史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-12-02, 12:57 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 教學 - XP中CPU佔用率100%原因及解決方法

XP中CPU佔用率100%原因及解決方法




我們在使用Windows XP操作系統的時候,用著用著系統就變慢了,一看「工作管理器」才發現CPU佔用達到100%。這是怎麼回事情呢?遇到病毒了,硬體有問題,還是系統設定有問題,在本文中筆者將從硬體,軟體和病毒三個方面來講解系統資源佔用率為什麼會達到100%。

  經常出現CPU佔用100%的情況,主要問題可能發生在下面的某些方面:

  CPU佔用率高的九種可能

  1、防殺毒軟體造成故障

  由於新版的KV、金山、瑞星都加入了對網頁、插件、郵件的隨機監控,無疑增大了系統負擔。處理方式:基本上沒有合理的處理方式,盡量使用最少的監控服務吧,或者,昇級你的硬體配備。

  2、驅動沒有經過認證,造成CPU資源佔用100%

  大量的測試版的驅動在網上氾濫,造成了難以發現的故障原因。 處理方式:尤其是顯示卡驅動特別要注意,建議使用微軟認證的或由官方發怖的驅動,並且嚴格核對型號、版本。

  3、病毒、木馬造成

  大量的蠕蟲病毒在系統內部迅速複製,造成CPU佔用資源率據高不下。解決辦法:用可靠的殺毒軟體徹底清理系統記憶體和本機硬碟,並且開啟系統設定軟體,察看有無異常啟動的程序。經常性更新昇級殺毒軟體和防火牆,加強防毒意識,掌握正確的防殺毒知識。

  4、控制台—系統管理工具—服務—RISING REALTIME MONITOR SERVICE點滑鼠右鍵,改為手動。

  5、開始->;執行->;msconfig->;啟動,關閉不必要的啟動項,重啟。

  6、檢視「svchost」工作。

  svchost.exe是Windows XP系統的一個核心工作。svchost.exe不單單只出現在Windows XP中,在使用NT內核的Windows系統中都會有svchost.exe的存在。一般在Windows 2000中svchost.exe工作的數目為2個,而在Windows XP中svchost.exe工作的數目就上升到了4個及4個以上。

  7、檢視網路連接。主要是網路卡。

  8、檢視網路連接

  當安裝了Windows XP的電腦做伺服器的時候,收到連接阜 445 上的連接請求時,它將分配記憶體和少量地調配 CPU資源來為這些連接提供服務。當負荷過重的時候,CPU佔用率可能過高,這是因為在工作項的數目和回應能力之間存在固有的權衡關係。你要確定合適的 MaxWorkItems 設定以提高系統回應能力。如果設定的值不正確,伺服器的回應能力可能會受到影響,或者某個用戶獨佔太多系統資源。

  要解決此問題,我們可以通過修改註冊表來解決:在註冊表編輯器中依次展開[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver ]分支,在右側視窗中新增一個名為「maxworkitems」的DWORD值。然後雙按該值,在開啟的視窗中按鍵輸入下列數值並儲存結束:

  如果電腦有512MB以上的記憶體,按鍵輸入「1024」;如果電腦記憶體小於512 MB,按鍵輸入「256」。

  9、看看是不是Windows XP使用滑鼠右鍵引起CPU佔用100%

  前不久的報到說在檔案總管裡面使用滑鼠右鍵會導致CPU資源100%佔用,我們來看看是怎麼回事?

  徵兆:

  在檔案總管裡面,當你右鍵點擊一個目錄或一個文件,你將有可能出現下面所列問題:

  任何文件的拷貝操作在那個時間將有可能停止相應
  網路連接速度將顯著性的降低
  所有的流輸入/輸出操作例如使用Windows Media Player聽音樂將有可能是音樂失真成因:
  當你在檔案總管裡面右鍵點擊一個文件或目錄的時候,當快捷功能表顯示的時候,CPU佔用率將增加到100%,當你關閉快捷功能表的時候才返回正常水準。

  解決方法:

  方法一:關閉「為功能表和工具提示使用過渡效果」

  1、點擊「開始」--「控制台」
  2、在「控制台」裡面雙按「顯示」
  3、在「顯示」內容裡麵點擊「外觀」標籤頁
  4、在「外觀」標籤頁裡麵點擊「效果」

  5、在「效果」對話視窗裡面,清除「為功能表和工具提示使用過渡效果」前面的複選框接著點擊兩次「確定」按鈕。

  方法二:在使用滑鼠右鍵點擊文件或目錄的時候先使用滑鼠左鍵選項你的目標文件或目錄。然後再使用滑鼠右鍵彈出快捷功能表。

XP中CPU佔用率100%原因及解決方法天極網2005-6-6 10:00:00 文/藍天
  CPU佔用100%解決辦法

  一般情況下CPU佔了100%的話我們的電腦總會慢下來,而很多時候我們是可以通過做一點點的改動就可以解決,而不必問那些大蝦了。

  當機器慢下來的時候,首先我們想到的當然是工作管理器了,看看到底是哪個程序佔了較搞的比例,如果是某個大程序那還可以原諒,在關閉該程序後只要CPU正常了那就沒問題;如果不是,那你就要看看是什ど程序了,當你查不出這個工作是什ど的時候就去google或者baidu搜。有時只結束是沒用的,在xp下我們可以結合msconfig裡的啟動項,把一些不用的項給關掉。在2000下可以去下個winpatrol來用。

  一些常用的軟體,比如瀏覽器佔用了很搞的CPU,那ど就要昇級該軟體或者乾脆用別的同類軟體替代,有時軟體和系統會有點不相容,當然我們可以試下xp系統下給我們的那個相容項,右鍵點該.exe文件選相容性。

  svchost.exe有時是比較頭痛的,當你看到你的某個svchost.exe佔用很大CPU時你可以去下個aports或者fport來檢查其對應的程序路徑,也就是什ど東西在掉用這個svchost.exe,如果不是c:Windowssystem32(xp)或c:winntsystem32(2000)下的,那就可疑。昇級殺毒軟體殺毒吧。

  右擊文件導致100%的CPU佔用我們也會遇到,有時點右鍵停頓可能就是這個問題了。官方的解釋:先點左鍵選,再右鍵(不是很理解)。非官方:通過在桌麵點右鍵-內容-外觀-效果,取消」為功能表和工具提示使用下列過度效果(U)「來解決。還有某些殺毒軟體對文件的監控也會有所影響,可以關閉殺毒軟體的文件監控;還有就是對網頁,插件,郵件的監控也是同樣的道理。

  一些驅動程式有時也可能出現這樣的現象,最好是選項微軟認證的或者是官方發怖的驅動來裝,有時可以適當的昇級驅動,不過記得最新的不是最好的。

  CPU降溫軟體,由於軟體在執行時會利用所以的CPU空閒時間來進行降溫,但Windows不能分辨普通的CPU佔用和降溫軟體的降溫指令之間的區別,因此CPU始終顯示100%,這個就不必擔心了,不影響正常的系統執行。

  在處理較大的word文件時由於word的拼寫和語法檢查會使得CPU累,只要開啟word的工具-選項-拼寫和語法把」檢查拼寫和檢查語法「勾去掉。

  按下avi視瀕文件後CPU佔用率高是因為系統要先掃瞄該檔案,並檢查文件所有部分,並建立索引;解決辦法:右擊儲存視瀕文件的資料夾-內容-一般-進階,去掉為了快速搜尋,允許索引服務編製該檔案夾的索引的勾。

  CPU佔用100%案例分析

  1、dllhost工作造成CPU使用率佔用100%

  特徵:伺服器正常CPU消耗應該在75%以下,而且CPU消耗應該是上下起伏的,出現這種問題的伺服器,CPU會突然一直處100%的水準,而且不會下降。檢視工作管理器,可以發現是DLLHOST.EXE消耗了所有的CPU空閒時間,管理員在這種情況下,只好重新啟動IIS服務,奇怪的是,重新啟動IIS服務後一切正常,但可能過了一段時間後,問題又再次出現了。

  直接原因:

  有一個或多個ACCESS資料庫在多次讀寫程序中損壞,微軟的MDAC系統在寫入這個損壞的ACCESS文件時,ASP執行緒處於BLOCK狀態,結果其它執行緒只能等待,IIS被死鎖了,全部的CPU時間都消耗在DLLHOST中。

 
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
有 4 位會員向 psac 送花:
alvintkf (2008-06-23),bul168 (2009-01-27),elna (2006-12-09),嘿黑毛豬 (2007-04-29)
感謝您發表一篇好文章
舊 2005-12-02, 12:58 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

 解決辦法:

  安裝「一流訊息監控攔截系統」,使用其中的「首席文件檢查官IIS健康檢查官」軟體,

  啟用」搜尋死鎖模組」,設定:

  --wblock=yes
  監控的目錄,請指定您的主機的文件所在目錄:
  --wblockdir=d: est

  監控產生的日誌的文件儲存位置在安裝目錄的log目錄中,檔案名為:logblock.htm

  停止IIS,再啟動「首席文件檢查官IIS健康檢查官」,再啟動IIS,「首席文件檢查官IIS健康檢查官」會在logblock.htm中記錄下最後寫入的ACCESS文件的。

  過了一段時間後,當問題出來時,例如CPU會再次一直處100%的水準,可以停止IIS,檢查logblock.htm所記錄的最後的十個文件,注意,最有問題的往往是計數器類的ACCESS文件,例如:」**COUNT.MDB」,」**COUNT.ASP」,可以先把最後十個文件或有所懷疑的文件移除到資源回收桶中,再啟動IIS,看看問題是否再次出現。我們相信,經過仔細的搜尋後,您肯定可以找到這個讓您操心了一段時間的文件的。

  找到這個文件後,可以移除它,或下載下來,用ACCESS2000修復它,問題就解決了。

  2、svchost.exe造成CPU使用率佔用100%

  在win.ini文件中,在[Windows]下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什ど都沒有,如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔案,你的電腦就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動檔案。

  在system.ini文件中,在[BOOT]下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那ど後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。

  在註冊表中的情況最複雜,通過regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程序產生的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun」下的Explorer 鍵值改為Explorer=「C:Window***piorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun」、「HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木馬該病毒也稱為「Code Red II(紅色程式碼2)」病毒,與早先在西方英文系統下流行「紅色程式碼」病毒有點相反,在國際上被稱為VirtualRoot(虛擬目錄)病毒。該蠕蟲病毒利用Microsoft已知的溢位漏洞,通過80連接阜來傳播到其它的Web頁伺服器上。受感染的機器可由黑客們通過Http Get的請求執行scripts/root.exe來獲得對受感染機器的完全控制權。

  當感染一台伺服器成功了以後,如果受感染的機器是中文的系統後,該程序會休眠2天,別的機器休眠1天。當休眠的時間到了以後,該蠕蟲程序會使得機器重新啟動。該蠕蟲也會檢查機器的月份是否是10月或者年份是否是2002年,如果是,受感染的伺服器也會重新啟動。當Windows NT系統啟動時,NT系統會自動搜尋C碟根目錄下的文件explorer.exe,受該網路蠕蟲程序感染的伺服器上的文件explorer.exe也就是該網路蠕蟲程序本身。該檔案的大小是8192字元,VirtualRoot網路蠕蟲程序就是通過該程序來執行的。同時,VirtualRoot網路蠕蟲程序還將cmd.exe的文件從Windows NT的system目錄拷貝到別的目錄,給黑客的入侵敞開了大門。它還會修改系統的註冊表項目,通過該註冊表項目的修改,該蠕蟲程序可以建立虛擬的目錄C或者D,病毒名由此而來。值得一提的是,該網路蠕蟲程序除了文件explorer.exe外,其餘的操作不是關於文件的,而是直接在記憶體中來進行感染、傳播的,這就給捕捉帶來了較大難度。

  」程序的檔案名,再在整個註冊表中搜尋即可。

  我們先看看微軟是怎樣描述svchost.exe的。在微軟知識庫314056中對svchost.exe有如下描述:svchost.exe 是從動態連接庫 (DLL) 中執行的服務的通用主機工作名稱。

  其實svchost.exe是Windows XP系統的一個核心工作。svchost.exe不單單只出現在Windows XP中,在使用NT內核的Windows系統中都會有svchost.exe的存在。一般在Windows 2000中svchost.exe工作的數目為2個,而在Windows XP中svchost.exe工作的數目就上升到了4個及4個以上。所以看到系統的工作列表中有幾個svchost.exe不用那ど擔心。

  svchost.exe到底是做什ど用的呢?

  首先我們要瞭解一點那就是Windows系統的中的工作分為:獨立工作和共享工作這兩種。由於Windows系統中的服務越來越多,為了節約有限的系統資源微軟把很多的系統服務做成了共享模式。那svchost.exe在這中間是擔任怎樣一個角色呢?

  svchost.exe的工作就是作為這些服務的宿主,即由svchost.exe來啟動這些服務。svchost.exe只是負責為這些服務提供啟動的條件,其自身並不能實現任何服務的功能,也不能為用戶提供任何服務。svchost.exe通過為這些系統服務使用動態連接庫(DLL)的方式來啟動系統服務。

  svchost.exe是病毒這種說法是任何產生的呢?

  因為svchost.exe可以作為服務的宿主來啟動服務,所以病毒、木馬的編寫者也挖空心思的要利用svchost.exe的這個特性來迷惑用戶達到入侵、破壞電腦的目的。

  如何才能辨別哪些是正常的svchost.exe工作,而哪些是病毒工作呢?

  svchost.exe的鍵值是在「HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost」,如圖1所顯示。圖1中每個鍵值表示一個獨立的svchost.exe組。

  微軟還為我們提供了一種察看系統正在執行在svchost.exe列表中的服務的方法。以Windows XP為例:在「執行」中輸入:cmd,然後在指令行模式中輸入:tasklist /svc。系統列出如圖2所顯示的服務列表。圖2中紅框包圍起來的區域就是svchost.exe啟動的服務列表。如果使用的是Windows 2000系統則把前面的「tasklist /svc」指令取代為:「tlist -s」即可。如果你懷疑電腦有可能被病毒感染,svchost.exe的服務出現異常的話通過搜尋svchost.exe文件就可以發現異常情況。一般只會找到一個在:「C:WindowsSystem32」目錄下的svchost.exe程序。如果你在其它目錄下發現svchost.exe程序的話,那很可能就是中毒了。

  還有一種驗證svchost.exe是否中毒的方法是在工作管理器中察看工作的執行路徑。但是由於在Windows系統原有的的工作管理器不能察看工作路徑,所以要使用第三方的工作察看工具。

 
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-02, 01:00 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

 上面簡單的介紹了svchost.exe工作的相關情況。總而言之,svchost.exe是一個系統的核心工作,並不是病毒工作。但由於svchost.exe工作的特殊性,所以病毒也會千方百計的入侵svchost.exe。通過察看svchost.exe工作的執行路徑可以驗證是否中毒。

  3、Services.exe造成CPU使用率佔用100%

  症狀

  在關於 Windows 2000 的電腦上,Services.exe 中的 CPU 使用率可能間歇性地達到100 %,並且電腦可能停止回應(掛起)。出現此問題時,連線到該電腦(如果它是文件伺服器或域控制器)的用戶會被中斷連線連接。您可能還需要重新啟動電腦。如果 Esent.dll 錯誤地處理將文件重新整理到磁牒的方式,則會出現此症狀。

  解決方案

 Service Pack 訊息

  要解決此問題,請獲取最新的 Microsoft Windows 2000 Service Pack。有關其它訊息,請按下下面的文章編號,以檢視 Microsoft 知識庫中相應的文章:

  260910 如何獲取最新的 Windows 2000 Service Pack

修復程序訊息

  Microsoft 提供了受支持的修補程式,但該程序只是為了解決本文所介紹的問題。只有電腦遇到本文提到的特定問題時才可套用此修補程式。此修補程式可能還會接受其它一些測試。因此,如果這個問題沒有對您造成嚴重的影響,Microsoft 建議您等待包含此修補程式的下一個 Windows 2000 Service Pack。

  要立即解決此問題,請與「Microsoft 產品支持服務」聯繫,以獲取此修補程式。有關「Microsoft 產品支持服務」電話號碼和支持費用訊息的完整列表,請訪問 Microsoft Web 站點:

  注意 :特殊情況下,如果 Microsoft 支持專業人員確定某個特定的更新程序能夠解決您的問題,可免收通常情況下收取的電話支持服務費用。對於特定更新程序無法解決的其它支持問題和事項,將正常收取支持費用。

  下表列出了此修補程式的全球版本的文件內容(或更新的內容)。這些文件的日期和時間按協調通用時間 (UTC) 列出。檢視文件訊息時,它將轉換為本機時間。要瞭解 UTC 與本機時間之間的時差,請使用「控制台」中的「日期和時間」工具中的 時區 選擇項。

  狀態

  Microsoft 已經驗證這是在本文開頭列出的 Microsoft 產品中存在的問題。此問題最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-02, 01:01 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

 
XP中CPU佔用率100%原因及解決方法


  4、正常軟體造成CPU使用率佔用100%

  首先,如果是從開機後就發生上述情況直到關機。那ど就有可能是由某個隨系統同時登入的軟體造成的。可以通過執行輸入「msconfig」開啟「系統實用組態工具」,進入「啟動」選擇項。接著,依次取消可疑選項前面的對鉤,然後重新啟動電腦。反覆測試直到找到造成故障的軟體。或者可以通過一些最佳化軟體如「最佳化大師」達到上述目的。另:如果鍵盤內按鍵卡住也可能造成開機就出現上述問題。

