HTFS挖矿
㈠ 急急急!!!不知中了什么病毒,CPU占用率达到100%
WinXP中CPU占用率100%原因及解决方法
我们在使用WinXP操作系统时,或多或少都遇到过CPU占用率达到100%的问题,这种情况对我们正常使用计算机造成了很大影响。下面我们来看造成CPU占用率达到100%的原因和解决方法。
·杀毒软件、驱动、病毒都可能是元凶
1、防杀毒软件造成故障
由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式:基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
2、驱动没有经过认证,造成CPU资源占用100%
大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。 处理方式:尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号
、版本。
3、病毒、木马造成
大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。解决办法:用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。
·svchost进程嫌疑很大
4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键,改为手动。
5、开始->;运行->;msconfig->;启动,关闭不必要的启动项,重启。
6、查看“svchost”进程。
svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。
·网卡问题也可能造成CPU占用率100%
7、查看网络连接。主要是网卡。
8、查看网络连接
当安装了Windows XP的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配 CPU资源来为这些连接提供服务。当负荷过重的时候,CPU占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源。
要解决此问题,我们可以通过修改注册表来解决:在注册表编辑器中依次展开[HKEY_LOCAL_ ]分支,在右侧窗口中新建一个名为“maxworkitems”的DWORD值。然后双击该值,在打开的窗口中键入下列数值并保存退出:如果计算机有512MB以上的内存,键入“1024”;如果计算机内存小于512 MB,键入“256”。
·XP中“谨慎”使用鼠标右键
9、看看是不是Windows XP使用鼠标右键引起CPU占用100%
前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用,我们来看看是怎么回事?
征兆:
在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下面所列问题:
任何文件的拷贝操作在那个时间将有可能停止相应;
网络连接速度将显著性的降低;
所有的流输入/输出
操作例如使用Windows Media Player听音乐将有可能是音乐失真成因:
当你在资源管理器里面右键点击一个文件或目录的时候,当快捷菜单显示的时候,CPU占用率将增加到100%,当你关闭快捷菜单的时候才返回正常水平。
解决方法:
方法一:关闭“为菜单和工具提示使用过渡效果”
1、点击“开始”--“控制面板”
2、在“控制面板”里面双击“显示”
3、在“显示”属性里面点击“外观”标签页
4、在“外观”标签页里面点击“效果”
5、在“效果”对话框里面,清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。
方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。
5、病毒、木马、间谍软件造成CPU使用率占用100%
出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描 。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。
svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。
6、explorer.exe进程造成CPU使用率占用100%
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-”下的
Explorer 键值改为Explorer=“C:Windowsexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-”、“HKEY-USERS****”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
7、超线程导致CPU使用率占用100%
这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中关闭超线程功能解决。
8、AVI视频文件造成CPU使用率占用100%
在Windows XP中,单击一个较大的AVI视频文件后,可能会出现系统假死现象,并且造成exploere.exe进程的使用率100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决方法:右键单击保存视频文件的文件夹,选择”属性—>常规—>高级“,去掉”为了快速搜索,允许索引服务编制该文件夹的索引“前面复选框的对钩即可。
9、杀毒软件CPU使用率占用100%
现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。
10、处理较大的Word文件时CPU使用率过高
上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。
11、网络连接导致CPU使用率占用100%
当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEY—LOCAL—,在右面新建一个名为";maxworkitems";的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为";1024";,如果小于512,就设置为256.
一些不完善的驱动程序也可以造成CPU使用率过高
经常使用待机功能,也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降,系统启动速度变慢,也会使是系统在运行一些大型软件和游戏时CPU使用率100%,产生停顿。
进程占用CPU 100%时可能中的病毒
system Idle Process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
Spoolsv.exe
进程文件: spoolsv or Spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
Spoolsv.exe,如果常增高,有可能是病毒感染所致
目前常见的是:
Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
危害程度:中
受影响的系统: Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux,
病毒危害:
1. 生成病毒文件
2. 插入正常系统文件中
3. 修改系统注册表
4. 可被黑客远程控制
5. 躲避反病毒软件的查杀
简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使用异常频繁......
