2006年08月22日

 

隐藏文件夹,比如c:\documents and settings\user name下面的local settings,不能显示的时候,我们一般都会在Windows Explorer的工具菜单,文件夹选项,察看,选中‘显示隐藏文件和文件夹’

 

但是当你的电脑被某些病毒感染的时候,有可能即使你选择‘显示隐藏文件和文件夹’,‘应用’之后,隐藏文件和文件夹仍然无法显示,你再去察看文件夹属性,发现它又变回了‘不显示隐藏文件和文件夹’

 

这种情况下,通常要检查注册表中

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉CheckedValue,然后单击右键新建“Dword,并命名为CheckedValue,然后修改它的键值为1

相关知识:

Show Hidden Folders and Files

Registry Settings

User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
Value Name: Hidden
Data Type: REG_DWORD (DWORD Value)
Value Data: (1 = show hidden, 2 = do not show)

 

 

Show Hidden Operating System Files

Registry Settings

User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
Value Name: ShowSuperHidden
Data Type: REG_DWORD (DWORD Value)
Value Data: ( 0 = Hide Files, 1 = Show Files)

2006年08月18日

这个是从别的网站学到的东西,一个外文的网站,就不翻译了。

 

When you open Internet Options – Security tab and click on any Zone (except Internet Zone), the Sites button may be grayed out. As a result, you may be unable to add or remove a website to the specified Zone. Additionally, you may also notice that the Custom level slider is grayed out. This prevents you from customizing the Security level for that particular Zone.

The Flags value in the registry governs the above two options (and more) for each Zone. See Description of Internet Explorer security zones registry entries for more information on the Flags value.

To enable the Sites button and the Custom Level slider for that particular Zone, follow these steps:

  • Open Registry Editor (regedit.exe) and navigate to:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\{Zone ID}

Zone

{Zone ID}

Local intranet

1

Trusted sites

2

Internet

3

Restricted sites

4

  • Backup the key by exporting it to a REG file.
  • In the right-pane, double-click Flags and click Decimal
  • Add 3 to the existing Value data

Example: If Flags value reads 0 (Decimal), set it to 3  (i.e., 0 + 1 + 2)

Flags value listing (from MS-KB 182569)

Flags value

Setting

1

Allow changes to custom settings

2

Allow users to add Web sites to this zone

4

Require verified Web sites (https protocol)

8

Include Web sites that bypass the proxy server

16

Include Web sites not listed in other zones

32

Do not show security zone in Internet Properties

64

Show the Requires Server Verification dialog box

128

Treat Universal Naming Connections (UNCs) as intranet connections

  • Close Registry Editor and open a new instance of Internet Explorer.

Related article Custom Level and Default Level buttons in Internet Options Security tab are grayed out

问题:当用户点击一个url link,或者网页的shortcutIE不能将用户直接连接到相应的网页,而是出现一个空白的IE窗口。

原因:该问题产生的原因是客户安装了第三方的网页浏览工具,如AOL Browser,导致注册表中一些数据的破坏。

解决方法:让在客户的电脑中运行如下的命令,重新注册一下几个重要的动态链接库文件:

u          Start > Run > regsvr32 urlmon.dll > OK. (可能作完这一步操作就能解决问题,如果不行的话,把下面的命令也全部执行一次)

u          Start > Run > regsvr32 Shdocvw.dll > OK

u          Start > Run > regsvr32 Actxprxy.dll > OK

u          Start > Run > regsvr32 Oleaut32.dll > OK

u          Start > Run > regsvr32 Mshtml.dll > OK

u          Start > Run > regsvr32 Browseui.dll > OK

u          Start > Run > regsvr32 Shell32.dll > OK

u          如果还是不行的话,可以到Tools > Internet Options > Programs > click ‘Reset Websettings’ > OK

Link: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281679&sd=tech

2006年08月08日

 

Windows PE 全称为Windows Preinstallation EnvironmentWindows预安装环境),它基于Windows XP内核,能引导系统、读写FAT32/NTFS格式的分区、访问网络,具有图形界面的特点很适合做系统崩溃后的救急平台,用来维护系统。遗憾的是,普通用户没有得到微软的授权,无法使用Windows PE

