.doc

系统无忧：即时系统恢复工具 Pro Magic在这个时代使用电脑，每个人都必须面对这样一个现实：你的机器迟早会出毛病，除非你把电脑摆在家里作为一种纯粹的摆设。好吧，为什么呢？因为你用的操作系统是Windows，因为你不可能不往电脑中安装新软件我可以非常肯定地告诉你，除非你的机器出了硬件上的问题（出了这种问题应该去找你的硬件供应商，而不是周围的电脑高手），你的系统要是哪天突然死机、进不了Windows、系统频繁报错，那有99.99%的可能是你或别人对你的电脑进行了误操作造成的，包括病毒的破坏。这时，病毒破坏的文件可能无法恢复，系统也可能被更改得面目全非。如果你问我怎么办，我也不知道：每个人的电脑都不同，系统的结构更是千变万化，你进行了什么样的操作也许连你自己都说不清楚这时惟一的解决方法就是：Format，重装Windows！（方法虽简单，但十分管用，且百试百灵。） 当然，上述的现象都不是我们所希望的。毕竟不是谁都能顺利地装上Windows。而且，就算装个Windows对你来说是家常便饭，你也不能整天都在修复系统，对吧。 于是我们采取了各种方法来试图挽救我们的系统，比如删除垃圾文件、清除无用的注册表键值等等。软件厂商也开发了各种系统维护工具：Norton Utilities用于系统的日常维护基本硬件故障修复，但面对系统崩溃它无能为力；Norton Ghost是硬盘备份的高手，安全系数高，但是速度太慢了，对硬盘空间的占用更是惊人；Windows Me开发了个系统还原，实用性之低令人叹气其实，解决系统问题最保险的方法就是将过去的系统完全备份，等需要的时候就恢复回去。针对这点曾经有个国产的“超级保镖”具有类似的功能，虽然使用起来不占什么空间，也很方便，可是不知为何装上去以后就像个炸弹，很多人都说它会导致系统崩溃，笔者也未能幸免。直到现在，“超级保镖”也没能红起来。 显然你需要一套更完美的软件来保护你的系统。经过长期的严格测试，我们可以非常负责地向你推荐Pro Magic 5.12中文版，也许这是最完美的系统防护方案了。 Pro Magic与Partition Move等知名系统工具出自同门，是一款出色的系统保护、还原工具，它全面贴近个人用户，具有系统即时还原、多重开机、多点还原、不占用系统资源等功能及特点。当我们在亲自使用该软件后，更加为其方便的操作和出众的效果赞叹不已，如果说它是目前最好的系统备份和恢复工具，那真的一点儿也不过分。最关键的是这个软件的使用方法非常简单，即使是电脑初学者也能轻松上手。 使用方法 Pro Magic的安装非常简单，与普通的Windows应用程序没什么区别。安装结束后，系统会要求重新启动计算机。再次开机时，你会发现系统将自动进入Pro Magic的设置界面。第一次运行Pro Magic，你可以选择一个适合自己的屏幕分辨率以及设定管理员密码，当然这些设置也可以在后面再次更改，因此这两项内容此处暂且略过。 该软件通过“管理者”和“用户”两种级别来控制计算机权限。如果你是第一次安装并使用Pro Magic，建议你先进入管理者模式设置Pro Magic的工作方式。开机后进入Pro Magic的界面，按F10可以进入管理者模式，你将通过10个项目来决定让Pro Magic如何来保护你的系统，具体设置如下。 1.安装 启动操作系统但不保护启动盘，当你要在启动盘中安装软件时，请选择此功能。如果启动盘正处于保护状态，选择此项目后系统会要求你在“取消保护”和“储存开机盘”中选择其一，以便继续该指令。 2.还原 将全部启动盘恢复到最初状态，即上一次选择储存或安装时的状态。 3.储存 将全部启动盘的现有状态储存下来，在下一次选择恢复功能时，将启动盘恢复到现有状态。此功能就比“超级保镖”等软件要高超得多，你完全可以在准备安装一个新软件而又确信先前的系统没有任何问题时，事先储存启动盘，以便一旦出现故障便可立即恢复正常状态。 4.设定 根据你的需要对系统内部的功能进行设置。包括设置显示模式（默认640480，16色；推荐800600，256色）、防止软盘启动（不知道有什么好处）、调整开机顺序（A，C或C，A）、特殊保护（可选择“一般保护”和“加强保护”）、CMOS保护（再也不怕CIH啦）、启动方式（显示菜单、每次还原、定时还原、定时临时储存、每次保留）、共用盘清除（清除开机盘中共用的部分，非常适合网吧使用）、驱动程序（检查驱动程序的版本，防止落后的应用程序改动驱动所需的文件）。 5.用户管理 调整用户数量、名称、密码及分区属性或修改管理密码。