  如果是使用電腦途中出項這類問題,可以彈出工作管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT「ESC),進入」工作「選擇項,看」CPU「欄,從裡面找到佔用資源較高的程序(其中SYSTEM IDLE PROCESS是屬於正常,它的值一般都很高,它的作用是告訴當前你可用的CPU資源是多少,所以它的值越高越好)通過搜尋功能找到這個工作屬於哪個軟體。然後,可以通過昇級、關閉、卸載這個軟體或者乾脆找個同類軟體取代,問題即可得到解決。

  5、病毒、木馬、間諜軟體造成CPU使用率佔用100%

  出現CPU佔用率100% 的故障經常是因為病毒木馬造成的,比如震盪波病毒。應該首先更新病毒庫,對電腦進行全機掃瞄 。接著,在使用反間諜軟體Ad—Aware,檢查是否存在間諜軟體。論壇上有不少朋友都遇到過svchost.exe佔用CPU100%,這個往往是中毒的表現。

  svchost.exe Windows中的系統服務是以動態連接庫(DLL)的形式實現的,其中一些會把可執行程序指向svchost.exe,由它使用相應服務的動態連接庫並加上相應參數來啟動服務。正是因為它的特殊性和重要性,使它更容易成為了一些病毒木馬的宿主。

  6、explorer.exe工作造成CPU使用率佔用100%

  在system.ini文件中,在[BOOT]下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那ど後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。

  在註冊表中的情況最複雜,通過regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程序產生的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun」下的

  Explorer 鍵值改為Explorer=「C:Window***piorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun」、「HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木馬」程序的檔案名,再在整個註冊表中搜尋即可。

  7、超執行緒導致CPU使用率佔用100%

  這類故障的共同原因就是都使用了具有超執行緒功能的P4 CPU。我搜尋了一些資料都沒有明確的原因解釋。據一些網友總結超執行緒似乎和天網防火牆有衝突,可以通過卸載天網並安裝其它防火牆解決,也可以通過在BIOS中關閉超執行緒功能解決。

  8、AVI視瀕文件造成CPU使用率佔用100%

  在Windows XP中,按下一個較大的AVI視瀕文件後,可能會出現系統假當現象,並且造成exploere.exe工作的使用率100%,這是因為系統要先掃瞄該檔案,並檢查文件所有部分,建立索引。如果文件較大就會需要較長時間並造成CPU佔用率100%。解決方法:右鍵按下儲存視瀕文件的資料夾,選項」內容—>一般—>進階「,去掉」為了快速搜尋,允許索引服務編製該檔案夾的索引「前面複選框的對鉤即可。

  9、殺毒軟體CPU使用率佔用100%

  現在的殺毒軟體一般都加入了,對網頁、郵件、個人隱私的即時監空功能,這樣無疑會加大系統的負擔。比如:在玩遊戲的時候,會非常緩慢。關閉該殺毒軟體是解決得最直接辦法。

  10、處理較大的Word文件時CPU使用率過高

  上述問題一般還會造成電腦假當,這些都是因為WORD的拼寫和語法檢查造成的,只要開啟WORD的「工具—選項」,進入「拼寫和語法」選擇項,將其中的「按鍵輸入時檢查拼寫」和「按鍵輸入時檢查語法」兩項前面的複選項中的鉤去掉即可。

  11、網路連接導致CPU使用率佔用100%

  當你的Windows2000/xp作為伺服器時,收到來自連接阜445上的連接請求後,系統將分配記憶體和少量CPU資源來為這些連接提供服務,當負荷過重,就會出現上述情況。要解決這個問題可以通過修改註冊表來解決,開啟註冊表,找到HKEY—LOCAL—MACHNESYSTEMCurrentControlSetServiceslanmanserver,在右面新增一個名為";maxworkitems";的DWORD值.然後雙按該值,如果你的電腦有512以上記憶體,就設定為";1024";,如果小於512,就設定為256.

  一些不完善的驅動程式也可以造成CPU使用率過高

  經常使用待命功能,也會造成系統自動關閉硬碟DMA模式。這不僅會使系統效能大幅度下降,系統啟動速度變慢,也會使是系統在執行一些大型軟體和遊戲時CPU使用率100%,產生停頓。

  工作佔用CPU 100%時可能中的病毒

  system Idle Process

  工作文件: [system process] or [system process]

  工作名稱: Windows記憶體處理系統工作

  描 述: Windows頁面記憶體管理工作,擁有0級優先。

  介 紹:該工作作為單執行緒執行在每個處理器上,並在系統不處理其它執行緒的時候分派處理器的時間。它的CPU佔用率越大表示可供分配的CPU資源越多,數位越小則表示CPU資源緊張。

  Spoolsv.exe

  工作文件: spoolsv or Spoolsv.exe

  工作名稱: Printer Spooler Service

  描 述: Windows列印工作控制程序,用以列印機就緒。

  介 紹:緩衝(spooler)服務是管理緩衝池中的列印和傳真作業。

  Spoolsv.exe→列印工作控制程序,一般會先載入以供列表機列印前的準備工作

  Spoolsv.exe,如果常增高,有可能是病毒感染所致

  目前一般的是:

  Backdoor/Byshell(又叫隱形大盜、隱形殺手、西門慶病毒)

  危害程度:中

  受影響的系統: Windows 2000, Windows XP, Windows Server 2003

  未受影響的系統: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux,

  病毒危害:

  1. 產生病毒文件

  2. 插入正常系統檔案中

  3. 修改系統註冊表

  4. 可被黑客遠端控制

  5. 躲避反病毒軟體的查殺

  簡單的後門木馬,發作會移除自身程序,但將自身程序套入可執行程序內(如:exe),並與電腦的通口(TCP連接阜138)掛鉤,監控電腦的訊息、密碼,甚至是鍵盤操作,作為回傳的訊息,並不時驅動連接阜,以等候傳進的指令,由於該木馬不能判別何者是正確的連接阜,所以負責輸出的列表機也是其驅動對象,以致Spoolsv.exe的使用異常頻繁......

  Backdoor.Win32.Plutor

  破壞方法:感染PE文件的後門程序

  病毒採用VC編寫。

  
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-02, 01:06 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

病毒執行後有以下行為:

  1、將病毒文件複製到%WINDIR%目錄下,檔案名為";Spoolsv.exe";,並該病毒文件執行。";Spoolsv.exe";文件執行後解壓縮檔案名為";mscheck.exe";的文件到%SYSDIR%目錄下,該檔案的主要功能是每次啟動時執行";Spoolsv.exe";文件。如果所執行的文件是感染了正常文件的病毒文件,病毒將會把該檔案恢復並將其執行。

  2、修改註冊表以下鍵值:

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

  增加資料項:";Microsoft Script Checker"; 資料為:";MSCHECK.EXE /START";

  修改該項註冊表使";MSCHECK.EXE";文件每次系統啟動時都將被執行,而";MSCHECK.EXE";用於執行";Spoolsv.exe";文件,從而達到病毒自啟動的目的。

  3、新增一個執行緒用於感染C碟下的PE文件,但是文件路徑中包含";winnt";、";Windows";字元串的文件不感染。另外,該病毒還會枚舉區域網路中的共享目錄並試圖對這些目錄下的文件進行感染。該病毒感染文件方法比較簡單,將正常文件的前0x16000個字元取代為病毒文件中的資料,並將原來0x16000個字元的資料插入所感染的文件尾部。

  4、試圖與區域網路內名為";admin";的郵槽聯繫,新增名為";client";的郵槽用於接收其控制端所傳送的指令,為其控制端提供以下遠端控制服務:


顯示或隱藏指定視窗、螢幕截取、控制CDROM、關閉計算器、註銷、破壞硬碟資料。
  那些病毒會造成CPU佔有率過高

  震盪波蠕蟲

  利用微軟操作系統的LSASS緩衝區溢位漏洞進行遠端主動攻擊和傳染,導致系統異常和網路嚴重擁塞,具有極強的危害性,病毒如果攻擊成功,則會佔用大量系統資源,使CPU佔用率達到100%,出現電腦執行異常緩慢的現象。

  如果中了這種病毒可採用下面的四種方法進行清除。

  1、斷網打修正檔

  如果不給系統打上相應的漏洞修正檔,則連網後依然會遭受到該病毒的攻擊,用戶應該先下載相應的漏洞修正檔程序,然後中斷連線網路,執行修正檔程序,當修正檔安裝完成後再上網。

  2、清除記憶體中的病毒工作

  要想徹底清除該病毒,應該先清除記憶體中的病毒工作,用戶可以按CTRL+SHIFT+ESC三或者右鍵按下工作列,在彈出功能表中選項「工作管理器」開啟工作管理器界面,然後在記憶體中搜尋名為「avserve.exe」的工作,找到後直接將它結束。