 

  现在好了,我们可以利用Barts PE Builder打造一个可引导系统的CDDVD光盘。它的功能类似于Windows PE,引导系统后可以创建32位的图形界面操作环境,支持网络和远程管理功能,支持FAT32NTFSCDFS等各种分区格式,采用800×600的分辨率,可用于诊断或修复系统。目前最新版本支持Windows XPWindows Server 2003。下载地址:http://www.nu2.nu/pebuilder/download/

 

  步骤1:准备工作

 

  首先在硬盘上腾出一个剩余空间较大的分区(至少有300MB剩余空间),预备存放ISO镜像文件或刻录临时文件,将下载回来的pebuilder3015.zip文件解压缩,然后双击运行pebuilder.exe文件,在弹出的窗口中点击「Next」按钮进入下一步。

 

  步骤2:设置文件源

 

1Path to Windows installation filesWindows安装文件路径

 

  可以选择安装光盘,也可以选择本机硬盘或网络(这需要事先将安装光盘中的文件复制到硬盘中),Barts PE Builder支持Windows XP Home/ProfessionalWindows Server 2003 Web Edition/Standard Edition/Enterprise Edition等版本,可惜的是不支持Windows 2000

 

  (2Path to your already installed Windows:本机或网络中已存在的Windows系统

 

  这里显示了从本机所侦测到的Windows系统,例如「C\WINDOWS」,一般不用更改,当然你也可以选择网络中的其他Windows系统,但需要说明的是必须与「Path to Windows installation files」中的系统版本一致,主要是「\i386\ntdll.dll」文件的版本必须一致。例如系统中的Windows XP已经安装了SP1,但安装光盘却仍然是Windows XP,此时你就只能重新制作一张包含了SP1Windows XP光盘,否则会提示出错。

 

  (3Add files/folders thiscustomdirectory to ISO:添加自定义文件或文件夹到ISO镜像文件我们可以在这里添加特定的文件或文件夹,例如将FoxmailFlashGetQQ等添加进去,直接点击右侧的浏览按钮即可。

 

  步骤3:设置网络服务

 

  如果选中了「Enable Network Support」复选框,那么以后用这张工具盘启动成功后就可以访问网络,不过如果你想使用这一功能的话,你需要事先准备好factory.exenetcfg.exe这两个文件,或者是x86factory.exex86netcfg.exe两个文件,而且factory.exe文件的版本必须高于5.2.3790,你可以从Windows Server 2003安装光盘的「\support\tools\deploy.cab」压缩包中获取这两个文件,或者从Windows Server 2003 Resource Kit Tools工具包中获取,这两个文件的容量为12MB

 

 

    步骤4:配置插件

 

  插件相当于Windows桌面系统里安装的软件。Barts PE Builder本身已内置了ERD2002Ghost32IrfanviewNero Birning RomRamdisk25个插件,有些插件直接添加后即可使用;有些插件例如Total CommanderAd-Aware等在使用之前还需要添加相应的程序文件;而Disk CommanderERD Commander 2002Ghost32Nero Burning Rom4个插件需要付费后才能使用。

 

  这里显示了当前设置下所有插件的激活状态,如果「Enabled」列显示「Yes」的话,则代表该插件已被激活,例如「Boot Fix」插件可以在启动时显示「Press any key to boot from CD」的信息;如果显示「No」,则代表该插件未被激活,我们可以通过「Enable/Disable」按钮选择是否需要激活该插件,而「Edit」按钮则可以重新配置插件程序的安装源、程序名等选项。

 

提示:如果插件文件不全,点击「Enable/Disable」按钮后会提示缺少的文件,你可以下载相应的软件并在Windows中安装好,然后根据提示,将缺少的文件复制到Plugins目录下即可。详细的提示可通过点击「PluginHelp」按钮获得。

 

  每个插件文件夹下都至少包含了*.htm*.inf*.xml三个文件。从http//www.nu2.nu/pebuilder/#plugin还可以下载更多的插件。另外你也可以自己定制插件,这就需要拷贝相应的文件到Plugins目录下,并编写相应的INF文件,此处就不赘述了。