包括修改用户名、修改用户密码、修改管理密码、调整分区属性（可以把C盘以外的盘作为开机盘，简单实现多系统共存）以及一些禁用选项（可以禁止指定的用户使用计算机以及储存或还原开机盘）。 6.工具箱 系统提供的磁盘工具。它会破坏你电脑中的数据，建议你不要轻易使用。工具箱中有如下工具：比FDISK更加方便实用的重新划分硬盘工具、快速格式化工具、传送系统文件工具和硬盘对拷工具。 7.升级 如果你拿到了更新的Pro Magic版本，可以选择此功能将现有版本升级。 8.说明 软件公司的说明，不看也罢。 9.移除 用普通话说就是“卸载”，功能是卸载Pro Magic，系统将不再被保护。 10.退出 I dont know. 如果进入使用者模式，就无法对Pro Magic进行任何设置，除了储存和还原启动盘。 Pro Magic 常见问题及解答 问：安装Pro Magic后可否执行硬盘扫描？ 答：可以，不过要选完整扫描的选项。扫描中出现错误可以选修复，或进入Pro Magic的“管理群组”中的“安装”这个选项下，由此进入操作系统后再执行。 问：安装Pro Magic后可否执行碎片整理？ 答：可以。如果碎片整理一段时间后，操作系统返回错误信息，请进入Pro Magic的“安装” 这个选项下，由此进入操作系统后再执行。 问：装了Pro Magic后，可否重新分割硬盘？ 答：可以。请使用Pro Magic中的“硬盘分区”及“快速格式化”功能，但重新分割后所有的数据资料将全部流失，请先查询手册中的介绍了解再使用该功能。 问：安装完Pro Magic后，市面上其他的系统复原软件可以使用吗？ 答：可以。不过请先将Pro Magic卸载后再使用其他工具，复原完成后再安装Pro Magic。例如，如果你打算使用Ghost来安装的操作系统，就必需照该方法进行。 问：如何卸载Pro Magic？ 答：一定要使用“管理者模式”中的“移除”这个选项来卸载Pro Magic。 问：卸载Pro Magic后，操作系统若无法启动该如何处理？ 答：请用软盘启动，执行Fdisk /MBR。 问：Pro Magic会不会与杀毒软件冲突？ 答：安装后若与杀毒软件冲突进不到Windows的话，请先卸载Pro Magic，接着卸载杀毒软件，然后先装Pro Magic再装杀毒软件。等于按照相反方向重做一次，应该能解决。 问：为什么安装Pro Magic后看不到共用盘及数据盘？ 答：请更新BIOS。太旧的BIOS不支持8.4 G以上的硬盘，一般在更新最新的BIOS后这类问题都会解决。 问：安装后在“使用者模式”下，进入Windows 95/98/Me时，为何找不到驱动程序？ 答：请进入“管理者模式”，选择“安装”，由此进入Windows 95/98/Me，将Pro Magic安装文件中FILE目录下的Diskhook.vxd或上网下载最新的驱动Diskhook.vxd，Copy 到C:WindowsSystemIosubsys下就可以。 问：安装后在“使用者模式”下，进Windows 95/98/Me时，出现数据过乱的信息，该如何处理？ 答：如果你的Windows95/98/Me是装在第一个分区，请先移除Pro Magic，然后再装上Pro Magic 5.1，在重装的过程中系统会要求你执行扫描与碎片整理的功能，请执行。 问：安装后在“使用者模式”下，进入Windows 95/98/Me时，为什么会觉得运行变慢？ 答：请进入Windows95/98/Me用鼠标的右键点选“我的电脑”“属性”“设备管理器”“硬盘控制器”，看看Primary IDE是否有ID号，如果有请移除Pro Magic然后在Windows95/98/Me中的DOS模式下执行DE /a/p碎片整理一次就可以，如果这样还是不行，必须重新安装Windows 95/98/Me。操作系统定义传统的操作系统定义如下：操作系统是控制和管理计算机系统内各种硬件和软件资源、合理有效地组织计算机系统的工作，为用户提供一个使用方便可扩展的工作环境，从而起到连接计算机和用户的接口作用非法操作这里的同志们肯定都用过Windows的，想必经历过“非法操作”吧。一吧的“非法操作”有两个选项：“关闭”和“详细资料”。可是“详细资料”里面的内容大多数人都看不明白，只好草草的饿关闭了。现在不用怕了，我来给大家讲解一下非法操作的每个详细资料的具体含义。 1.停止错误编号:0x0000000A 说明文字:IRQL-NOT-LESS-OR-EQUAL 通常的原因:驱动程序使用了不正确的内存地址. 解决方法:如果无法登陆,则重新启动计算机.当出现可用的作系统列表时,按F8键.