  3、移除病毒文件

  病毒感染系統時會在系統安裝目錄(預設為C:WINNT)下產生一個名為avserve.exe的病毒文件,並在系統目錄下(預設為C:WINNTSystem32)產生一些名為<;隨機字元串>;_UP.exe的病毒文件,用戶可以搜尋這些文件,找到後移除,如果系統提示移除文件失敗,則用戶需要到安全模式下或DOS系統下移除這些文件。

  4、移除註冊表鍵值

  該病毒會在電腦註冊表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun項中建立名為「avserve.exe」,內容為:「%Windows%avserve.exe」的病毒鍵值,為了防止病毒下次系統啟動時自動執行,用戶應該將該鍵值移除,方法是在「執行」功能表中按鍵輸入「REGEDIT」 然後彈出註冊表編輯器,找到該病毒鍵值,然後直接移除。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-02, 01:09 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

  bride病毒

  此病毒可以在Windows 2000、Windows XP等操作系統環境下正常執行,病毒執行時會解壓縮出一個FUNLOVE病毒並將之執行,而FUNLOVE病毒會在電腦中大量繁殖,造成系統變慢,網路阻塞。

  病毒清除方法

  此病毒可以用趨勢、諾頓、瑞星、金山和江民等殺毒軟體進行清除。

XP中CPU佔用率100%原因及解決方法天極網2005-6-6 10:00:00 文/藍天
  小知識:系統工作

  一款好的防火牆並不能發現所有病毒;一個好的殺毒軟體並不能殲滅所有的帶毒程序!遇到這些情況我們該做何處理呢?很簡單——手工殺毒。而要論到手工殺毒,就不能不提到系統工作了。

  工作、病毒?

  書上說:「工作為應用程式的執行實例,是應用程式的一次動態執行。」看似高深,我們可以簡單地理解為:它是操作系統當前執行的執行程序。在系統當前執行的執行程序裡包括:系統管理電腦個體和完成各種操作所必需的程序;用戶開啟、執行的額外程序,當然也包括用戶不知道,而自動執行的非法程序(它們就有可能是病毒程序)。

  危害較大的可執行病毒同樣以「工作」形式出現在系統內部(一些病毒可能並不被工作列表顯示,如「巨集病毒」),那ど及時檢視並準確殺掉非法工作對於「手工殺毒有起著關鍵性的作用。

  如何開啟系統工作列表?

  要通過工作列表檢視系統是否染毒,必須開啟現用的執行程序工作列表,Microsoft的每種系統都有相應的開啟方法,但能夠顯示的能力卻因(系統)不同,有所差異:

  1.Windows 98 /Me系統

  開啟系統工作的方式很簡單,快捷鍵「Ctrl+Alt+Delete」(如圖1),這個視窗大家應該比較熟悉,使用Windows系統的用戶都知道用這個方法來關閉程序,不過它同樣用於顯示系統工作,只是Windows 98系統較初級,對工作的顯示局限於名稱,且裡面所顯示的還有開啟的文件及目錄名,檢視時易混淆。Windows Me的工作開啟方式和Windows 98相同。

  Windows 9x系統開啟的工作列表混亂且不完全,顯然不便於檢視系統的具體工作狀況,所以建議使用一些工具程序來為Windows 9x系統顯示工作,如「Windows最佳化大師」,在「最佳化大師」的「系統安全最佳化」項內開啟「工作管理」,在圖2所顯示的「Windows 工作管理」視窗內,可以詳細檢視當前電腦所執行的所有工作,及具體程序所在的位置,這樣更方便完成後面要介紹的如何利用工作進行查毒、殺毒。

  2.Windows 2000/ XP/2003系統

  Windows 2000、Windows XP、Windows 2003開啟工作視窗的方式與Windows 9x系統相同,只是三鍵後開啟的是「Windows 工作管理器」視窗,需要選項裡面的「工作」項。Windows 2000系統只顯示具體工作的全名,佔用的記憶體量;Windows XP、Windows 2003系統相比Windows 2000會顯示該工作歸屬於那個用戶下,如操作系統所必須的基礎程序,會在後面的「用戶名」內顯示為「SYSTEM」,由用戶另外開啟的程序則用戶名為現用的系統登入用戶名。

  經工作發現病毒

  在介紹具體的查毒和殺毒前,筆者先回答開篇提出的兩個問題。

為什ど殺毒軟體並不能全面的搜尋和殺掉病毒?
首先,病毒防火牆是通過對程序進行反彙編,然後與自己的病毒庫進行對比來搜尋病毒,如果病毒較新,而殺毒軟體又未能及時昇級便不能識別病毒。


其次,殺毒軟體在發現病毒後,如果是獨立的可執行病毒程序,會選項直接移除的處理方式,而病毒如果被當作工作執行了,殺毒軟體就無能為力了,因為它沒有功能和權限先停止掉系統的這些工作,被當作工作執行的程序是不能被移除的(這也是大家在移除一個程序時,提示該程序正在被使用不能移除的原因)。


所以在使用殺毒軟體殺毒時,才會有殺毒完成後,又出現病毒提示的原因。   回到原來話題上!通過工作如何發現和殺掉病毒呢?

由前面的知識介紹可知,Windows 9X和Windows 2000系統只能顯示工作的名稱,這對判斷該工作是否是病毒還不夠,如果要準確的斷定病毒,最好使用前面介紹的「Windows最佳化大師」來檢視工作程序的源路徑,如果是「C:Windowssystem」下的一些未知的「EXE」那便極有病毒的可能性了。Windows XP和Windows 2003系統,工作後會有「用戶名」的顯示,病毒是不可能獲得「SYSTEM」權限的,所以應注意「用戶名」是當前登入用戶的工作,一旦發現是病毒,可以立即「殺掉」。這裡介紹兩個技巧:

  1.發現可疑工作後,利用Windows的搜尋功能,搜尋該工作所在的具體路徑,通過路徑可以知道該工作是否合法,譬如由路徑「C:Program Files&uacute;1assistse.exe」知道該程序是3721的工作,是合法的。

  2.在對工作是否病毒拿不定主意時,可以複製該工作的全名,如:「xxx.exe」到googl.com或baidu.com這樣的全球搜查引擎上進行搜查,如果是病毒會有相關的介紹網頁。

  確定了該工作是病毒,首先應該殺掉該工作,對於Windows 9x系統,選該工作後,點擊下面的「結束工作」按鈕,Windows 2000、Windows XP、Windows 2003系統則在工作上按下右鍵在彈出功能表上選項「結束工作」。「殺掉」工作後找到該工作的路徑移除掉即可,完成後最好在進行一次殺毒,這樣就萬無一失了。

  一次利用工作殺毒的具體程序是這樣的:「通過工作名及路徑判斷是否病毒——殺掉工作——移除病毒程序」,為了讓讀者更好的判斷工作,在這裡補充一些Windows的工作資料給大家:

  工作名描述

  smss.exe Session Manager

  csrss.exe 子系統伺服器工作

  winlogon.exe 管理用戶登入

  services.exe 包含很多系統服務

  lsass.exe 管理 IP 安全原則以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式。

  svchost.exe  Windows 2000/XP 的文件保護系統

  Spoolsv.exe  將文件載入到記憶體中以便遲後列印。

  explorer.exe 檔案總管

  internat.exe 托盤區的拼音圖示

  mstask.exe允許程序在指定時間執行。

  
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-02, 01:11 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

regsvc.exe允許遠端註冊表操作。(系統服務)→remoteregister

  tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。

  llssrv.exe證書記錄服務

  ntfrs.exe 在多個伺服器間維護文件目錄內容的文件同步。

  RsSub.exe 控制用來遠端儲存資料的媒體。

  locator.exe  管理 RPC 名稱服務資料庫。

  clipsrv.exe  支持「剪貼簿檢視器」,以便可以從遠端剪貼簿查閱剪貼頁面。

  msdtc.exe 並列事務,是分佈於兩個以上的資料庫,消息貯列,文件系統或其它事務保護檔案總管。

  grovel.exe掃瞄零制作備份儲存於(SIS)捲上的重複文件,並且將重複文件指向一個資料儲存於點,以節省磁牒空間(只對 NTFS 文件系統有用)。

  snmp.exe 包含代理程序可以監視網路設備的活動並且向網路控制台工作站匯報。

  以上這些工作都是對電腦執行起至關重要的,千萬不要隨意「殺掉」,否則可能直接影響系統的正常執行。

  微軟還為我們提供了一種察看系統正在執行在svchost.exe列表中的服務的方法。

  以Windows XP為例:在「執行」中輸入:cmd,然後在指令行模式中輸入:tasklist /svc。系統列出服務列表。如果使用的是Windows 2000系統則把前面的「tasklist /svc」指令取代為:「tlist -s」即可。

