路過MIS的睏貓

1. 修改IRPStackSize
a. 按一下 [開始]，按一下 [執行]。
b. 輸入：regedit，然後按一下 [確定]。
c. 找到下列機碼:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
d. 在右邊的視窗, 雙擊 IRPStackSize 的值。
提示: 如果 IRPStackSize 並不存在,請依下列方式建立：
(1). 在 Parameters 資料夾上按右鍵。
(2). 指向新增, 並選取 DWord 值。
(3). 輸入 IRPStackSize
重要: 請注意大小寫。
　
e. 更改底數為十進制。
f. 在值的資料欄輸入
25然後按確定。
g. 結束登錄編輯程式。
3. 更改完登錄機碼後， 必須重新啟動電腦，或重新啟動"伺服器服務" 。
可以透過下列方式:
a. 按一下 [開始]，按一下 [執行]，輸入：cmd，然後按一下 [確定]。
b. 輸入 net stop server
c. 當服務停止後, 再輸入 net start server 重新啟動該服務.
4. 當執行完後，相關的登錄值即會更新。可以觀察問題是否解決。

Event Type:    Warning
Event Source:    NtFrs
Event Category:    None
Event ID:    13508
Date:        4/23/2008

事件類型:    錯誤
事件來源:    WLBS
事件類別目錄:    無
事件識別碼:    35
日期:        2008/4/28

事件類型:    錯誤
事件來源:    NtFrs
事件類別目錄:    無
事件識別碼:    13568
日期:        2008/4/28

某使用者的工具列很奇妙，下班時明明就沒動什麼
但是在登入後，下方的工具列會多一塊空白的區域
在空白的工具列上>按右鍵-->工具列：
有多一個語言列(二個都有勾)
每次解決方法都不同。

使用 Add/Remove-MailboxPermission 指令程式可新增/移除完整存取權限至信箱。
此範例會授與 Ted Bremer 對 Ellen Adam 信箱的完整存取權。
Add-MailboxPermission -Identity "Ellen Adams" -User TedBrem -Accessright Fullaccess -InheritanceType all

事件識別碼 1030、來源 Userenv。Windows 無法查詢說明： 如需 [ 群組原則 ] 物件的清單。 原則引擎先前記錄了說明原因的訊息。 徵狀 當您將群組原則套用到在 Microsoft Windows 2000 網域控制站， 組織單位 (OU) 設定無法套用至 Microsoft Windows XP Professional (商用版) 用戶端電腦是連接至網域控制站。 用戶端電腦上的下列事件會記錄在應用程式記錄檔：
解決方案 如果要解決這個問題， 請依照下列步驟執行：

1.	網域控制站上按一下 [ 開始 ] 指向 [ 程式集 ] 、 指向， 系統管理工具 ] ， 然後按一下 [ Active Directory 使用者及電腦 ] 。
2.	在 [ 檢視 ] 功能表， 按一下 [ 進階功能 。
3.	在右窗格， 在您要套用 [ 群組原則 ] 設定， [ OU ] 按一下滑鼠右鍵並按一下 [ 內容 ] 。
4.	按一下 [ 安全性 ] 索引標籤， 及 [ 已驗證的使用者 清單中。
5.	在 [ 權限 ] 方塊， 確定已選取 [ 允許 ] 核取方塊， 為 「 讀取 」 。
6.	按一下 [ 群組原則 ] 索引標籤， 並按一下 [ 內容 ] 。
7.	按一下 [ 安全性 ] 索引標籤， 及 [ 已驗證的使用者 清單中。
8.	在 [ 權限 ] 方塊， 請確定為 讀取 ] 和 [ 套用群組原則 ] 是選取 [ 允許 ] 核取方塊。
9.	按兩次 [ 確定 ] 。
10.	按一下 [ 主控台 ， 及 [ 結束 ] 。
11.	請按一下 [ 開始 ] ， 按一下 執行 ， 型別 cmd然後按一下 [ 確定 ]
12.	在命令提示字元中，輸入 secedit /refreshpolicy user_policy /enforce然後按 ENTER 鍵
13.	在命令提示字元中，輸入 secedit /refreshpolicy machine_policy /enforce然後按 ENTER 鍵
14.	型別 exit，然後按下 ENTER 鍵，結束命令提示。.
15.	在用戶端電腦上， 請按一下 [ 開始 ] ， 按一下 執行 ， 型別 cmd然後按一下 [ 確定 ]
16.	在命令提示字元中，輸入 gpupdate然後按 ENTER 鍵
17.	型別 exit，然後按下 ENTER 鍵，結束命令提示。.