Backdoor.Win32.Plutor
破坏方法:感染PE文件的后门程序
病毒采用VC编写。
病毒运行后有以下行为:
1、将病毒文件复制到%WINDIR%目录下,文件名为";Spoolsv.exe";,并该病毒文件运行。";Spoolsv.exe";文件运行后释放文件名为";mscheck.exe";的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行";Spoolsv.exe";文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。
2、修改注册表以下键值:
HKEY_LOCAL_
增加数据项:";Microsoft Script Checker"; 数据为:";MSCHECK.EXE /START";
修改该项注册表使";MSCHECK.EXE";文件每次系统激活时都将被运行,而";MSCHECK.EXE";用于运行";Spoolsv.exe";文件,从而达到病毒自激活的目的。
3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含";winnt";、";Windows";字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。
4、试图与局域网内名为";admin";的邮槽联系,创建名为";client";的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务:
显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。
那些病毒会造成CPU占有率过高
震荡波蠕虫
利用微软操作系统的LSASS缓冲区溢出漏洞进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性,病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。
如果中了这种病毒可采用下面的四种方法进行清除。
1、断网打补丁
如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
2、清除内存中的病毒进程
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。
3、删除病毒文件
病毒感染系统时会在系统安装目录(默认为C:WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:WINNTSystem32)生成一些名为;_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。
4、删除注册表键值
该病毒会在电脑注册表的HKEY_LOCAL_项中建立名为“avserve.exe”,内容为:“%Windows%avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器,找到该病毒键值,然后直接删除。
bride病毒
此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行,病毒运行时会释放出一个FUNLOVE病毒并将之执行,而FUNLOVE病毒会在计算机中大量繁殖,造成系统变慢,网络阻塞。
病毒清除方法
此病毒可以用趋势、诺顿、瑞星、金山和江民等杀毒软件进行清除。 小知识:系统进程
一款好的防火墙并不能发现所有病毒;一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单——手工杀毒。而要论到手工杀毒,就不能不提到系统进程了。
进程、病毒?
书上说:“进程为应用程序的运行实例,是应用程序的一次动态执行。”看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那幺及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。
如何打开系统进程列表?
要通过进程列表查看系统是否染毒,必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开方法,但能够显示的能力却因(系统)不同,有所差异:
1.Windows 98 /Me系统
打开系统进程的方式很简单,快捷键“Ctrl+Alt+Delete”(如图1),这个窗口大家应该比较熟悉,使用Windows系统的用户都知道用这个方法来关闭程序,不过它同样用于显示系统进程,只是Windows 98系统较初级,对进程的显示局限于名称,且里面所显示的还有打开的文件及目录名,查看时易混淆。Windows Me的进程打开方式和Windows 98相同。
Windows 9x系统打开的进程列表混乱且不完全,显然不便于查看系统的具体进程状况,所以建议使用一些工具程序来为Windows 9x系统显示进程,如“Windows优化大师”,在“优化大师”的“系统安全优化”项内打开“进程管理”,在图2所示的“Windows 进程管理”窗口内,可以详细查看当前计算机所运行的所有进程,及具体程序所在的位置,这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。
2.Windows 2000/ XP/2003系统
Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同,只是三键后打开的是“Windows 任务管理器”窗口,需要选择里面的“进程”项。Windows 2000系统只显示具体进程的全名,占用的内存量;Windows XP、Windows 2003系统相比Windows 2000会显示该进程归属于那个用户下,如操作系统所必须的基础程序,会在后面的“用户名”内显示为“SYSTEM”,由用户另外开启的程序则用户名为当前的系统登录用户名。
经进程发现病毒
在介绍具体的查毒和杀毒前,笔者先回答开篇提出的两个问题。为什幺杀毒软件并不能全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。 回到原来话题上!通过进程如何发现和杀掉病毒呢?由前面的知识介绍可知,Windows 9X和Windows 2000系统只能显示进程的名称,这对判断该进程是否是病毒还不够,如果要准确的断定病毒,最好使用前面介绍的“Windows优化大师”来查看进程程序的源路径,如果是“C:Windowssystem”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和Windows 2003系统,进程后会有“用户名”的显示,病毒是不可能获得“SYSTEM”权限的,所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒,可以立即“杀掉”。这里介绍两个技巧:
1.发现可疑进程后,利用Windows的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法,譬如由路径“Crogram Filesú1assistse.exe”知道该程序是3721的进程,是合法的。
2.在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到googl.com或.com这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。
确定了该进程是病毒,首先应该杀掉该进程,对于Windows 9x系统,选中该进程后,点击下面的“结束任务”按钮,Windows 2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可,完成后最好在进行一次杀毒,这样就万无一失了。
一次利用进程杀毒的具体过程是这样的:“通过进程名及路径判断是否病毒——杀掉进程——删除病毒程序”,为了让读者更好的判断进程,在这里补充一些Windows的进程资料给大家:
进程名描述
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
Spoolsv.exe 将文件加载到内存中以便迟后打印。
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)→remoteregister
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护资源管理器。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。
微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。
以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。
如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了svchost.exe进程的相关情况。总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒
㈡ 数据恢复软件免费版哪个好用
数据丢失之后是可以通过一些数据恢复软件找回的,建议可以先试用一些可靠的硬盘数据恢复软件。但这类工具多了难免就良莠不齐,其中一些恢复软件所提供的功能并不像宣传的那么强大,甚至可能给数据带来损坏。所在在这里,小编推荐给大家自己亲身测试过的嗨格式数据恢复大师,以帮助用户找到有效的数据恢复软件。
如果文件不小心删除可以使用嗨格式恢复,方法如下:
1、首先打开电脑,在浏览器中搜索下载安装并打开嗨格式数据恢复大师,选择首界面中的“快速扫描”。
2、选择我们所需要恢复的文件类型,比如图片,文档等,按实际需求进行选择。选择原数据文件所存储的位置,在这建议大家按照实际的情况进行选择。
3、当原文件丢失位置选择完成后,点击下方开始扫描,对磁盘丢失的文件进行扫描。
4、选中我们所需要恢复的文件,并双击文件进行预览,确定完成后点击恢复,选择恢复文件存储的路径,并点击“恢复”即可找回丢失文件。
㈢ 武林群侠传 挖矿鼠删不掉!也启动不了怎么回事
如果这些文件放在NTFS分区中,那么请使用以下方法,就可以解决:
1.打开我的电脑,工具 - 文件夹选项 - 查看,取消“使用简单文件共享” (前提是你的系统必须是Windows XP 专业版)
2.在要删除的文件夹上右击 - 属性,会出现“安全”选项,在上面找到你的用户名,在下面的“完全控制 - 允许”上打对号。
3.试一下是否可以删除,如果还不行,请继续第4步。
4.在安全选项卡中,点“高级”- 所有者,在下面的用户中选择你的用户,并勾选“替换子容器及对象的所有者”,点应用,会弹出一个对话框,时间与你的文件夹中的文件多少有关。