  如果你懷疑電腦有可能被病毒感染,svchost.exe的服務出現異常的話通過搜尋svchost.exe文件就可以發現異常情況。一般只會找到一個在:「C:WindowsSystem32」目錄下的svchost.exe程序。如果你在其它目錄下發現svchost.exe程序的話,那很可能就是中毒了。

  還有一種驗證svchost.exe是否中毒的方法是在工作管理器中察看工作的執行路徑。但是由於在Windows系統原有的的工作管理器不能察看工作路徑,所以要使用第三方的工作察看工具。

  上面簡單的介紹了svchost.exe工作的相關情況。總而言之,svchost.exe是一個系統的核心工作,並不是病毒工作。但由於svchost.exe工作的特殊性,所以病毒也會千方百計的入侵svchost.exe。通過察看svchost.exe工作的執行路徑可以驗證是否中毒。

  
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-02, 01:32 PM   #8 (permalink)
註冊會員
榮譽勳章
UID - 4587
在線等級: 級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時
註冊日期: 2002-12-07
VIP期限: 2011-05
文章: 618
精華: 0
現金: -120 金幣
資產: 3516 金幣
預設

謝謝分享..ㄚ........
kyoshih 目前離線  
送花文章: 206, 收花文章: 36 篇, 收花: 76 次
舊 2005-12-16, 01:09 AM   #9 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

CPU佔用100%案例分析

1、dllhost工作造成CPU使用率佔用100%

特徵:伺服器正常CPU消耗應該在75%以下,而且CPU消耗應該是上下起伏的,出現這種問題的伺服器,CPU會突然一直處100%的水準,而且不會下降。檢視工作管理器,可以發現是DLLHOST.EXE消耗了所有的CPU空閒時間,管理員在這種情況下,只好重新啟動IIS服務,奇怪的是,重新啟動IIS服務後一切正常,但可能過了一段時間後,問題又再次出現了。

直接原因:

有一個或多個ACCESS資料庫在多次讀寫程序中損壞,微軟的MDAC系統在寫入這個損壞的ACCESS文件時,ASP執行緒處於BLOCK狀態,結果其它執行緒只能等待,IIS被死鎖了,全部的CPU時間都消耗在DLLHOST中。

解決辦法:

安裝「一流訊息監控攔截系統」,使用其中的「首席文件檢查官IIS健康檢查官」軟體,

啟用」搜尋死鎖模組」,設定:--wblock=yes

監控的目錄,請指定您的主機的文件所在目錄:--wblockdir=d:\test

監控產生的日誌的文件儲存位置在安裝目錄的log目錄中,檔案名為:logblock.htm

停止IIS,再啟動「首席文件檢查官IIS健康檢查官」,再啟動IIS,「首席文件檢查官IIS健康檢查官」會在logblock.htm中記錄下最後寫入的ACCESS文件的。

過了一段時間後,當問題出來時,例如CPU會再次一直處100%的水準,可以停止IIS,檢查logblock.htm所記錄的最後的十個文件,注意,最有問題的往往是計數器類的ACCESS文件,例如:」**COUNT.MDB」,」**COUNT.ASP」,可以先把最後十個文件或有所懷疑的文件移除到資源回收桶中,再啟動IIS,看看問題是否再次出現。我們相信,經過仔細的搜尋後,您肯定可以找到這個讓您操心了一段時間的文件的。

找到這個文件後,可以移除它,或下載下來,用ACCESS2000修復它,問題就解決了。

2、svchost.exe造成CPU使用率佔用100%
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-16, 01:11 AM   #10 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

在win.ini文件中,在[Windows]下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什ど都沒有,如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔案,你的電腦就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動檔案。

在system.ini文件中,在[BOOT]下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名稱」,那ど後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。

在註冊表中的情況最複雜,通過regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程序產生的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的Explorer 鍵值改為Explorer=「C:\Windows\expiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬該病毒也稱為「Code Red II(紅色程式碼2)」病毒,與早先在西方英文系統下流行「紅色程式碼」病毒有點相反,在國際上被稱為VirtualRoot(虛擬目錄)病毒。該蠕蟲病毒利用Microsoft已知的溢位漏洞,通過80連接阜來傳播到其它的Web頁伺服器上。受感染的機器可由黑客們通過Http Get的請求執行scripts/root.exe來獲得對受感染機器的完全控制權。

當感染一台伺服器成功了以後,如果受感染的機器是中文的系統後,該程序會休眠2天,別的機器休眠1天。當休眠的時間到了以後,該蠕蟲程序會使得機器重新啟動。該蠕蟲也會檢查機器的月份是否是10月或者年份是否是2002年,如果是,受感染的伺服器也會重新啟動。當Windows NT系統啟動時,NT系統會自動搜尋C碟根目錄下的文件explorer.exe,受該網路蠕蟲程序感染的伺服器上的文件explorer.exe也就是該網路蠕蟲程序本身。該檔案的大小是8192字元,VirtualRoot網路蠕蟲程序就是通過該程序來執行的。同時,VirtualRoot網路蠕蟲程序還將cmd.exe的文件從Windows NT的system目錄拷貝到別的目錄,給黑客的入侵敞開了大門。它還會修改系統的註冊表項目,通過該註冊表項目的修改,該蠕蟲程序可以建立虛擬的目錄C或者D,病毒名由此而來。值得一提的是,該網路蠕蟲程序除了文件explorer.exe外,其餘的操作不是關於文件的,而是直接在記憶體中來進行感染、傳播的,這就給捕捉帶來了較大難度。

我們先看看微軟是怎樣描述svchost.exe的。在微軟知識庫314056中對svchost.exe有如下描述:svchost.exe 是從動態連接庫 (DLL) 中執行的服務的通用主機工作名稱。

其實svchost.exe是Windows XP系統的一個核心工作。svchost.exe不單單只出現在Windows XP中,在使用NT內核的Windows系統中都會有svchost.exe的存在。一般在Windows 2000中svchost.exe工作的數目為2個,而在Windows XP中svchost.exe工作的數目就上升到了4個及4個以上。所以看到系統的工作列表中有幾個svchost.exe不用那ど擔心。

svchost.exe到底是做什麼用的呢?

首先我們要瞭解一點那就是Windows系統的中的工作分為:獨立工作和共享工作這兩種。由於Windows系統中的服務越來越多,為了節約有限的系統資源微軟把很多的系統服務做成了共享模式。那svchost.exe在這中間是擔任怎樣一個角色呢?

svchost.exe的工作就是作為這些服務的宿主,即由svchost.exe來啟動這些服務。svchost.exe只是負責為這些服務提供啟動的條件,其自身並不能實現任何服務的功能,也不能為用戶提供任何服務。svchost.exe通過為這些系統服務使用動態連接庫(DLL)的方式來啟動系統服務。

svchost.exe是病毒這種說法是任何產生的呢?

因為svchost.exe可以作為服務的宿主來啟動服務,所以病毒、木馬的編寫者也挖空心思的要利用svchost.exe的這個特性來迷惑用戶達到入侵、破壞電腦的目的。

如何才能辨別哪些是正常的svchost.exe工作,而哪些是病毒工作呢?

svchost.exe的鍵值是在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost」,如圖1所顯示。圖1中每個鍵值表示一個獨立的svchost.exe組。

微軟還為我們提供了一種察看系統正在執行在svchost.exe列表中的服務的方法。以Windows XP為例:在「執行」中輸入:cmd,然後在指令行模式中輸入:tasklist /svc。系統列出如圖2所顯示的服務列表。圖2中紅框包圍起來的區域就是svchost.exe啟動的服務列表。如果使用的是Windows 2000系統則把前面的「tasklist /svc」指令取代為:「tlist -s」即可。如果你懷疑電腦有可能被病毒感染,svchost.exe的服務出現異常的話通過搜尋svchost.exe文件就可以發現異常情況。一般只會找到一個在:「C:\Windows\System32」目錄下的svchost.exe程序。如果你在其它目錄下發現svchost.exe程序的話,那很可能就是中毒了。

還有一種驗證svchost.exe是否中毒的方法是在工作管理器中察看工作的執行路徑。但是由於在Windows系統原有的的工作管理器不能察看工作路徑,所以要使用第三方的工作察看工具。
3、Services.exe造成CPU使用率佔用100%

症狀

在關於 Windows 2000 的電腦上,Services.exe 中的 CPU 使用率可能間歇性地達到100 %,並且電腦可能停止回應(掛起)。出現此問題時,連線到該電腦(如果它是文件伺服器或域控制器)的用戶會被中斷連線連接。您可能還需要重新啟動電腦。如果 Esent.dll 錯誤地處理將文件重新整理到磁牒的方式,則會出現此症狀。