發生情形：卡巴一直跳出抓到病毒的視窗，說掃到C:\Pro~\system\winrdg32.exe被刪除
在網上搜尋解決方法，沒有特別有效的。
檢查了：
1.註冊機碼
2.卡巴掃描

Event Type:    Information
Event Source:    NtFrs
Event Category:    None
Event ID:    13516
Date:        3/6/2008

徵狀當 Microsoft Windows Server 2003 DNS 伺服器收到封包包含 DNAME 資源記錄， DNS 記錄檔中會記錄下列事件：事件型別： Information
事件來源： DNS
事件識別碼： 5504
描述： 的 DNS 伺服器遇到在來自 IP_Address 封包的不正確的網域名稱。 封包會被拒絕。 事件資料包含 DNS 封包。

到 CMD 底下輸入 tasklist /svc 就能查到各工作進程在處理什麼工作。
 
chkdsk c: /P/r/f
在DOS的模式選擇使用控制台復原的指令

病毒防護

---

http://www.twncert.org.tw/tw/security_solution_content.php?id=3218
日期：2008-02-19名稱：下載其它惡意程式的 W32.Mikbaland蠕蟲類別：蠕蟲簡介：W32.Mikbaland 下載其它惡意程式並散播到所有分享與行動裝置中的蠕蟲。受影響系統：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP內容：當 W32.Mikbaland 執行時，會產生下列動作：
1.建立下列檔案：
　C:\1.hiv
　C:\2.hiv
　C:\AUTORUN.INF
2.復製本身成下列檔案：
　%System%\iexplorer.exe
　%System%\wuauc1t.exe
3.復製到所有分享與行動裝置中：
　%DriveLetter%\explorer.exe
4.復製 %System%\urlmon.dll檔到下列檔案中：
　%System%\urlurl.dll
5.建立下列登錄機碼，當windows每次啟動時執行：
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
　"IEXPLORER"="%System%\iexplorer.exe"
6.建立下列子登錄機碼：
　HKEY_CURRENT_USER\Software\mmtest
　HKEY_CURRENT_USER\Software\mmtest\IEXPLORER
7.修改下列登錄機碼：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
　advanced\folder\hidden\showall\"CheckedValue" = "0"
8.修改下列登錄機碼，取代應用程式：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　Image File Execution Options\[FILE NAME]\"Debugger" = "%System%\wuauc1t.exe"
9.[FILE NAME]可為任何執行檔，不包含下列字串：
　360rpt.EXE
　360safe.EXE
　360tray.EXE
　ANTIARP.exe
　Ast.EXE
　AutoRunKiller.exe
　AvMonitor.EXE
　AVP.EXE
　CCenter.EXE
　Frameworkservice.EXE
　IceSword.EXE
　Iparmor.EXE
　KASARP.exe
　KRegEx.EXE
　KVMonxp.kxp
　KVSrvXP.EXE
　KVWSC.EXE
　Mmsk.EXE
　Navapsvc.EXE
　Nod32kui.EXE
　QQDOCTOR.EXE
　Regedit.EXE
　VPC32.exe
　VPTRAY.exe
　WOPTILITIES.EXE
　Wuauclt.EXE
10.結束下列程序：
　360Safe.exe
　360tray.exe
　ANTIARP.exe
　KASARP.exe
　KRegEx.exe
　kvsrvxp.exe
　KVWSC.EXE
　runiep.exe
　scan32.exe
　TBMon.exe
　UpdaterUI.exe
　VPC32.exe
　VPTRAY.exe
　VsTskMgr.exe
11.連接下列網址下載檔案：
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/10.[REMOVED]
　[http://]2.trojan8.com/dd/11.[REMOVED]
　[http://]2.trojan8.com/dd/12.[REMOVED]
　[http://]2.trojan8.com/dd/13.[REMOVED]
　[http://]2.trojan8.com/dd/14.[REMOVED]
　[http://]2.trojan8.com/dd/15.[REMOVED]
　[http://]2.trojan8.com/dd/16.[REMOVED]