5.关闭这些对话框,重新右击要删除的文件夹,在属性中进入安全,重复第2步。
现在应该可以删除了,如果还是不行,那么应该对此文件夹所在的硬盘进行检查:
右击磁盘 - 属性 - 工具,在“查错”中选择“开始检查”,在弹出的对话框中选择“自动修复文件系统错误”,但不要勾选第二项修复坏扇区,因为时间会非常的长。若是系统分区或者有系统文件的分区,会提示下次开机检查;检查完毕,再删除的试一下,若还是不行,那就重复最前面的步骤,应该可以删除了。
如果这些都不行,那估计是病毒什么的在做怪,重装系统后删除的试吧,或者简单一点可以直接把所在的磁盘格式化(不推荐)。
㈣ 服务器如何防止被黑客入侵,欢迎高手指导
服务器应该是通过网站漏洞上传了脚本木马并提权拿到了服务器权限执行了挖矿木马导致cpu百分之100,服务器一般都是网站存在漏洞,被黑客利用并提权入侵的,导致服务器中木马,网站被挂黑链,被篡改,被挂马。解决办法:检查可疑进程 关闭不用的端口,下载360杀毒进行全盘扫描,主要问题还是网站有漏洞导致被上传了木马后门,如果自己懂程序,那就可以自己针对代码的漏洞进行漏洞修复,不懂的话,就请专业的网站安全公司来完善一下程序上的某些代码漏洞,国内像SINE安全、绿盟安全、启明星辰都是比较专业的安全公司,很多黑客之所以能植入木马病毒,就是抓住了这些网站代码上的漏洞。
㈤ gti9300误删除后恢复原始设置只能进行到时间设定,就显示setupzip压缩文件停止,能进入设
在你进行误删除以后,只要你没有向删除文件的分区写入文件,就还有机会将误删除的文件恢复。不过不敢保证全部恢复。现在恢复数据的软件较多,比如:EasyRecovery Pro、FinalDataEnterprise20等,这里我推荐使用EasyRecovery Pro这款软件。同时我将介绍在WINDOWS和DOS两种情况下的数据恢复步骤。希望对你有所帮助。
在日常使用电脑的过程中,每个人都可能遇到过误删除数据、误格式化硬盘分区等比较麻烦的情况,甚至还可能出现误删除硬盘分区的情况。那么一旦出现这些情况之后,该如何恢复那些误删除的数据呢?
在Windows中恢复数据
如果用户只是在操作时误删除了一些文件,例如Word文件、文本文件等等,或者只是误格式化了非系统分区,而Windows还运行正常的话,那么可以通过EasyRecovery Pro这款软件来恢复数据。
提示:安装该软件时需要注意:如果需要找回C盘上误删的文件,则最好不要将EasyRecovery Pro安装到C盘,否则会影响C盘的文件系统,对数据恢复不利。
1.恢复误删除的文件
启动EasyRecovery Pro 6.0之后,点击主界面左边的“Data Recovery”按钮,然后再点击右边窗口中的“Deleted Recovery”按钮。
经过短暂的扫描之后,程序要求用户选中误删文件所在的那个分区,然后可以在右边的“File Filter”栏中输入要恢复的文件的文件名及类型。程序默认是查找所有被删除的文件,这样可以查找所有被删除的文件,一般用默认值即可。注意,如果文件被删除了很长时间,则建议将“Complete Scan”前的复选框选中,这样恢复成功的几率要大一些。
点击“下一步”后,程序开始扫描该分区,最后弹出一个文件列表窗口。该窗口与“资源管理器”差不多,用户只需在该列表中查找需要恢复的文件并打上“√”即可。
提示:那些已删除的文件被EasyRecovery Pro找到后,在文件列表中的文件名与原来的文件名可能有所区别,因此在查找需要恢复的文件时要有一定的耐心,可根据文件名及文件类型来判断是否自己需要恢复的文件。另外,选中某个文件后,还可以点击“View File”按钮来查看所选文件里面的内容,这一点对于查找文本文件非常有用。
选择好需要恢复的文件后,点击“下一步”按钮,程序要求选择一个用来存放恢复文件的目录。注意,为了恢复的安全,建议将恢复数据存放到其他分区中(比如需要恢复的文件在D盘,则可将找到的文件保存到E盘)。点击“Recover to Local Drive”后面的“Browse”按钮,在弹出的窗口中选择好目标目录即可。
提示:那些已删除的文件被EasyRecovery Pro找到后,在文件列表中的文件名与原来的文件名可能有所区别,因此在查找需要恢复的文件时要有一定的耐心,可根据文件名及文件类型来判断是否自己需要恢复的文件。另外,选中某个文件后,还可以点击“View File”按钮来查看所选文件里面的内容,这一点对于查找文本文件非常有用。
当选择好用来存放恢复文件的目录后,点击“下一步”,程序就会将选定的文件恢复到设定的文件夹中。
2.恢复误格式化分区上的数据
启动程序后,点击“Data Recovery”按钮后,再点击右边窗口中的“Format Recovery”按钮,此时程序要求用户选择需要恢复数据的分区。
提示:如果不仅格式化了分区,而且还改变了该分区分区格式(比如从NTFS格式成了FAT32),则必须在选择“Previous File System”时,将它选择为该分区转换格式前的分区格式,只有这样才能有好的恢复效果。
点击“下一步”之后,程序开始扫描该分区,接着弹出一个文件列表窗口,里面显示了所有被找到的数据。现在只需要选择需要恢复的文件,然后选择一个用来存放数据的目录就行了,具体操作与前面恢复误删的文件是一样的。
在DOS下恢复数据
万一用户删除了某个系统文件,导致Windows都不能进入的话,那么该如何在DOS下恢复误删除的数据呢?