解決方案

修復程序訊息

Microsoft 提供了受支持的修補程式,但該程序只是為了解決本文所介紹的問題。只有電腦遇到本文提到的特定問題時才可套用此修補程式。此修補程式可能還會接受其它一些測試。因此,如果這個問題沒有對您造成嚴重的影響,Microsoft 建議您等待包含此修補程式的下一個 Windows 2000 Service Pack。

要立即解決此問題,請與「Microsoft 產品支持服務」聯係,以獲取此修補程式。有關「Microsoft 產品支持服務」電話號碼和支持費用訊息的完整列表,請訪問 Microsoft Web 站點:

注意 :特殊情況下,如果 Microsoft 支持專業人員確定某個特定的更新程序能夠解決您的問題,可免收通常情況下收取的電話支持服務費用。對於特定更新程序無法解決的其它支持問題和事項,將正常收取支持費用。

下表列出了此修補程式的全球版本的文件內容(或更新的內容)。這些文件的日期和時間按協調通用時間 (UTC) 列出。檢視文件訊息時,它將轉換為本機時間。要瞭解 UTC 與本機時間之間的時差,請使用「控制台」中的「日期和時間」工具中的 時區 選擇項。

狀態

Microsoft 已經驗證這是在本文開頭列出的 Microsoft 產品中存在的問題。此問題最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-16, 01:12 AM   #11 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

4、正常軟體造成CPU使用率佔用100%

首先,如果是從開機後就發生上述情況直到關機。那ど就有可能是由某個隨系統同時登入的軟體造成的。可以通過執行輸入「msconfig」開啟「系統實用組態工具」,進入「啟動」選擇項。接著,依次取消可疑選項前面的對鉤,然後重新啟動電腦。反覆測試直到找到造成故障的軟體。或者可以通過一些最佳化軟體如「最佳化大師」達到上述目的。另:如果鍵盤內按鍵卡住也可能造成開機就出現上述問題。

如果是使用電腦途中出項這類問題,可以彈出工作管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT「ESC),進入」工作「選擇項,看」CPU「欄,從裡面找到佔用資源較高的程序(其中SYSTEM IDLE PROCESS是屬於正常,它的值一般都很高,它的作用是告訴當前你可用的CPU資源是多少,所以它的值越高越好)通過搜尋功能找到這個工作屬於哪個軟體。然後,可以通過昇級、關閉、卸載這個軟體或者乾脆找個同類軟體取代,問題即可得到解決。

5、病毒、木馬、間諜軟體造成CPU使用率佔用100%

出現CPU佔用率100% 的故障經常是因為病毒木馬造成的,比如震盪波病毒。應該首先更新病毒庫,對電腦進行全機掃瞄 。接著,在使用反間諜軟體Ad—Aware,檢查是否存在間諜軟體。論壇上有不少朋友都遇到過svchost.exe佔用CPU100%,這個往往是中毒的表現。

svchost.exe Windows中的系統服務是以動態連接庫(DLL)的形式實現的,其中一些會把可執行程序指向svchost.exe,由它使用相應服務的動態連接庫並加上相應參數來啟動服務。正是因為它的特殊性和重要性,使它更容易成為了一些病毒木馬的宿主。

6、explorer.exe工作造成CPU使用率佔用100%

在system.ini文件中,在[BOOT]下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名稱」,那ど後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。

在註冊表中的情況最複雜,通過regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程序產生的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的Explorer 鍵值改為Explorer=「C:\Windows\expiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的檔案名,再在整個註冊表中搜尋即可。
7、超執行緒導致CPU使用率佔用100%

這類故障的共同原因就是都使用了具有超執行緒功能的P4 CPU。我搜尋了一些資料都沒有明確的原因解釋。據一些網友總結超執行緒似乎和天網防火牆有衝突,可以通過卸載天網並安裝其它防火牆解決,也可以通過在BIOS中關閉超執行緒功能解決。

8、AVI視瀕文件造成CPU使用率佔用100%

在Windows XP中,按下一個較大的AVI視瀕文件後,可能會出現系統假當現象,並且造成exploere.exe工作的使用率100%,這是因為系統要先掃瞄該檔案,並檢查文件所有部分,建立索引。如果文件較大就會需要較長時間並造成CPU佔用率100%。解決方法:右鍵按下儲存視瀕文件的資料夾,選項」內容—>一般—>進階「,去掉」為了快速搜尋,允許索引服務編製該檔案夾的索引「前面複選框的對鉤即可。

9、殺毒軟體CPU使用率佔用100%

現在的殺毒軟體一般都加入了,對網頁、郵件、個人隱私的即時監空功能,這樣無疑會加大系統的負擔。比如:在玩遊戲的時候,會非常緩慢。關閉該殺毒軟體是解決得最直接辦法。

10、處理較大的Word文件時CPU使用率過高

上述問題一般還會造成電腦假當,這些都是因為WORD的拼寫和語法檢查造成的,只要開啟WORD的「工具—選項」,進入「拼寫和語法」選擇項,將其中的「按鍵輸入時檢查拼寫」和「按鍵輸入時檢查語法」兩項前面的複選項中的鉤去掉即可。

11、網路連接導致CPU使用率佔用100%

當你的Windows2000/xp作為伺服器時,收到來自連接阜445上的連接請求後,系統將分配記憶體和少量CPU資源來為這些連接提供服務,當負荷過重,就會出現上述情況。要解決這個問題可以通過修改註冊表來解決,開啟註冊表,找到HKEY—LOCAL—MACHNE\SYSTEM\CurrentControlSet\Services\lanmanserver,在右面新增一個名為";maxworkitems";的DWORD值.然後雙按該值,如果你的電腦有512以上記憶體,就設定為";1024";,如果小於512,就設定為256.

一些不完善的驅動程式也可以造成CPU使用率過高

經常使用待命功能,也會造成系統自動關閉硬碟DMA模式。這不僅會使系統效能大幅度下降,系統啟動速度變慢,也會使是系統在執行一些大型軟體和遊戲時CPU使用率100%,產生停頓。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-18, 09:30 PM   #12 (permalink)
註冊會員
榮譽勳章

勳章總數
UID - 17428
在線等級: 級別:6 | 在線時長:66小時 | 升級還需:11小時
註冊日期: 2002-12-25
VIP期限: 2007-03
文章: 150
精華: 0
現金: 289 金幣
資產: 289 金幣
預設

天啊!真是詳細
感謝分享
markus2 目前離線  
送花文章: 63, 收花文章: 0 篇, 收花: 0 次
舊 2006-05-28, 06:25 PM   #13 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

CPU資源佔用100%解決方法

1、驅動沒有經過認證,造成CPU資源佔用100%。大量的測試版的驅動在網上氾濫,造成了難以發現的故障原因。

2、防殺毒軟件造成故障。由於新版的KV、金山、瑞星都加入了對網頁、插件、郵件的隨機監控,無疑增大了系統負擔。

3、病毒、木馬造成。大量的蠕蟲病毒在系統內部迅速複製,造成CPU佔用資源率據高不下。解決辦法:使用最新的殺毒軟件在DOS模式下進行殺毒。經常性更新升級殺毒軟件和防火牆,加強防毒意識,掌握正確的防殺毒知識。

4、控制台—管理工具—服務—RISING REALTIME MONITOR SERVICE點滑鼠右鍵,改為手動。

5、關閉瑞星軟件的「硬碟定時備份」項。卸載現有的瑞星程式,然後下載最新完整升級包,用WINRAR解開以後再安裝。

6、開始->執行->msconfig->啟動,關閉不必要的啟動項,重啟。
在Windows 2000這個功能被禁止了,但我們可以通過「借用」的手段把Windows XP的Msconfig文件借過來。可
將C:\WINDOWS\PCHEALTH\HELPCTR\Binaries目錄下的Msconfig拷貝至 Windows 2000目錄中。

Windows 9X/Me

  Internat.exe:這是Windows 98/Me輸入法切換程式。可以禁用其自動執行,但關閉其執行後在系統工作列區內便看
不到輸入法的圖示。

  ScanRegistry:註冊表備份程式。如果註冊表被破壞,可利用其自動備份進行修復,因此建議不要禁用。

  TaskMonitor:任務檢測程式。它可監視軟件的使用情況,結果會儲存在系統盤windows\applog資料夾下
的applog.ind文件中,建議不要禁用。

  SystemTray:管理駐留記憶體的程式。當記憶體被佔滿時會自動釋放不再被使用的訊息,建議不要禁用。

  LoadPowerProfile:電源管理程式。建議不要禁用。

  SchedulingAgent:系統計劃任務程式,對於沒有採用計劃任務程式的用戶(大部分用戶沒有使用它),可以禁用



Windows XP

  IMJPMIG:微軟輸入法編輯程式的一部分,使電腦能夠輸入亞洲的字元,建議不要禁用。

  TINTSETP:微軟新注音輸入法程式。建議不要禁用。

  MsnMsgr:微軟即時通信軟件MSN Messenger程式。可以禁用。

  Windows 2000

  RUNDLL32:作用是呼叫32位的鏈接庫,使電腦能夠執行.dll類文件。建議不要禁用。

  Internat:與Windows 9X/Me相同。

7、檢視「svchost」工作行程。

Svchost.exe是Windows XP系統的一個核心工作行程。Svchost.exe不單單只出現在Windows XP中,在使用NT內核的Windows系統中都會有Svchost.exe的存在。一般在Windows 2000中Svchost.exe工作行程的數目為2個,而在Windows XP中Svchost.exe工作行程的數目就上升到了4個及4個以上。

如何才能辨別哪些是正常的Svchost.exe工作行程,而哪些是病毒工作行程呢?