 

    步骤5:输出设置

 

  默认的文件输出路径是「c\pebldr」,而ISO镜像文件则会被放到系统临时目录中,当然你也可以另行设置,唯一的条件是要保证目标盘有足够的可用空间。

 

步骤6:创建ISO文件

 

  点击「Next」按钮,Barts PE Builder会立即开始执行创建操作,系统首先会从Windows安装光盘中拷贝必要的文件到前面所设置的输出目录中,这里需要一定的时间。耐心等待片刻,一个ISO格式的光盘镜像文件就创建完成了。文件名默认为pebuilder.iso

 

  最后,将这个ISO文件刻录到光盘上,就可以得到量身定做的Windows PE工具盘了。用这张工具盘引导系统后,会出现图5所示的界面,在这个界面下进行操作,相信不会有什么问题了吧。

 

2006年07月27日

这个问题是比较简单的,但是还是贴出来与大家分享一下。

大家应该都能看到在Quick Launch Bar里面有一个显示桌面/Show Desktop的浅蓝色图标,当你点击它的时候,可以一步回到桌面,但是如果不小心操作把它弄没了该怎么办呢?

解决方法1:
打开一个Notepad,在里面输入:
[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop
然后保存为Show Desktop.scf并放到C:\Documents and Settings\user name\Application Data\Microsoft\Internet Explorer\Quick Launch (当然你的机器里documents and settings有可能放在别的盘符里,比如D, 那就把c:\documents and settings\…..改成d:\documents and settings\…)

解决方法2
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch中的Show Desktop的图标拖到Quick Launch Bar

2006年07月20日

当尝试操作磁盘碎片整理的时候,出现了如下错误信息:

 
[img]http://img9.picsplace.to/img9/20/11_021.jpg[/img]

[b]原因:[/b]出现这个错误信息的原因可能是多样的,可能是选定的磁盘空间不够,可能用户在scheduled tasks里面加了一条磁盘检查(chkdsk)的任务,可能上一次的chkdsk进程并没有完全结束,可能磁盘有错误所以必须先进行磁盘检查,可能用户安装的一些软件不允许用户做碎片整理,如spyware doctor。

[b]解决:[/b]
一、检查有没有spyware doctor软件,如果有的话,删除。google到如下的关于一些反间谍软件和该问题的一些联系,加进来,仅作参考:
Symantec AntiVirus Corporate Edition 9.0 can cause the problem.

Chkdsk.exe or ScanDisk fails to run on Windows XP or Windows 2003 after
installing Symantec AntiVirus Corporate Edition 9.0
[url]http://service1.symantec.com/SUPPORT/ent-security.nsf/529c2f9adcf33a1…[/url]

A program called Hitman Pro can cause the problem.

A really old version of ZoneAlarm (a version from 2004) can cause the
problem.

BitDefender Internet Security 9 can cause the problem.

[[Ok BitDefender live support told me yesterday that they are working on it
and
sending people analyse tools but she didn't send me one.....]]
from…
K…@discussions.microsoft.com 21 May 2006

Spyware Doctor can also cause the problem.

The /x switch doesn’t work if Spyware Doctor is installed.  Spyware Doctor
needs to be uninstalled or you can do this…

Quoted from *PCTools*, *Spyware* *Doctor*…
1. Exit from Spyware Doctor (to exit from Spyware
Doctor please right click on the Spyware Doctor icon in
the notification area (next to the clock on the Windows
taskbar) and select Exit from the menu that appears)

2. Delete the file
ikhlayer.sys from %windir%\system32\drivers\
or
from c:\windows\system32\drivers\

3. Restart Spyware Doctor

Chkdsk, defrag and error-checking should now work.