1.制作EasyRecovery Pro急救软盘
对于这种情况,可以通过EasyRecovery Pro的DOS急救软盘来解决问题:首先得找到一台安装了EasyRecovery Pro的电脑,启动EasyRecovery Pro后,点击“Data Recovery”按钮,然后点击右边窗口中的“Emergency Diskette”按钮,当出现急救盘制作向导窗口后,插入一张软盘到软驱中,然后相继点击“Continue→Yes→Start→确定→Exit”等几个按钮即可完成急救盘的制作。
2.在DOS下恢复数据
进入需要恢复数据的电脑的BIOS设置,将第一启动设备设置为软驱,然后利用制作好的急救盘引导系统进入DOS版的EasyRecovery Pro。进入主界面后,点击“Next”按钮,经过一番扫描后,便出现了硬盘分区显示窗口,在此选中需要恢复的数据所在的硬盘分区。
点击“Next”之后,便进入了设置窗口,在此用户可以选择恢复的模式,一般用默认值即可,因此可直接点击“Next”。此后,软件会弹出一个提示窗口,直接点击“OK”按钮后,便进入了恢复设置、选择窗口。
选中需要恢复的文件后,点击下面“Destination”栏后面的“Browse”按钮,设置一个用来存放被恢复数据的目录。注意,不能将被恢复数据存放在数据本身所在的那个分区。
完成设置后,点击“Next”按钮,程序会弹出一个是否保存恢复报告的提示窗口,点击“No”之后,程序便会将选中的文件恢复到指定的地方。
DOS版的EasyRecovery Pro没有过多的功能按钮,不管是恢复数据还是恢复误格式化分区上的数据,其操作方法都是一样的。
恢复误删除分区及数据
有些时候,用户在准备对硬盘重新分区时,当删除了数个或全部分区后,才突然发现还有一些数据没有备份,此时该怎么办呢?对于这种情况,可以通过Acronis RecoveryExpert来解决问题。
1.Acronis RecoveryExpert的安装
Acronis RecoveryExpert是一款商业软件,目前网上提供的基本上都是演示版,该版本只能让用户体验该软件的部分功能,但是不能真正恢复数据,因此要想通过该软件来恢复分区及分区上的数据,必须使用功能齐全的商业版。
Acronis RecoveryExpert的安装比较简单,进入安装向导后,只需根据提示输入产品安装序列号、选择安装路径即可。
Acronis RecoveryExpert有一个比较厉害的功能——用户可以通过软驱或刻录机制作一张软盘或光盘版的Acronis RecoveryExpert急救盘,这样即使用户无法进入Windows,也能直接用急救盘来执行Acronis RecoveryExpert,从而达到恢复误删除硬盘分区的目的。
在安装Acronis RecoveryExpert时,当出现是否创建急救盘时,勾选“Yes,I would like to create bootable rescue media”。
点击“Next”之后,安装向导会自动检测当前电脑是否有软驱和刻录机,对于一般的用户而言,大多只有软驱,因此可以在该窗口中选中软驱,然后执行下一步操作,此时安装向导会提示用户准备好3张空白软盘。根据提示依次插入3张软盘后,这个软盘版的急救盘也就制作好了。
对于有刻录机的用户,也可以选择创建光盘版的急救盘。当Acronis RecoveryExpert检测到刻录机之后,选中该刻录机,然后插入一张空白的刻录盘,确认之后,Acronis RecoveryExpert会自动将相关文件刻录到光盘中,并且这张光盘还具备引导功能。
2.在Windows中恢复误删除的分区