   Svchost.exe的鍵值是在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost」,每個鍵值表示一個獨立的Svchost.exe組。

  微軟還為我們提供了一種察看系統正在執行在Svchost.exe列表中的服務的方法。以Windows XP為例:在「執行」中輸入:cmd,然後在命令行模式中輸入:tasklist /svc。系統列出服務列表。如果使用的是Windows 2000系統則把前面的「tasklist /svc」命令替換為:「tlist -s」即可。

  如果你懷疑電腦有可能被病毒感染,Svchost.exe的服務出現異常的話通過搜索Svchost.exe文件就可以發現異常情況。一般只會找到一個在:「C:\Windows\System32」目錄下的Svchost.exe程式。如果你在其他目錄下發現Svchost.exe
程式的話,那很可能就是中毒了。

   還有一種確認Svchost.exe是否中毒的方法是在任務管理器中察看工作行程的執行路徑。但是由於在Windows系統自帶的任務管理器不能察看工作行程路徑,所以要使用第三方的工作行程察看工具。

   上面簡單的介紹了Svchost.exe工作行程的相關情況。總而言之,Svchost.exe是一個系統的核心工作行程,並不是病毒工作行程。但由於Svchost.exe工作行程的特殊性,所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe工作行程的執行路徑可以確認是否中毒。

8、檢視網絡連接。主要是網卡。

9、把網卡、顯示卡、音效卡卸載,然後重新安裝一下驅動。

10、重裝系統、常用軟件、當然也要裝驅動,用幾天看一下。若不會出現這種問題,再裝上其他軟件,但是最好是一個軟件裝完,先用幾天。現會出現問題再接著裝!另外再加幾條網上找見的

1、Windows XP瀏覽器中存在一個問題。這個問題就是,當你沒有先用左鍵選定,而直接在瀏覽器中的文件上點
擊右鍵時,系統100%的CPU資源會被全部佔用。這個問題在奔騰3和奔騰4的不同速度的CPU上都可能出現,而在
基於奔騰2的系統上卻不會發生。

2、有這麼一個現象,當安裝windows XP的電腦收到445連接阜上的連接請求時,windows XP會分配記憶體並少量地調配CPU資源來為這些連接提供服務.當連接請求負荷過重時,就可能會造成CPU佔用率過高,導致系統性能急劇下降,甚至會進入假死狀態。

問題原因:

這是由於windows XP工作專案數目和響應能力間「比例失調」造成的,如果有一個合適的MaxWorkitems設置,就能提高
系統響應能力。

解決辦法:

點擊「開始」→「執行」,在執行對話框中輸入「Regedit」,點擊「確定」,打開註冊表編輯器,依次展開如下子
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver,在其右側視窗中新增一個名為「Maxworkitems」
的DWORD值,然後雙擊它,在彈出的「編輯DWORD值」對話框中,根據電腦的記憶體容量來確定該鍵的鍵值,如果
電腦記憶體小於512MB,請鍵入「256」;如果記憶體大於512MB,請設置為「1024」。完成操作後,退出註冊表編輯器,重
新啟動電腦即可生效。

3、開機後自動啟動執行的程式太多了


另外,個人的經驗SVCHOST這個工作行程如果佔用率很高了很可能是病毒,但不一定是衝擊波,我有幾次一裝完系統就連上網升級修正檔,什麼防護措施都沒有,然後就中毒了。建議各位朋友裝完系統即使要立即更新的話,也應該開著網絡防火牆,這樣會保險很多
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-10-16, 09:31 PM   #14 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

病毒spoolsv.exe完全清除方法

近來網上出現一個很厲害的病毒。殺毒軟件都不能殺死。唯有手工清除。。。以c硬碟系統為例傲的惡意軟件,有些殺毒軟件不認為是病毒。spoolsv.exe木馬病毒,建議進入安全模式用惡意軟件清理助手清理
這類東西主要是看目錄,如果精確點就查md5值

1、查找它們正確的目錄應該在那裡。是否有多個文件存在
2、使用md5軟件計算這類程式的md5值。與正確的比較


請打開你的電腦看看WINDOWS\system32資料夾裡有沒有這幾個資料夾
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
如果有的話,恭喜你,你中毒了。具體表現為有個叫播霸的軟件不請自來*******(*號部分作者省掉n個字,表達能力差,呵呵。)你把上述資料夾刪除,四秒後再看看,刪除的資料夾又出現了。真是可惡。本人是下載狂,在一下網站下載軟件,不小心下載了病毒程式,執行而中招。。。。。以下是我綜合網上的資料總結出來的手工清除方法。

首先進入安全模式,控制台,打開新增或刪除程式,卸載WinDirected 2.0。這個是罪魁禍首。刪除 c:/windows/system32/spoolsv/資料夾
刪除c:/windows/exploer.exe程式。(很像explorer.exe)
刪除%System%\wmpdrm.dll
好了,以上是關鍵部分。


下面是從網上複製過來的比較有水平的方法。

下面是關於病毒的一些資料:
啟動項 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相關文件、目錄:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一個啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
執行後會呼叫%System%\msicn\msibm.dll,創建%System%\1116\目錄,備份用。
%System%\1116\目錄是備份目錄,裡面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。
%System%\msicn\msibm.dll,會插入多個指定工作行程,大約每4秒鐘監視恢復文件(從%System%\1116\目錄)和註冊表訊息(啟動項、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
註:"spoolsv"的資料不會被監視,所以修改它的資料也不會被恢復,只有刪除"spoolsv"才會被恢復。
還可能會從遠端服務器下載文件:
http: //liveupdate.ourxin.com/secp.exe
secp.exe是個安裝程式,安裝以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目錄裡4個dll文件)
%System%\wmpdrm.dll是一個BHO,%System%\msicn\ube.exe像是卸載程式。
另外,在%System%\和%System%\msicn\目錄裡還有有一些從遠端下載來的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作為BHO被呼叫後,會嘗試呼叫%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
註:如果%System%\spoolsv\spoolsv.exe沒有被執行或被呼叫,也就不會備份還原,好像它就是用來備份的。
另外……
在「開始表表菜單」>>「程式」裡 可能 會有一項「NavAngel」,裡面有個快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
「新增/刪除程式」裡有一項「NavAngel」,對應命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
還有一項「WinDirected 2.0」,對應命令是:
%System%\spoolsv\spoolsv.exe -uninst
還可能會有mscache\目錄,從名字看像是存放臨時快取記憶體文件的。
BHO相關註冊表訊息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}].
spoolsv.exe和windows的印表服務spoolsv.exe很類似,不要被它迷惑了,印表服務spoolsv.exe的目錄是系統資料夾(以XP為例)system32\spoolsv.exe而此病毒的路徑為system32\spoolsv\sploosv.exe
根據病毒訊息提供偶得查殺方法:
1。進入系統目錄system32刪除資料夾spoolsv和miscn以及1116
2。開始表表菜單執行regedit打開註冊表編輯器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 刪除該項
3。在註冊表編輯器中打開下面的分支並使用組合鍵ctrl+f進行查找如下內容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以後進行刪除
4。執行註冊表清裡軟件清理註冊表,比如超級兔子,優化大師,惡意軟件清理助手等都可以,此步驟也可以不執行