在Windows高级选项菜单屏幕上,选择最后一次正确的配置,然后按回车键. 检查是否正确安装了所有的新硬件或软件.如果这是一次全新安装,请与硬件或软件的制造商联系,获得可能需要的任何Windows更新或驱动程序. 运行由计算机制造商提供的所有的系统诊断软件,尤其是内存检查. 禁用或卸掉新近安装的硬件(RAM,适配器,硬盘,调制解调器等等),驱动程序或软件. 确保硬件设备驱动程序和系统BIOS都是最新的版本. 确保制造商可帮助你是否具有最新版本,也可帮助你获得这些硬件. 禁用 BIOS内存选项,例如cache或shadow. 2.停止错误编号:0x0000001E 说明文字:KMODE-EXPTION-NOT-HANDLED 通常的原因:内核模式进程试图执行一个非法或未知的处理器指令. 解决方法:确保有足够的空间,尤其是在执行一次新安装的时候. 如果停止错误消息指出了某个特定的驱动程序,那么禁用他.如果无法启动计算机.应试着用安全模式启动,以便删除或禁用该驱动程序. 如果有非 Microsoft支持的视频驱动程序,尽量切换到标准的VGA驱动程序或Windows提供的适当驱动程序. 禁用所有新近安装的驱动程序. 确保有最新版本的系统BIOS.硬件制造商可帮助确定你是否具有最新版本,也可以帮助你获得他. BIOS内存选项,例如cache,shadow. 3.停止错误编号:0x00000023或0x00000024 说明文字:FAT-FILE-SYSTEM或MTFS-FILE-SYSTEM 通常原因:问题出现在Ntfs.sys(允许系统读写NTFS驱动器的驱动程序文件)内. 解决方法:运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件. 禁用或卸载所有的反病毒软件,磁盘碎片整理程序或备份程序. 通过在命令提示符下运行Chkdsk /f命令检查硬盘驱动器是否损坏,然后重新启动计算机. 4.停止编号:0x0000002E 说明文字:DATA-BUS-ERROR 通常的原因:系统内存奇偶校验出错,通常由硬件问题导致. 解决方法:卸掉所有新近安装的硬件(RAM.适配器.硬盘.调制解调器等等). 运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件. 确保硬件设备驱动程序和系统BIOS都是最新版本. 使用硬件供应商提供的系统诊断,运行内存检查来查找故障或不匹配的内存. 禁用BIOS内存选项,例如cache或shadow. 在启动后出现可用作系统列表时,按F8.在Windows高级选项菜单屏幕上,选择启动VGA模式:.然后按回车键.如果这样做还不能解决问题,可能需要更换不同的视频适配器列表,有关支持的视频适配器列表,请参阅硬件兼容性列表. 5.停止编号:0x0000003F 说明文字:NO-MOR-SYSTEM-PTES 通常的原因:每哟正确清理驱动程序. 解决方法:禁用或卸载所有的反病毒软件，磁盘碎片处理程序或备份程序. 6:停止错误编号:0x00000058 说明文字:FTDISK-INTERN-ERROR 通常的原因:容错集内的某个主驱动器发生故障. 解决方法:使用Windows安装盘启动计算机,从镜象(第2)系统驱动器引导.有关如何编辑Boot.ini文件以指向镜象系统驱动器的指导,可在MIcrosoft支持服务Web站点搜索Edit ARC path. 7.停止错误编号:0x0000007B 说明文字:INACCESSI-BLE-BOOT-DEVICE 通常原因:初始化I/O系统(通常是指引导设备或文件系统)失败. 解决方法:引导扇区病毒通常会导致这种停止错误.是用反病毒软件的最新版本,检查计算机上是否有存在病毒.如果找到病毒,则必须执行必要的不找把他从计算机上清除掉,请参阅反病毒软件文档了解如何执行这些步骤. 卸下所有新近安装的硬件(RAM,适配器,调制解调器等等). 核对MIcrosoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容. 如果使用的适SCSI适配器,可以从硬件供应商除获得最新WINDOWS驱动程序,禁用SCSI设备的同步协商,检查该SCSI链是否终结,并核对这些设备的SCSI ID,如果无法确定如何执行能够这些步骤,可参考硬件设备的文档. 如果你用的是IDE设备,将板上的IDE端口定义为唯一的主端口.核对IDE设备的主/从/唯一设置.卸掉除硬盘之外的所有IDE设备.如果无法确认如何执行这些不找，可参考硬件文档. 