如果用户只是误删除了除系统分区之外的几个分区,还能进入Windows的话,那么可以在该Windows中安装好Acronis RecoveryExpert之后,启动Acronis RecoveryExpert,在点击“Next”之后,程序会自动扫描当前硬盘,如果确实有分区被删除了,那么会出现两种修复方式——“Automatic”和“Manual”,一般用“Automatic”即可。点击“Next”之后,程序便开始扫描硬盘,经过一段时间的扫描之后,程序会将搜索到的已删除分区显示在列表框中(图10)。
点击“Next”按钮,此时程序会自动将搜索到的分区按照未删除前的状态进行排列。后面的操作比较简单,只需连续点击“Next”即可。当删除的分区被恢复后,分区上的数据也随之恢复,跟没删除分区前一模一样。
3.在DOS中恢复误删除的分区
如果利用分区软件将硬盘中的所有分区都删除了,那么此时可以通过事先制作好的Acronis RecoveryExpert急救盘来恢复误删除的分区——利用急救软盘或光盘引导系统,自动进入Acronis RecoveryExpert的操作界面,该界面及操作方法与Windows中的操作方法是一模一样的,因此用户很快就能将误删除的分区恢复好。
提示:虽然Acronis RecoveryExpert可以恢复误删除的分区及分区上的数据,但要达到这种效果,前提是用户没有对硬盘进行重新分区。如果用户在删除了所有分区后,又对硬盘进行了重新分区,那么Acronis RecoveryExpert就无能为力了。
另外,前面说过EasyRecovery Pro可以恢复误格式化分区上的数据,但要获得好的效果,必须得保证该分区在格式化之后没有再写入数据:格式化硬盘时,计算机也只是将根目录区清零。由于删除与格式化操作只是在文件名或根目录名上做了一些手脚,对于文件的数据部分丝毫未动,这样才给文件恢复提供了可能。如果在删除文件之后又对磁盘进行了写操作,那么新文件有可能会覆盖被删除文件原先所占据的硬盘空间,那么该文件就不能成功地恢复了。
这也就是为什么当用户在使用Ghost恢复系统时,如果误将镜像文件恢复到了错误的分区(例如本来要恢复到C盘,却因误操作恢复到了D盘),此后想找回D盘原有数据将会非常困难的原因了——D盘不仅被Ghost格式化了一次,还写入了大量的数据,因此原来D盘的数据基本上都被覆盖了,此时想找回原来的数据自然相当困难。
EasyRecovery Pro下载地址:
Acronis RecoveryExpert下载地址:
给你点资料看看有没有用:
硬盘的数据恢复
1、误格式化硬盘数据的恢复
在DOS高版本状态下,格式化操作format在缺省状态下都建立了用于恢复格式化的磁盘信息,实际上是把磁盘的DOS引导扇区,fat分区表及目录表的所有内容复制到了磁盘的最后几个扇区中(因为后面的扇区很少使用),而数据区中的内容根本没有改变。我们都知道在DOS时代有一个非常不错的工具UnFormat,它可以恢复由Format命令清除的磁盘。如果用户是在DOS下使用Format命令误格式化了某个分区的话,可以使用该命令试试。不过UnFormat只能恢复本地硬盘和软件驱动器,而不能恢复网络驱动器。UnFormat命令除了上面的反格式化功能,它还能重新修复和建立硬盘驱动器上的损坏分区表。
但目前UnFormat已经显得有点“力不从心”了,再使用它来恢复格式化后分区的方法已经有点过时了,我们可以使用多种恢复软件来进行数据恢复,比如使用Easyrecovery 6.0和Finaldata2.0等恢复软件均可以方便的进行数据恢复工作。另外DOS还提供了一个miror命令用于纪录当前的磁盘的信息,供格式化或删除之后的恢复使用,此方法也比较有效。
