关于系统急诊所
    在华生医生来到这个称为Windows的小镇之前，小镇上的居民经常被各种系统故障所困扰，大家最常做的事就是重装系统。我们偷偷翻开华生医生的工作手记，开始向大家讲述系统急诊所的故事……

    
    编号:003 病患姓名:系统启动
    症状:每次系统启动时(未登录)都会弹出错误提示“在系统启动时至少有一个服务或驱动程序产生错误，详细信息，请使用事件查看器查看事件日志”。

    
    初步诊断:好多人在系统出现故障提示时都显得惊慌失措，其实有故障提示是好事，怕就怕没有任何提示就自动重启了。有了故障提示，照着系统提示的步骤去操作，就能找到问题所在并最终解决问题，比如这次的启动错误提示就是这样……

    
    到“事件查看器”里找线索
    系统提示的“事件查看器”并不是什么“菜鸟免进”的高深之地，相反，每个用户其实都应该经常关注它，因为它记录着系统中发生的各种重要事件。右击“我的电脑”选择“管理”，在“计算机管理”窗口的左侧选择“系统工具→事件查看器→系统”分支，在右侧的窗口中就能看到近期系统中出现的“信息”、“警告”、“错误”了。离当前启动时间最近的错误事件(红叉图标)就是我们需要的线索。

    
    记录错误的系统事件
    有关更多信息，请参阅在
                  http://go.microsoft.com/fwlink/events.asp的帮助和支持中心。
    
    用网络进行发散性搜索
    搜索引擎是把线索无限扩大的好东西，通过搜索npkcrypt我们发现它其实是nProtect(一种韩国的键盘加密保护系统，主流网游、QQ
                  2005Beta3以上版本都采用了此技术)在系统中添加的虚拟设备，而出现问题当日正好移动过QQ的安装目录。因此，QQ就是这次的重大嫌疑犯了。

    
    为什么要采用nProtect保护密码安全
    有很多“高手”都说QQ引入nProtect技术的目的只是为了强行给用户安装莫名其妙的驱动程序，其实腾讯才没这么闲呢！目前的盗号技术主要是采用“HOOK+进程插入”的方式，也就是说盗号程序用HOOK技术把自己插入到QQ的进程中，以QQ中一个线程的名义向QQ进程索取用户的密码，而nProtect就是对盗号程序的HOOK做了屏蔽，让它始终无法取得正确的密码。

    
    有哪些原因会使nProtect出现故障
    ①感染了QQ病毒，病毒删除了nProtect的虚拟设备驱动文件，使nProtect服务无法启用并实现盗号。
    ②卸载了使用nProtect技术的软件，如网游或者QQ，但卸载程序没有把nProtect的虚拟设备给删除掉。
    ③移动了nProtect虚拟设备驱动文件的位置，比如QQ目录的迁移。
    将出故障的虚拟设备“连根拔除”
    右击“我的电脑”选择“管理”，在弹出的“计算机管理”窗口左侧选择“系统工具→设备管理器”。选择菜单“查看→显示隐藏的设备”，在下方设备列表中展开“非即插即用驱动程序”分支，选择“npkcrypt”(见图)，右击选择“卸载”它，然后根据提示重启。
                  运行“regedit”打开“注册表编辑器”，删除项[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npkcrypt]和[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\npkcrypt]等，再次重启。

    
    如果不是nProtect犯的错
    系统启动时如果碰上别的错误提示，应该怎么做呢？如果是设备驱动，用上面的方法就行了，但如果是系统服务，最好的方法还是将出错的服务禁用。运行“services.msc”打开服务管理，然后在右侧列表中找出“启动类型”是“自动”但“状态”却是未启动的服务。