如果计算机已使用NTFS文件系统格式化,可重新启动计算机,然后在该系统分区上运行Chkdsk /f/r命令.如果由于错误而无法启动系统,那么使用命令控制台,并运行Chkdsk /r命令. 运行Chkdsk /f命令以确定文件系统是否损坏.如果Windows不能运行Chkdsk命令,将驱动器移动到其他运行Windows的计算机上,然后从这台计算机上对该驱动器运行Chkdsk命令. 8.停止错误编号:0x0000007F 说明文字:UNEXPECTED-KERNEL-MODE-TRAP 通常的原因:通常是由于硬件或软件问题导致,但一般都由硬件故障引起的. 解决方法:核对Microsoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容.如果计算机主板不兼容就会产生这个问题. 卸掉所由新近安装的硬件. 运行由计算机制造商提供的所有系统诊断软件,尤其是内存检查. 禁用BIOS内存选项,例如cache或shadow. 9.停止错误编号:0x00000050 说明文字:PAGE-FAULT-IN-NONPAGED-AREA 通常的原因:内存错误(数据不能使用分页文件交换到磁盘中). 解决方法:卸掉所有的新近安装的硬件. 运行由计算机制造商提供的所有系统诊断软件.尤其是内存检查. 检查是否正确安装了所有新硬件或软件,如果这是一次全新安装,请与硬件或软件制造商联系,获得可能需要的任何Windows更新或驱动程序. 禁用或卸载所有的反病毒程序. 禁用BIOS内存选项,例如cache或shadow. 10.停止错误编号:0x00000077 说明文字：KERNEL-STEL-STACK-INPAGE-ERROR 通常的原因：无法从分页文件将内核数据所需的页面读取到内存中。 解决方法：使用反病毒软件的最新版本，检查计算机上是否有病毒。如果找到病毒，则执行必要的步骤把他从计算机上清除掉。请参阅制造商提供的所有系统诊断软件，尤其是内存检查。 禁用BIOS内存选项，例如cache,shadow. 11.停止错误编号：0x00000079 说明文字：MISMATCHED-HAL 通常的原因：硬件抽象层与内核或机器类型不匹配（通常发生在单处理器和多处理器配置文件混合在同一系统的情况下）。 解决方法：要解决本错误，可使用命令控制台替换计算机上错误的系统文件。 单处理器系统的内核文件是Ntoskml.exe，而多处理器系统的内核文件是Ntkrnlmp.exe，但是，这些文件要与安装媒体上的文件相对应；在安装完Windows2000和，不论使用的是哪个原文件，都会被重命名为Ntoskrnl.exe文件。HAL文件在安装之后也使用名称Hal.dll但是在安装媒体，但是在安装媒体上却有若干个可能的HAL文件。 12.停止错误编号：0x0000007A 说明文字：KERNEL-DATA-INPAGE-ERROR 通常的原因：无法从分页文件将内核数据所需的页面读取到内存中。（通常是由于分页文件上的故障，病毒，磁盘控制器错误或由故障的RAM引起的）。 解决方法：使用反病毒软件的最新版本，检查计算机上是否存在病毒。如果找到病毒。则执行必要的步骤把他从计算机上清除掉，请参阅犯病度软件文档了解如何执行这些步骤。 如果计算机已使用NTFS文件系统格式化。可重新启动计算机，然后在该系统分区上运行Chkdsk /f/r命令。如果由于错误而无法启动命令，那么使用命令控制台，并运行Chkdsk /r命令。 运行由计算机制造商提供的所有的系统在很端软件，尤其是内存检查。 13.停止错误编号：0xC000021A 说明文字：STATUS-SYSTEM-PROCESS-TERMINATED 通常的原因：用户模式子系统，例如Winlogon或客户服务器运行时子系统（CSRSS）已被损坏，所以无法再保证安全性。 解决方法：卸掉所有新近安装的硬件。 如果无法登陆，则重新启动计算机。当出现可用的作系统列表时按F8。在Windows2000高级选项菜单屏幕上，选择：“最后一次正确的配置”。然后按会车。 运行故障恢复台，并允许系统修复任何检测到的错误。 14.停止错误编号：0xC0000221 说明文字：STATUS-IMAGE-CHECKISU7M-MISMATCH 通常的原因：驱动程序或系统DLL已经被损坏。 解决方法：运行故障复控台，并且允许系统修复任何检测到的错误。 如果在RAM添加到计算机之后，立即发生错误，那么可能是分页文件损坏，或者新RAM由故障或不兼容。