2、零磁道损坏时的数据恢复
硬盘的主引导记录区(MBR)在零磁道上。MBR位于硬盘的0磁道0柱面1扇区,其中存放着硬盘主引导程序和硬盘分区表。在总共512字节的硬盘主引导记录扇区中,446字节属于硬盘主引导程序,64字节属于硬盘分区表(DPT),两个字节(55 AA)属于分区结束标志。零磁道一旦受损,将使硬盘的主引导程序和分区表信息将遭到严重破坏,从而导致硬盘无法引导。0磁道损坏判断:系统自检能通过,但启动时,分区丢失或者C盘目录丢失,硬盘出现有规律的“咯吱……咯吱”的寻道声,运行SCANDISK扫描C盘,在第一簇出现一个红色的“B”,或者Fdisk找不到硬盘、DM死在0磁道上,此种情况即为零磁道损坏!
零磁道损坏属于硬盘坏道之一,只不过它的位置相当重要,因而一旦遭到破坏,就会产生严重的后果。如果0磁道损坏,按照目前的普通方法是无法使数据完整恢复的,通常0磁道损坏的硬盘,可以通过PCTOOLS的DE磁盘编辑器(或者DiskMan)来使0磁道偏转一个扇区,使用1磁道来作为0磁道来进行使用。而数据可以通过Easyrecovery来按照簇进行恢复,但数据无法保证得到完全恢复。
3、分区表损坏时的数据修复
硬盘主引导记录(MBR)所在的扇区也是病毒重点攻击的地方,通过破坏主引导扇区中的DPT(分区表),就可以轻易地损毁硬盘分区信息,达到对资料的破坏目的。分区表的损坏是分区数据被破坏而使记录被破坏的。所以,我们可以使用软件来进行修复。
一般情况下,硬盘分区之后,要备份一份分区表至软盘、光盘或者移动存储活动盘上。在这方面,国内著名的杀毒软件KV3000系列和瑞星都提供了完整的解决方案。但是,对于没有备份分区表的硬盘来说,虽然KV3000也提供了相应的修复方法,不过成功率相对就要低很多了。在恢复分区上,诺顿磁盘医生NDD是绝对强劲的工具,可以自动修复分区丢失等情况,可以抢救软盘坏区中的数据,强制读出后搬移到其它空白扇区。在硬盘崩溃或异常的情况下,它可能带给用户一线希望。在出现问题后,用启动盘启动,运行NDD,选择Diagnose进行诊断。NDD会对硬盘进行全面扫描,如果有错误的话,它会向你提示,然后只要根据软件的提示选择修复项目即可,而且这些问题它都能轻轻松松地解决。
另外,大家非常熟悉的中文磁盘工具DiskMan,在重建分区表方面具有非常实用的功能,用于修复分区表的损坏是最合适不过了。如果硬盘分区表被分区调整软件(或病毒)严重破坏,必将引起硬盘和系统瘫痪的严重后果,而DiskMan可通过未被破坏的分区引导记录信息重新建立分区表。只要在菜单的工具栏中选择“重建分表”,DiskMan即开始搜索并重建分区。使用过程之中,DiskMan将首先搜索0柱面0磁头从2扇区开始的隐含扇区,寻找被病毒挪动过的分区表。紧接着要搜索每个磁头的第一个扇区。整个搜索过程是采用“自动”或“交互”两种方式进行。自动方式保留发现的每一个分区,适用于大多数情况。交互方式对发现的每一个分区都会给出提示,由用户选择是否保留。当采用自动方式重建的分区表一旦出现不正确的故障时,我们可以采用交互方式重新进行搜索。
但是,重建分区表功能也不能保证做到百分之百的修复好硬盘分区表。所以要记住“求谁也不如求自己”还是保护好自己的硬盘吧!尽量避免硬件损伤以及病毒的侵扰,一定要做好分区表的备份工作;如果没有做备份的话,请下载一个DISKGEN软件,然后在工具选项中,选备份分区表,一般默认是备份到软驱上面的,如果你没有软驱,就要改一下路经,输出到硬盘目录里。然后你应该把这个备份文件刻录到光盘或者是拷贝到U盘里,千万不要放到硬盘里哦,那样就与没有备份的效果一个样了!