　[http://]2.trojan8.com/dd/17.[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/ar.[REMOVED]
　[http://]2.trojan8.com/dd/do.[REMOVED]
　[http://]2.trojan8.com/dd/gz.[REMOVED]
　[http://]2.trojan8.com/dd/self[REMOVED]解決方案：1.暫時關閉系統還原功能 (Windows Me/XP)
　系統還原功能能夠使系統回復到預設狀態，假如電腦的資料毀損，則可以用來復原資料。
　系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
　系統還原功能，當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
　中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
　關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁：
　關閉Windows Me還原功能
　關閉Windows XP還原功能
2.更新病毒定義檔
　至所使用防毒軟體之公司網站下載最新的病毒定義檔
　賽門鐵克
　趨勢科技
3.執行全系統掃描
　(a)執行防毒軟體，並設定為執行全系統掃描
　(b)如果偵測到病毒，則採取防毒軟體所建議的步驟
　(註1)如果沒有防毒軟體，可以到以下網站線上掃毒：
　http://www.kaspersky.com.tw/virusscanner/#
　http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
　http://housecall.trendmicro.com/
　(註2)如果防毒軟體無法刪除病毒，則需重新啟動至安全模式，
　　　 依防毒軟體指示刪除病毒，再進行下一步驟。
　(註3)如果出現檔案遺失的訊息，在完全移除病毒後便不會再出現，請點選「確定」略過訊息。
　(註4)如何開啟安全模式請參考。
　http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
　/2001052409420406?OpenDocument&src=sec_doc_nam
　(c)如果掃描出任何病毒，請刪除病毒
　(註)假如防毒產品無法移除受感染的檔案，請以安全模式開啟，並再次執行掃毒程序，
　　　移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
　　　(Warning messages)，因為此時威脅仍未完全解除，可忽略此警訊點選OK，
　　　指令完全移除後，重新開機便不會再出現警訊，警告訊息呈現如下列所示：
　　　Title: [FILE PATH]
　　　Message body: Windows cannot find [FILE NAME].
　　　Make sure you typed the name correctly, and then try again.
　　　To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value)：
　(a)滑鼠左鍵點選 開始\執行
　(b)鍵入 regedit
　(c)滑鼠左鍵點選 確定
　(d)刪除下列登錄項目：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
　　"IEXPLORER"="%System%\iexplorer.exe"
　(e)刪除下列子登錄項目：
　　HKEY_CURRENT_USER\Software\mmtest
　　HKEY_CURRENT_USER\Software\mmtest\IEXPLORER
　(f)如有需要，恢復下列登錄項目初始值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
　　advanced\folder\hidden\showall\"CheckedValue" = "0"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　Image File Execution Options\[FILE NAME]\"Debugger" = "%System%\wuauc1t.exe"
　[FILE NAME]可為任何執行檔，不包含下列字串：
　　360rpt.EXE
　　360safe.EXE
　　360tray.EXE
　　ANTIARP.exe
　　Ast.EXE
　　AutoRunKiller.exe
　　AvMonitor.EXE
　　AVP.EXE
　　CCenter.EXE
　　Frameworkservice.EXE
　　IceSword.EXE
　　Iparmor.EXE
　　KASARP.exe
　　KRegEx.EXE
　　KVMonxp.kxp
　　KVSrvXP.EXE
　　KVWSC.EXE
　　Mmsk.EXE
　　Navapsvc.EXE
　　Nod32kui.EXE
　　QQDOCTOR.EXE
　　Regedit.EXE
　　VPC32.exe
　　VPTRAY.exe
　　WOPTILITIES.EXE
　　Wuauclt.EXE
　(g)離開登錄檔編輯器