删除Pagefile.sys并将系统返回到原来的RAM配置。 运行由计算机制造商提供的所有的系统诊断软件，尤其是内存检查。注册表Windows的注册表存储当前系统的软、硬件的有关配置和状态信息，以及应用程序和资源管理器外壳的初始条件、首选项和卸载数据，还包括计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联， 硬件的描述、状态和属性，以及计算机性能纪录和底层的系统状态信息，以及各类其他数据。每次启动时，会根据计算机关机时创建的一系列文件创建注册表，注册表一旦载入内存，就会被一直维护着，注册表实际上是一个系统参数的关系数据库。Ghost选用哪一版本的Ghost？ Ghost版本众多，一般而言，玩家应选用51c以后的版本，包括51c、51d、Ghost 2000等。由于Symantec收购了Ghost产品，故这些较新的版本均称为Symantec Ghost。以上列举的版本兼容FAT32分区方式，支持中文长文件名，能够很好地实现操作系统和数据文件的备份，亦可用于硬盘或分区的“克隆”操作，这在新装机或更换硬盘时特别有用。 而51以前的版本，则或多或少存在问题。笔者曾使用40版Ghost，软件已成功注册，在将分区制成Image文件时，一切正常，而当由映象文件回写分区时，操作过程显示正常，但实际上并未对目标分区进行任何改变，反复试验多次，皆未能如愿。 为何要备份操作系统？ 为避免系统瘫痪后重装操作系统、应用软件和配置Internet相关参数的浩大工程，必须对操作系统进行备份。为此，硬盘必须进行分区，至少应分成C、D两个盘，其中C盘用来安装操作系统，D盘存放应用软件、数据文件以及Ghost备份的C盘映象文件。这样，当操作系统出现问题后，D盘并未受到任何影响，只须将D盘存放的映象文件写回C盘分区，即可将操作系统恢复原样。 如何配置C盘？ C盘分区大小要适当。分区太小，影响Windows运行速度；分区过大，要么造成硬盘空间浪费，要么造成备份数据量太多，既白白占用了宝贵的硬盘，又在备份和恢复过程中耗费额外的时间。 以使用Windows 98操作系统为例，C盘大小在600MB左右比较合适。Windows 98大约占用200MB，虚拟内存大约近百兆，再加上一些常用的工具小软件，一共占用大约400MB，还剩200MB左右自由空间，Windows 98运行起来不会捉襟见肘。对C盘分区进行备份时，映象文件即使不压缩，也就三、四百兆，可谓两全其美。 备份前，别忘了整理C盘 （1）先整理操作系统。把与网络相关的设置配置完毕，把可能存在于Windows 98的Temp子文件夹里的临时文件都删除干净，再把My Documents（默认存放用户文档的地方）和Temporary Internet Files（浏览器暂存文件处，保留其中的文件，用户可以实现离线浏览）文件夹搬到D盘，具体搬迁办法参看相关文章。这样做的好处很明显，可以保证所有由用户产生的文件都不存放在C盘，一旦出现意外，能够毫无顾忌地重写C盘。另外，也可以删去那些用处不大的帮助文件、自述文件、屏幕保护和背景图片以及众多的音频文件等，以便使操作系统达到更好的瘦身减肥效果。 （2）在安装大型应用软件，如Office 2000、Photoshop 50等时，最好把它们安装到D盘，这样C盘就不至于过分膨胀，可使备份数据量大大减小。 （3）常用工具小软件，如Winzip、ACDSee、刻录小软件等，可以安装在D盘，安装在C盘也无妨，反正占不了多大空间。 最后，别忘了再进行一次彻底的磁盘碎片整理，将C盘调整到最优状态。接着，即可从DOS下运行Ghost软件，制作C盘映象文件。 分区备份技巧 硬盘分区备份的一般操作方法：从Ghost主选单中选择“LocalPartitionTo Image”选项，打开制作分区映象文件窗口，挑选欲备份的硬盘（如果挂有一个以上硬盘）和分区，再指定映象文件名称和存放路径，确认之后，即开始生成扩展名为gho的映象文件，耗时大约十分钟左右。 备份技巧： （1）最好在D盘建一个Ghost文件夹，将生成的备份文件gho与Ghostexe都存放在此文件夹下。这样，日后进行恢复操作时，一启动Ghost软件，立刻就能显示出备份的映象文件，无须到处去查找。要知道，在DOS下运行Ghost软件，如果未加载鼠标驱动程序，单靠键盘找起文件来是很烦人的。 （2）将备份的映象文件设成系统、隐含、只读属性。一方面可以防止意外删除、感染病毒；另一方面可以避免在对D盘进行碎片整理时，频繁移动映象文件的位置，节约整理磁盘时间。 （3）在生成映象文件时，通常应该采用最大压缩算法，这样，生成的映象文件字节明显减少，节省硬盘空间，否则，映象文件将和C盘文件总字节数一样。采用最大压缩方式，虽然处理时间会相应延长，但分区备份和恢复操作频率很低，也许好几个月才进行一次，还是节省硬盘空间更划算。 让备份和恢复更加保险 由于病毒或操作失误，有可能造成映象文件丢失或文件分区表损坏。如果仅仅按照上述方法做了备份，仍然有遭到“灭顶之灾”的危险，尽管几率很小。因此有条件的话，还应该采取以下防范措施： （1）备份文件分区表信息。采用Kill 98、KV300、Norton等软件，即可在软盘上生成文件分区表备份。如遇病毒攻击分区信息致瘫时，可轻松予以复原。 （2）将映象文件复制到外置硬盘或刻录到光盘上，以防硬盘上的映象文件受损。 （3）将Ghostexe文件拷贝至软盘上，必要时可以运行软盘上的文件，由光盘或外置存储设备恢复分区原貌。 恢复备份需知对于采用了启动管理器分区实现双启动或多启动方式的硬盘，进行恢复分区操作（即由映象文件重写分区）时，最好先关闭启动管理器，然后进行恢复操作，待一切正常后，再将启动管理器复原。之所以这么做，是因为启动管理器所在分区必定是活动分区，如果当初制作备份的分区也是活动的，那么在执行恢复操作后，就同时出现两个活动分区，极易造成死机。 有时，在执行重写分区操作后，DIR列目录，发现全部是怪怪的、长长的乱码文件名，并且全部文件都位于根目录下，看不到树状子目录结构了。这时，千万不要惊慌，更不要冒失地删除文件或格式化硬盘。其实，你的硬盘根本没事儿，只需重新启动电脑，就会一切正常了。 应用Ghost需知（1）无论是备份还是恢复分区，都应尽量在纯DOS环境下进行，一般不要从Windows或假DOS下进行相应的操作。 Ghost软件包里有一个Explorer程序，在Windows环境下运行它后，可以像普通解压软件那样，随便从映象文件里释放文件或文件夹。不过，窃以为用处不大。因为Ghost的最大好处就是可以不管三七二十一，在最短的时间里可以将分区恢复原样，而无须过问到底是缺损哪个文件引起的故障。 （2）在使用Ghost进行硬盘或分区对拷时，由容量小的硬盘或分区向容量等同或大的硬盘、分区进行克隆是完全没有问题的，并且目标硬盘或分区会与源盘一样，大于源盘容量的部分，就成为自由空间。例如，源分区共600MB，采用FAT16分区方式，共有400MB数据，而目标分区共1GB，采用FAT32分区方式，则由源分区顺利克隆到目标分区后，目标分区也变成了FAT16分区方式，但容量仍为1GB，数据文件同样占据400MB空间。所以，在将电脑升级为大硬盘时，可以很容易地将原来硬盘上的内容复制过去，根本无须重装操作系统和应用软件。 （3）有些玩家的Ghost是未授权版本，需要找到扩展名为env的文件，先行注册方能正常使用，注册以DOS下的命令行方式进行，其格式在软件包自述文件里有详细说明。欢乐时光自“欢乐时光”病毒在国内发现以来，被该病毒感染的用户数量居高不下。并且，在这段时间内，已有数家商业和个人网站也遭到“欢乐时光”病毒的感染，我们都与这些网站及时进行了联系，从而有效的遏制乐病毒的进一步传播和蔓延。目前我们又监测到一个人网站遭受该病毒的感染，。我们正在通知有关部门将该网站关闭，在此期间，请用户不要访问该网站，网址为。 7月6日将近，这将是“欢乐时光”的又一个发作日，在这一天，病毒将会删除染毒机器内的可执行文件，最终导致系统无法运行。 国家计算机病毒应急处理中心在这里向全体计算机用户发出病毒预警，希望用户提前做好对该病毒的防范工作，在病毒发作日前使用最新版的杀毒软件启动系统，进行病毒检测、清除，并安装病毒实时监控系统，或者卸载WSH。以便有效遏制“欢乐时光”病毒的传播。国家计算机病毒应急处理中心4月29日接到北京用户的报告，发现一种通过电邮件传播的新病毒，我们将其命名为“欢乐时光”病毒。“欢乐时光”属于VBS/HTM蠕虫类病毒，通过邮件传播，但不是作为邮件的附件，而是作为邮件内容。如果用户使用Outlook，收到带毒邮件，当用户用鼠标指向带病毒的邮件时，不必打开信件，欢乐时光病毒将被激活，并生成如下文件： c:help.htmc:windowshelp.vbsc:windowshelp.htac:windowsUntitled.htm然后传染硬盘中的.htm、.vbs、.hta、.asp、.html后缀的文件。