-------------------------------------------------------
SPOOLSV.EXE病毒解決方法

前幾天電腦的cpu利用率突然一直保持100%,任務管理器檢視了一下發現是spoolsv.exe
這個工作行程,查了一下發現的印表服務程式,可以將該工作行程關掉,但是就不能印表了,再次
啟動印表服務,症狀依然。網上查了一下:
  spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇
保持高速嘈雜運轉。目前網上提供的方法或許能夠解決前期問題,但對最新的變種現
象無能為力, Ctrl+Alt+Delete停止spoolsv.exe執行工作行程。
解決方法:
木馬病毒SPOOLSV.EXE的解決方法前幾天感染了一個spoolsv.exe的木馬病毒,怎麼殺
都殺不掉,殺了又來,最後找了下,發現spoolsv.exe的最新變種目前還沒有哪個軟
件能殺掉,因此,將解決方法發佈在這裡,希望對大家有幫助!
spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇
保持高速嘈雜運轉。目前網上提供的方法或許能夠解決前期問題,但對最新的變種現
象無能為力, Ctrl+Alt+Delete停止spoolsv.exe執行工作行程
重啟電腦進入安全模式,在C:/windows/system32/刪除spoolsv.exe(或可用搜索方
式刪除C硬碟所有同名文件)
執行regedit,用查找方式找到並刪除所有spoolsv文件。
我的電腦點擊右鍵,選擇管理 > 服務,禁用print spooler服務(目前網上提供的方
法僅到此)
重啟電腦進入系統一般模式,你會發現電腦還是處於高速運轉,但在搜索中已找不到
任何spoolsv相關文件。
Ctrl+Alt+Delete,你可以在工作行程中找到一個名為inter的後台執行程式,將其關閉即
可。
強烈建議在應用以上步驟解決問題之後,執行反木馬程式掃瞄並刪除感染文件。
我自己的原創方法是:在桌面建一個TXT文件並顯示延伸名,改名為spools.exe後將文
件內容改為只讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的44K真病毒.好
了,重新啟動電腦.病毒沒了.
最後發現這個有個公司出品了這個病毒:廣州傲訊訊息科技有限公司
刪除經驗:
spoolsv.exe是系統工作行程,用於將Windows印表機任務發送給本機印表機。注意spoolsv
.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的電腦,竊取
密碼和個人資料。
兩者的區別在於,前者是在SYSTEM32目錄下,而木馬程式不在SYSTEM32目錄下,而是
在其子目錄或其他目錄下。
手工清除方法,進入安全模式,工具---資料夾選項---檢視,將「顯示資料夾內容」
、「顯示所有文件及資料夾」前的勾打上,去掉「隱藏受保護的操作系統文件」前的
勾,然後全盤查找tqppmtw.fyf這個文件,找到後刪除,另外繼續查找spoolsv.exe文
件,注意,SYSTEM32目錄下的不刪,其他的全刪。最後清空IE臨時快取記憶體,TEMP臨時目
錄和資源回收筒就OK了。
Spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇
保持高速嘈雜運轉;該木馬允許攻擊者訪問你的電腦,竊取密碼和個人資料。

一、判別自己是否中毒

1、點開始-執行,輸入msconfig,Enter鍵,打開實用配置程式,選擇「啟動」, 感染
以後會在啟動項裡面發現執行Spoolsv.exe的啟動項, 每次進入windows會有NTservice
的交談視窗。

2、打開系統硬碟,假設C硬碟,看是否存在C:\WINDOWS\system32\spoolsv資料夾,裡面
有個spoolsv.exe文件,有「傲訊瀏覽器輔助工具」的字樣說明,正常的spoolsv.exe
印表機緩衝池文件應該在C:\WINDOWS\system32目錄下。

3,打開任務管理器,會發現spoolsv.exe工作行程,而且CPU佔用率很高

二、清除方法

1、重新啟動,開機按F8進入安全模式。

2、點開始-執行,輸入cmd,進入dos,利用rd命令刪除一下目錄(如果存在)

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

比如在dos視窗下輸入:rd(空格)C:\WINDOWS\system32\spoolsv/s,Enter鍵,出現提
示,輸入yEnter鍵,即可刪除整個目錄。

利用del命令刪除下面的文件(如果存在)

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

比如在dos視窗下輸入:del(空格)C:\windows\system32\spoolsv.exe,Enter鍵,即可
刪除被感染的spoolsv.exe,這個文件可以在殺毒結束後在別的正常的機器上複製正
常的spoolsv.exe貼上去到C:\windows\system32資料夾。

3、重啟按F8再次進入安全模式

(1)桌面右鍵點擊我的電腦,選擇「管理」,點擊「服務和應用程式」-「服務」,
右鍵點擊NTservice,選擇「內容」,修改啟動類型為「禁用」。

(2)點開始,執行,輸入regedit,Enter鍵打開註冊表,點表菜單上的編輯,選擇查找,
查找含有spoolsv.exe的註冊表專案,刪除。可以利用F3繼續查找,將含有spoolsv.
exe的註冊表專案全部刪除。

三、再次重新正常啟動即可

病毒清了後你的SPOOLSV.EXE文件就沒有了,且在服務裡你的後台印表print spooler
也不能啟動了,當然印表機也不能執行了,在執行裡輸入"services.msc"後,在"print
spooler"服務中的"一般"項裡的"可執行文件路徑"也變得不可用,如啟動會顯示"錯
誤3:找不到系統路徑"的錯誤,這是因為你的註冊表的相關項也刪了,(在上面清病毒的
時候)
解決方法:

1:在安裝光碟裡I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv
.exe,當然也可以在別人的系統時把這個文件拷過來,還可以用NT/XP的文件保護功能
,即在CMD裡鍵入SFC/SCANNOW全面修復,反正你把這個文件恢復就可以了。本帖已經提
供了無毒的spoolsv.exe下載。

2:修改註冊表即可:進入「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Spooler」目錄下,新增一個可擴充字元串值,取名:「ImagePath」,其值為:「
C:\WINDOWS\system32\spoolsv.exe」(不要引號)再進入控制台中啟動印表服務
即可

這種方法非常繁瑣,
  其實最簡單的方法是:
  清空 C:\WINDOWS\system32\spool\PRINTERS 目錄下所有的文件;
  前提是:
  已經使用了殺毒軟件排除了病毒和已經使用防間諜軟件排除了惡意軟件。

spoolsv木馬清除與補救

spoolsv木馬清除與補救
spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇保持高速嘈雜運轉;該木馬允許攻擊者訪問你的電腦,竊取密碼和個人資料。


一、判別自己是否中毒
1、點開始-執行,輸入msconfig,Enter鍵,打開實用配置程式,選擇「啟動」, 感染以後會在啟動項裡面發現執行Spoolsv.exe的啟動項, 每次進入windows會有NTservice的交談視窗。
2、打開系統硬碟,假設C硬碟,看是否存在C:\WINDOWS\system32\spoolsv資料夾,裡面有個spoolsv.exe文件,有「傲訊瀏覽器輔助工具」的字樣說明,正常的spoolsv.exe印表機緩衝池文件應該在C:\WINDOWS\system32目錄下。
3,打開任務管理器,會發現spoolsv.exe工作行程,而且CPU佔用率很高

二、清除方法
1、重新啟動,開機按F8進入安全模式。
2、點開始-執行,輸入cmd,進入dos,利用rd命令刪除一下目錄(如果存在)
C:\WINDOWS\system32\msibm
   C:\WINDOWS\system32\spoolsv
   C:\WINDOWS\system32\bakcfs
   C:\WINDOWS\system32\msicn
比如在dos視窗下輸入:rd(空格)C:\WINDOWS\system32\spoolsv/s,Enter鍵,出現提示,輸入yEnter鍵,即可刪除整個目錄。
利用del命令刪除下面的文件(如果存在)
C:\windows\system32\spoolsv.exe
  C:\WINDOWS\system32\wmpdrm.dll
比如在dos視窗下輸入:del(空格)C:\windows\system32\spoolsv.exe,Enter鍵,即可刪除被感染的spoolsv.exe,這個文件可以在殺毒結束後在別的正常的機器上複製正常的spoolsv.exe貼上去到C:\windows\system32資料夾。
3、重啟按F8再次進入安全模式
  (1)桌面右鍵點擊我的電腦,選擇「管理」,點擊「服務和應用程式」-「服務」,右鍵點擊NTservice,選擇「內容」,修改啟動類型為「禁用」。
(2)點開始,執行,輸入regedit,Enter鍵打開註冊表,點表菜單上的編輯,選擇查找,查找含有spoolsv.exe的註冊表專案,刪除。可以利用F3繼續查找,將含有spoolsv.exe的註冊表專案全部刪除。

三、再次重新正常啟動即可


病毒清了後你的SPOOLSV.EXE文件就沒有了,且在服務裡你的後台印表print spooler也不能啟動了,當然印表機也不能執行了,在執行裡輸入"services.msc"後,在"print spooler"服務中的"一般"項裡的"可執行文件路徑"也變得不可用,如啟動會顯示"錯誤3:找不到系統路徑"的錯誤,
這是因為你的註冊表的相關項也刪了,(在上面清病毒的時候)
解決方法:
1:在安裝光碟裡I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv.exe,當然也可以在別人的系統時把這個文件拷過來,還可以用NT/XP的文件保護功能,即在CMD裡鍵入SFC/SCANNOW全面修復,反正你把這個文件恢復就可以了
2:修改註冊表,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler]下加一個"ImagePath"="c:\windows\system32\spoolsv.exe"就可以了,再打開看看,你的印表可以用了吧
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
有 4 位會員向 psac 送花:
markus2 (2006-10-24),new666 (2006-11-15),Opisai (2006-10-25),qdenise (2007-01-07)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 01:45 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2022, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1