二、检查Start > All programs > Accessories > System tools > Scheduled task里面有没有计划任务,如果有的话,删除。
三、磁盘空间不是很多的话,也会导致这个问题,因为做碎片整理的时候,它需要一定的空间来移动文件,如果磁盘空间不是很多,可以将一些文件转移到别的磁盘然后再试一下。
四、重新启动电脑,进入恢复控制台,输入完管理员密码进入后,输入chkdsk c: /r (c代表你要检查的磁盘)结束之后,输入exit推出恢复控制台。(/r代表repair,这个命令要比 chkdsk /f要管用)

以上操作基本可以解决问题。

 

想进行碎片整理的时候,你发现Analyze和Defragment两个按钮都是灰色的,不能点击,或者当你点击之后,出现如下错误信息:
Snap-in failed to initialize,
CLSID: {43668E21-2636-11D1-A1CE-0080C88593A5}

 
[img]http://www.andreasroom.com/HowTo/images/snapinfailed.JPG[/img]

原因:原因可能是多样的,但一种可能性是你安装了第三方的磁盘碎片整理工具,比如Diskeeper,但是即使卸载,你也仍然无法进行磁盘碎片整理。

解决方法:
Start > Run > 输入 regsvr32 dfrgsnap.dll > OK
Start > Run > 输入 regsvr32 dfrgui.dll > OK.

如果注册完以上两个文件问题还是没有得到解决的话,点击进入C:\windows\inf 文件夹,右键点击dfrg.inf, 选择Install.

2006年07月17日

前段时间在用BT下载,由于是个BT新手,不小心点击下载了一个带病毒的东西,造成任何程序都无法打开,给人的第一印象就是所有exe文件的关联都被修改了。

与病毒作战是件有趣的事,衷心感谢那些在网上发表解决方案的朋友,没有他们的分享,我可能早就重新作了操作系统。在此把我google到的解决方案结合我自己的实例给贴出来,希望偶尔看到此帖的朋友可以有所收获。

smss.exeSession Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的WinlogonWin32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"/WINDONS/SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "/WINDONS/SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDONS%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项.

症状:
1.
任务管理器中2smss.exe进程,一个是系统进程,另外一个用ntsd可以关掉,不过关掉后马上就再出现,文件在c:\windows,不把"显示系统文件"打开就看不到,经过HijackThis扫描修复不管用.直接删除无效,在安全模式删除也没用,用文件粉碎机删除也无效.会在注册表run项中自动加入,删除后马上又再出现.用木马杀客能发现木马,但清除后马上又出现了.
2.
D盘根目录下有2个文件,一个是autorun.ini,内容为
[autorun]
OPEN=D:\command.com
另一个就是command.com文件,与上面的smss.exe一样被伪装成系统文件.autorun.inicommand.com删除后很快就再出现.
3.任何程序都不能正常打开,当尝试打开程序的时候,会出现‘选择程序打开’的画面。而且在进程中,会增加一个程序exerouter.exe

4. iexplore.exe进程会在开机后自动启动,而且可能有二、三个,即使你没有打开IE窗口。而且它们会占据很高的CPU内存。如下图所示:

5. 可能你还会在任务管理器里看到两个winlogon.exe程序。

 

建议的操作步骤:

1. 启动电脑到安全模式,到进程里察看是否有两个smss.exe程序在运行,可以通过tasklist命令来确定哪一个为系统核心程序,哪一个为木马程序。系统的核心程序所调用的dll文件应该只有ntdll.dll,如下图所示:

2. 停止木马程序的smss.exe进程,如果直接停止不可以的话,可以通过ntsd -c q -p pid来停止,pid就是木马进程的PID。如果有两个winlogon.exe进程的话,你也需要用ntsd -c q -p pid命令把用户名为你的登录名的winlogon.exe进程给结束掉, 系统正常的winlogon.exe程序的用户名应该是SYSTEM.

3. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件,删除它们:(你可能只能发现以下所列的部分文件)
C:\autorun.inf
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\services.exe

%Windows%\winlogon.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
开始菜单\程序\下的:
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk
注:直接从我的电脑资源管理器里找,或者通过搜索查找,在那些病毒文件没有被删除之前,不要做其它任何多余的操作。


4.
打开注册表编辑器,(用regedit.exe是无法进入注册表编辑器的,这时候可以通过先将c:\windows下面的regedit.exe改名为regedit.com,然后在开始、运行里输入regedit.com来进入)
依此分别查找
“rundll32.com”“finder.com”“command.pif”,把找到的内容里面的“rundll32.com”“finder.com”“command.pif”分别改为“Rundll32.exe”
5.
查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
6.
查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
7.
查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
8.
删除病毒添加的文件关联信息和启动项

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"

9. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

10. 下载System Repair Engineer (SReng.exe)来修复exe文件的关联。下载地址:http://www.kztechs.com/sreng/

11.最好用Symantec Antivirus之类的杀毒软件在安全模式作一个全面的系统扫描。

12.重新启动计算机到正常模式。

Fport 下载地址:http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm

前言:如何使用Fport命令?

 

  Fport是查看系统进程与端口关联的命令,使用方法是先把下载下来的Fport.exe存到c:\windows\system32下,在命令行方式下输入Fport后回车,输出结果格式如下:

 

  Pid Process Port Proto Path

  472 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

  8 System -> 445 TCP

  580 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe

  8 System -> 1026 TCP

  8 System -> 445 UDP

  444 rtvscan -> 2967 UDP C:\Program Files\NavNT\rtvscan.exe

  812 MsgSys -> 38037 UDP C:\WINNT\System32\MsgSys.EXE

 

  这其中port下面代表的是系统当前开放的端口而path下面列出的是与该端口关联的程序及其所在位置。

  从上面这个结果看,系统上135445端口是与C:\winnt\system32\svchost.exe程序关联的10251026445udp)端口与        c:\winnt\system32\mstask.exe程序关联的2967(udp)端口是与C:\Program Files\NavNT\rtvscan.exe程序关联的38027(udp)端口是与  C:\WINNT\System32\MsgSys.EXE程序关联的

 

注:fport仅适用于winntwin2000winxp,在win98下无法使用

 

 

 

 

 

清除木马的基本步骤:

 

  注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整

  win98系统: c:\windows c:\windows\system

  winntwin2000系统: c:\winnt c:\winnt\system32

  winxp系统: c:\windows c:\windows\system32

根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\windows改为D:\windows依此类推大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:

 

  例:113端口木马的清除(仅适用于windows系统):

  这是一个基于irc聊天室控制的木马程序。

 

  1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

 

  2.使用fport命令察看出是哪个程序在监听113端口

  例如我们用fport看到如下结果:

  Pid Process Port Proto Path

  392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

 

  我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为

  c:\winnt\system32下。

 

  3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。

 

  4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。

 

  5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如,rscan.exepsexec.exeipcpass.dicipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与 监听113端口的木马程序有关的其他程序)

 

  6.重新启动机器。

 

2006年07月14日

问题一:你可能发现winmgmt.exe占用了很多的CPU,如果这样的话,试一下下面的操作:

KB number in microsoft.com:830075

SYMPTOMS

If you click the Processes tab in Task Manager, Winmgmt.exe may report a higher number than you expect in the CPU column.

CAUSE

This issue may occur if your computer uses Windows Management Instrumentation (WMI), and verbose logging is turned on for WMI.

RESOLUTION

To resolve this issue, change the WMI logging level to "errors only". To do so, follow these steps:

1.

Click Start, click Run, type wmimgmt.msc, and then click OK.

2.

Right-click WMI Control (Local), and then click Properties.

3.

Click the Logging tab, and then click Errors only under Logging level.

 

问题二:当你查看事件查看器的时候(eventvwr.msc), 有一个ID为28的错误报告,报告的完整内容为:

WinMgmt could not initialize the core parts.

This could be due to a badly installed version of WinMgmt, WinMgmt repository upgrade failure, insufficient disk space or insufficient memory.

解决这个问题并且重建一下丢失或损坏的文件,做以下操作:

1.       Start a command-line session.

2.       Unregister any WMI service (also known as WinMgmt) performance libraries by typing

winmgmt /clearadap

3.       Stop all running copies of the WMI service by typing

winmgmt /kill

4.       Unregister the WMI service by typing

winmgmt /unregserver

5.       Register the WMI service by typing

winmgmt /regserver

6.       Register any WMI service performance libraries by typing

winmgmt /resyncperf