并修改注册表中部分键值：1、在 HKEY_CURRENT_USERSoftware 下新建 Help 项，然后新建 Count 键值用于记录病毒感染的次数；新建 wallPaper 键值用于记录修改后的墙纸文件；2、修改 HKEY_CURRENT_USERIdentitiesXXXXXXXXSoftwareMicrosoftOutlookExpress5.0Mail(其中 XXXXXXXX 为缺省用户ID值) 下键值 Message Send HTML 为 1；Compose UseStationery 为 1；Stationery Name 为%Windows%Untitled.htm。当用户安装了VB，该病毒将会自动给地址薄中的邮件地址发信，邮件标题为“Help”。但是，该病毒不能正确取到邮件地址，没有发件人，因而不能发送。如果收件箱中的有未读邮件，则病毒会自动回复这些信件。如果未安装VB，则该病毒不会自动通过邮件传播。只有当染毒的用户在发送邮件时，该病毒会自动插入到邮件体中。当用户收到上述邮件后，如果使用Outlook，当光标条移到带毒邮件时，Outlook的预览功能将使病毒自动执行。当染毒的计算机内的时间是日+月=13，该病毒将逐步删除硬盘中的exe,dll文件，最后，导致系统瘫痪。国家计算机病毒应急处理中心已经将此病毒样本分发给我们应急网中的病毒报告人，目前江民公司、瑞星公司、金山公司、创源公司和熊猫公司都有了解决方案，用户可下载他们的升级程序，及时查杀该病毒。同时，国家计算机病毒应急处理中心提醒广大计算机用户，可以将Windows Scripting Host卸载，这样，可以阻止VBS脚本程序执行，从而，保证即使收到带毒邮件，也可以防止“欢乐时光”病毒传染、破坏。卸载方法如下：Windows 98: 控制面板添加删除程序Windows安装程序- 附件Windows Scripting Host,将WSH卸载，然后，再使用Outlook收发邮件。目前，应急中心已经接到数十个用户感染报告。并且，节后5月8日将是该病毒第一次发作的日子，国家计算机病毒应急处理中心提醒广大计算机用户，“欢乐时光”病毒不同于以往通过邮件附件传播的计算机病毒，具有极强的传播能力，必须严加防范。WSH在Windows平台上的卸载方法WSH（Windows Script Host ）是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH，用户能够操纵WSH对象、ActiveX对象、注册表和文件系统。在Windows2000下，还可用WSH来访问Windows NT活动目录服务。在带给人们便利的同时，WSH也为病毒的传播留下可乘之机。 WSH依赖于Internet Explorer 3.0（或以上）提供的Visual Basic Script 和 Jscript脚本引擎，因此只有在安装了Internet Explorer 3.0（或以上）之后，才能安装WSH。 对于Windows 98，WSH是作为操作系统的一个组件自动安装的，但用户可以从控制面板-添加/删除程序-Windows安装程序-附件,然后将“Windows Scripting Host”前的对勾去掉，再确定即可，这样可以有效预防“欢乐时光”病毒。 以下步骤未能卸载系统中的WSH,只能保证双击vbs后缀的文件时，不让其运行。因此，对于“欢乐时光”病毒还是不能完全预防。但是，可以有效防止“爱虫”此类通过邮件附件传播的VBS脚本语言病毒。对于Windows 2000和Windows ME，从开始-程序-Windows资源管理器-工具-文件夹选项-文件类型，将滚动条下移找到VBScript脚本文件，将其删除。 对于Windows 95和Windows NT 4.0， 从开始-程序-Windows资源管理器或Windows NT资源管理器-查看-选项-文件类型，将滚动条下移找到VBScript脚本文件，将其删除。 “欢乐时光”病毒的最新发展动态和处理方法 国家计算机病毒应急处理中心从4月30日至5月8日，已收到来自全国各地计算机用户的300多封电子邮件和400多个咨询、求救电话，我们都作了回复和处理。同时，中央电视台和多家报纸都发布了国家计算机病毒应急处理中心的病毒预警通知。在5月8日，我们收到一百多例遭受破坏的报告，低于我们的预期数量，对“欢乐时光”病毒的应急处理工作取得阶段性成果。但是，由于“欢乐时光”病毒的传染特点，它可以染.htm、.vbs、.asp、.html后缀的文件。目前，我们已经发现个别网站遭受该病毒的感染。那么，访问这些网站的用户都会感染此病毒。我们已经通知了相关网站做好紧急处置工作。