4、误删除之后的数据恢复
在计算机使用过程中我们最常见的数据恢复就是误删除之后的数据恢复了,但是在这个时候一定要记住,千万不要再向该分区或者磁盘写入信息,因为刚被删除的文件被恢复的可能性最大。实际上当用fdisk删除了硬盘分区之后,表面现象是硬盘中的数据已经完全消失,在未格式化时进入硬盘会显示无效驱动器。如果了解fdisk的工作原理,就会知道,fdisk只是重新改写了硬盘的主引导扇区(0面0道1扇区)中的内容。具体说就是删除了硬盘分区表信息,而硬盘中的任何分区的数据均没有改变。由于删除与格式化操作对于文件的数据部分实质上丝毫未动,这样,就给文件恢复提供了可能性。我们只要利用一些反删除软件(它的工作原理是通过对照分区表来恢复文件的),用户可以轻松地实现文件恢复的目的。同时误格式化同误删除的恢复方法在使用上基本上没有大的区别,只要没有用Fdisk命令打乱分区的硬盘(利用FDISK命令对于40G以内的硬盘进行分区,还是很方便实用的,所有启动盘上都有,主板支持也没有任何问题),要恢复的文件所占用的簇不被其他文件占用,这样,格式化前的大部分数据仍是可以被恢复的。而且如果你的Windows系统还可以正常使用的话,那么最简单的恢复方法就是用Windows版EasyRecovery软件,它恢复硬盘数据的功能十分强大,不仅能恢复被从回收站清除的文件,而且还能恢复被格式化的FAT16、FAT32或NTFS分区中的文件。
该软件的使用方法十分简单,解压缩安装以后,运行EasyRecovery,出现主界面。左侧4个功能的按钮以及2个软件支持按钮,磁盘诊断可以帮助我们测试潜在硬件故障、监视并报告潜在驱动器故障、查看驱动器空间使用详细资料、IDE硬盘跳线设置、以及分析文件结构和创建可引导的诊断磁盘。而且6个功能按钮提供的数据恢复选项功能,对于我们需要的硬盘资料恢复来说至关重要,EasyRecovery Professional提供了多种数据恢复选项。其中包括:使用高级选项自定义数据恢复功能、查找并恢复已删除文件、从一个已格式化的卷中恢复文件、不以来任何文件系统结构信息进行恢复此软件还可以保存恢复数据进度以及创建可引导的紧急引导软盘。
实际操作中,我们将选择高级选项自定义数据恢复功能来进行数据恢复操作,经过扫描系统会显示磁盘驱动器信息,在这里我们选择了恢复资料的硬盘分区C盘,按照提示要求,点击“下一步”后软件EasyRecovery Professional将自动扫描分区,之后会把所有详细文件信息显示出来,其中包括目前还存在的和已经被删除的文件。紧接着要选中你想恢复的文件,选择“下一步”进入到选择目标位置屏幕,过一会后EasyRecovery成功的找回了丢失的文件,这时选择“取消”退出该工具即可。