全面解决Generic host process for win32 services遇到问题需要关闭

解决WINXP系统开机后弹出Generic host process for win32 services 遇到问题需要关闭!
出现上面这个错误一般有三种情况。
1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要
关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run 下建立msblast.exe键值,还会在c:\windows\system32目录下会放置一个msblast.exe的木马程,解决方案如下:
RPC漏洞
详细描述:
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等.
已发现的一个攻击现象:
攻击者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:\windows\system32目录下会放置一个 msblast.exe的木马程序.
另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。
建议到http://www.microsoft.com/security/security_bulletins/ms03-026.asp下载相应补丁。如果已受攻击,建议先拔掉网线,在任务管理器中结束msblast.exe进程,清除注册表中的相应条目,删除system32下的木马程序,最后打补丁。

第二种情况是排除病毒后,还出现这样的问题,一般都是IE组件在注册表中注册信息被破坏,可以按下面的方法去解决该问题:
1。 在”开始”菜单中打开”运行”窗口,在其中输入”regsvr32 actxprxy.dll”,然后”确定”,接着会出现一个信息对话 框”DllRegisterServer in actxprxy.dll succeeded”,再次点击”确定”。
   2 再次打开”运行”窗口,输入”regsvr32 shdocvw.dll
   3 再次打开”运行”窗口,输入”regsvr32 oleaut32.dll
   4 再次打开”运行”窗口,输入”regsvr32 actxprxy.dll
   5 再次打开”运行”窗口,输入”regsvr32 mshtml.dll
   6 再次打开”运行”窗口,输入”regsvr32 msjava.dll
   7 再次打开”运行”窗口,输入”regsvr32 browseui.dll
   8 再次打开”运行”窗口,输入”regsvr32 urlmon.dll
如果排除病毒问题后,做完上面的几个IE组件注册一般问题即可得到解决。

3.如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成这个错误。解决方法如下:
重装打印机驱动程序。
一般情况下做到上面三步后,该问题即可得到全面解决。

揭开SVCHOST.exe进程之谜

svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。

  大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。

发现

  在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器 ”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。

  如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

  windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?

  原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。

  从启动参数中可见服务是靠svchost来启动的。

实例

  以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。

  在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。

解惑

  因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。

  假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

  由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。

[转帖]10月20日未到,微软反盗xp黑屏补丁已被破解

声明下本人使用的是联想XPOEM正版系统

再次警告微软,想玩奉陪到底!敢动我的电脑,老子告你非法入侵私人领地!

今天看到了WGA的更新,到虚拟机里面换了个已经被封杀的VLK,然后安装更新进行了测试,如图。
另外,f1098老兄还带来了破解方法。废话不多说,如果你不幸安装了新版WGA可以通过以下方法将其“取消”:

开始-运行-输入REGEDIT回车,在左边栏中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyWgaLogon项

  将整个WgaLogon项删除即可。以上为经过测试的最简便方法。

  这次的WGA与上次相比只增加了LegitCheckControl.dll,主要执行方式(通过WINLOGON加载)未变。显然微软此举可归为常规性不定期“恐吓”,此举也是对于盗版的无奈。

  WGA新版早已发布 盗版者屏幕确实可以变黑

  今天在微软上找到了那个即将大规模投放的kb905474补丁,其更新日期为9/23/2008,版本为1.8.0031.9。

  根据微软的描述:如果您的 Windows 副本未通过正版 Windows 验证,您将遇到下列症状:

  ? 登录通知

  登录时,在屏幕的右下角会看到以下消息:

  您可能是盗版软件的受害者。

  此 Windows 副本未通过正版 Windows 验证。

  此外,您还会看到以下消息:

  您可能是盗版软件的受害者。

  单击“立即解决”获取有关此问题的帮助。

  如果看到该消息,可使用以下两个选项:

  1 可以单击“立即解决”获取有关验证失败特定原因的更多信息并解决问题。 ? 如果选择不单击“立即解决”,稍等片刻后,将可以查看并单击“稍后解决”。如果选择此选项,在您登录后,系统会定期提醒您的 Windows 副本不是正版。接下来将说明这些通知。在通知区域还会出现一个图标,右键单击该图标可以查看一些选项,用于了解有关如何获得正版 Windows 的更多信息。

  2 通知区域

  如果 Windows 副本验证失败,您将在桌面的下部收到通知,表示您的 Windows 副本未能通过正版验证。您可以单击该通知或通知区域中的 WGA 图标,打开 Windows Genuine Advantage 验证失败网页。该网页可提供有关验证失败的细节,以及为确保操作系统为正版所需执行的步骤。

  3 永久桌面通知

  永久通知是悬浮在桌面右下角上的图像。如果您的 Windows XP 副本不是正版,永久通知将出现在任何活动窗口的下面,表示您的 Windows 副本未能通过正版验证。您可以对出现在永久通知下方的任意图标执行操作。但是,桌面上的对象无法将其隐藏。

  4 桌面背景更改

  如果 Windows 副本验证失败,桌面也会被设置为纯黑背景。您可以将背景重置为墙纸或另一背景颜色,但在您的 Windows 副本通过验证之前,每隔 60 分钟就会将桌面重置为纯黑色。

还有个简易的:

为了防止您家里的电脑到期出现黑屏,请做以下设置就可以做到不黑屏:
第一,“我的电脑”点右键,选“属性”,“自动更新”把有关自动更新的选项去掉。
第二,“我的电脑”点右键,选“管理”,点左边“服务和应用程序”旁的加号,展开,点“服务”。或者直接在“运行”中输入“Services.msc”打开服务设置窗口。在“服务”列表中,找到“AutomaticUpdates”这一项,双击,弹出的属性窗口中,“启动类型”设置为“已禁用”,确定即可。
如果是自动更新的XP请按上述情况更改系统

JavaScript中获取元素的绝对位置

在一些应用中,可能会有需要知道某一个控件在页面中的位置,在网上比较容易找到下面这个解决方法。

在页面中有一个按钮:

在脚本中响应点击事件的是这个函数:

这个方法的实现相当精炼,意思就是先取得自己的相对位置,再叠加其最近的相对位置容器(offsetParent,它不一定是其父节点)的相对位置,直至顶层位置容器(一般就是body),从而得出该节点的相对位置。

不过,很快就发现这个函数也许并不够用,因为我在页面里有可能使用了一些CSS来使得本来平铺的画面变成一个滚动区域,例如设置了父节点的height为 某个值,并且其overflow设为auto或者scroll。这时,上面的方法因为没有计算其滚动偏移,所以所得的值不一定是元素当前的绝对位置,所以 我对上面的方法进行了一些小改动,实际上就是加入了对其滚动偏移量的计算。

稍微测试了一下,基本上在IE和FF中都能正常运转。
在运用方面,由于使用到往上遍历,如果节点树结构过于复杂,而且有不会有滚动出现的话,那么还是用第一个方法就足够了。

又跑了趟太平洋数码

昨天看ipod充电器的真伪对比照片,怎么看都感觉自己买到的充电器是假的。于是今天又去了趟太平洋电子城,最后证实是正品。顺便问了一下我买的ipod nano4国内上架时间,是9月30日,上架的,嘿嘿。
炫耀帖哈。