目前江民公司、瑞星公司、金山公司、创源公司、熊猫公司、新趋公司、冠群金辰公司都有了解决方案，用户可下载他们的升级程序，及时查杀该病毒。同时，国家计算机病毒应急处理中心提醒广大计算机用户，可以将Windows Scripting Host卸载，这样，可以阻止VBS脚本程序执行，从而，保证即使收到带毒邮件，也可以防止“欢乐时光”病毒传染、破坏。卸载方法如下：Windows 98: 控制面板添加删除程序Windows安装程序附件Windows Scripting Host,将WSH卸载，然后，再收发邮件。从目前情况来看，遭受该病毒感染的网站数量有增长的趋势，这个渠道会导致病毒大量传播。所以，国家计算机病毒应急处理中心提醒各网站和网站维护人员，务必加强对“欢乐时光”病毒的预防工作，保证自身的网站免遭病毒的感染，遏制病毒进一步扩散、传播。同时，广大计算机用户如果已遭受该病毒传染、破坏，首先及时升级杀毒软件，使用软盘引导系统，使用单机版杀毒软件将系统中残留的病毒彻底清除，然后重新安装系统和防病毒软件，并将病毒防治产品的实时监控功能打开，防止再次感染此病毒。国家计算机病毒应急处理中心正在密切监测“欢乐时光”病毒的发展动态，防止出现该病毒的变种，如果用户发现新的变种，请立即将病毒样本报送给我们欢乐时光感染新欢乐时光病毒后，系统资源被大量消耗，导致系统变得极为缓慢，而且在本地系统上的每个文件夹内都会平白无故的增加desktop.ini及folder.htt两个文件。它还会利用 Windows 系统的“资源管理器”进行寄生与感染。看到这个题目，朋友们一定会觉得太老套了！因为以前已经有很多关于“新欢乐时光”病毒的文章，而且这个病毒很容易查杀，即便没有杀毒软件，通过手工也能轻易清除，然而笔者最近在手工清除这个病毒时却遇到了不小的麻烦，且听我一一道来：我首先在“文件夹选项”中设置“显示所有文件”；然后用Windows的查找功能找到所有隐藏的Desktop.ini、Folder.htt和Kjwall.gif文件并删除之；其次删除注册表中“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的的Kernel.dll键值，重启计算机；最后删除Windowssystem 中的Kernel.dll文件。这时出现了一个小问题，在Windows中无论如何都删除不了这个文件，提示说正在被系统使用。奇怪了，已经在注册表的启动项中删除了并且也重启了计算机怎么会还在被使用呢？转念一想，既然这个文件是病毒生成并调用的，转到DOS下删除了就行，于是我重启计算机转到DOS下，找到Kernel.dll并将其删除，没想到回到Windows后却出了大麻烦，只见屏幕上方闪出一段乱码，紧接着“嗒”的一声就关机了！怎么会这样？我急忙再次开机，自检之后直接就进入到了启动菜单，选择“安全模式”进入，也是闪过蓝天白云图后就关机，采用逐步进入情况一样，这下我愣住了！为什么会出现这种情况呢？既然连安全模式都进不了，那一定是系统文件损坏或是丢失了，导致在启动Windows时加载系统文件发生严重错误，所以才自动关机，问题出在哪呢？难道是删除的Kernel.dll文件？看来这个Kernel.dll文件一定不是病毒单独生成的，而是将某一个系统文件进行修改并改名后，让病毒程序和Windows系统共享使用这个文件，删掉它就相当于删除了相应的系统文件！对症下药，我在DOS下重新安装了Windows 98，进入系统后一切正常。痛定思痛，希望朋友们以后在遇到病毒后最好还是用最新的杀毒软件进行查杀，要用手工的话一定要倍加小心！新欢乐时光2002 年，在为数不多的病毒潮中，新欢乐时光 VBS.KJ 一直纠缠不断，令人防不胜防。旧痛未去，新“欢”又起，一个变形更为复杂的新欢乐时光变种在 2003 年的一开始便发起了新一轮的攻击！和新欢乐时光病毒相比，该变种为了躲开反病毒软件的检查，增加了新的加密方法，其目标是直接避开规则特征码查杀方法。而其真正病毒代码却变化不大，基本上继承了其前辈的“作风”：感染 html/htm、jsp、vbs、php、asp，感染邮件信纸，利用 Windows 系统的“资源管理器”进行寄生与感染，感染后的机器系统资源被大量消耗，速度变慢等。 特征1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示视力)。2、在 %Windows%System32 中生成 inet.vxd 和 setup.txt 文件。3、在 Windows 9X 系统中，生成 %Windows%SystemKernel.dll 文件；在 Window