windowsxp系统中CPU占用率100 原因及解决方法.pdf

上传人:asd****56 文档编号:70337109 上传时间:2023-01-19 格式:PDF 页数:16 大小:242.31KB
返回 下载 相关 举报
windowsxp系统中CPU占用率100 原因及解决方法.pdf_第1页
第1页 / 共16页
windowsxp系统中CPU占用率100 原因及解决方法.pdf_第2页
第2页 / 共16页
点击查看更多>>
资源描述

《windowsxp系统中CPU占用率100 原因及解决方法.pdf》由会员分享,可在线阅读,更多相关《windowsxp系统中CPU占用率100 原因及解决方法.pdf(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、windowsxp 系统中系统中 CPU 占用率占用率 100 原因及解决方法原因及解决方法 我们在使用 windows xp 操作系统的时候,用着用着系统就变慢了,一看“任务管理器”才发现 CPU 占用达到 100%。这是怎么回事情呢?遇到病毒了,硬件有问题,还是系统设置有问题,在本文中笔者将从硬件,软件和病毒三个方面来讲解系统资源占用率为什么会达到 100%。经常出现 CPU 占用 100%的情况,主要问题可能发生在下面的某些方面:CPU 占用率高的九种可能 1、防杀毒软件造成故障 由于新版的 KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式:基本上没有合

2、理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。2、驱动没有经过认证,造成 CPU 资源占用 100%大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。处理方式:尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本。3、病毒、木马造成 大量的蠕虫病毒在系统内部迅速复制,造成 CPU 占用资源率据高不下。解决办法:用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。4、控制面板管理工具服务RISING REALTIME MONITOR

3、SERVICE点鼠标右键,改为手动。5、开始-;运行-;msconfig-;启动,关闭不必要的启动项,重启。6、查看“svchost”进程。svchost.exe 是 Windows XP 系统的一个核心进程。svchost.exe 不单单只出现在 windows xp 中,在使用 NT 内核的 Windows 系统中都会有 svchost.exe的存在。一般在 windows 2000 中 svchost.exe 进程的数目为 2 个,而在windows xp 中 svchost.exe 进程的数目就上升到了 4 个及 4 个以上。7、查看网络连接。主要是网卡。8、查看网络连接 当安装了 w

4、indows xp 的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配 CPU 资源来为这些连接提供服务。当负荷过重的时候,CPU 占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源。要解决此问题,我们可以通过修改注册表来解决:在注册表编辑器中依次展开HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServiceslanmanserver 分支,在右侧窗口中新建

5、一个名为“maxworkitems”的 DWORD 值。然后双击该值,在打开的窗口中键入下列数值并保存退出:如果计算机有512MB以上的内存,键入“1024”;如果计算机内存小于512 MB,键入“256”。9、看看是不是 windows xp 使用鼠标右键引起 CPU 占用 100%前不久的报到说在资源管理器里面使用鼠标右键会导致 CPU 资源 100%占用,我们来看看是怎么回事?征兆:在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下面所列问题:任何文件的拷贝操作在那个时间将有可能停止相应 网络连接速度将显著性的降低 所有的流输入/输出操作例如使用 Windows Medi

6、a Player 听音乐将有可能是音乐失真成因:当你在资源管理器里面右键点击一个文件或目录的时候,当快捷菜单显示的时候,CPU 占用率将增加到 100%,当你关闭快捷菜单的时候才返回正常水平。解决方法:方法一:关闭“为菜单和工具提示使用过渡效果”1、点击“开始”-“控制面板”2、在“控制面板”里面双击“显示”3、在“显示”属性里面点击“外观”标签页 4、在“外观”标签页里面点击“效果”5、在“效果”对话框里面,清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。

7、CPU 占用 100%解决办法 一般情况下 CPU 占了 100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了。当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要CPU 正常了那就没问题;如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去 Google 或者 baidu 搜。有时只结束是没用的,在xp 下我们可以结合 msconfig 里的启动项,把一些不用的项给关掉。在 2000下可以去下个 winpatrol 来用。一些常用的软件,比如

8、浏览器占用了很搞的 CPU,那幺就要升级该软件或者干脆用别的同类软件代替,有时软件和系统会有点不兼容,当然我们可以试下xp 系统下给我们的那个兼容项,右键点该.exe 文件选兼容性。svchost.exe 有时是比较头痛的,当你看到你的某个 svchost.exe 占用很大 CPU 时你可以去下个 aports 或者 fport 来检查其对应的程序路径,也就是什幺东西在掉用这个 svchost.exe,如果不是 c:Windowssystem32(xp)或c:winntsystem32(2000)下的,那就可疑。升级杀毒软件杀毒吧。右击文件导致 100%的 CPU 占用我们也会遇到,有时点右键

9、停顿可能就是这个问题了。官方的解释:先点左键选中,再右键(不是很理解)。非官方:通过在桌面点右键-属性-外观-效果,取消”为菜单和工具提示使用下列过度效果(U)“来解决。还有某些杀毒软件对文件的监控也会有所影响,可以关闭杀毒软件的文件监控;还有就是对网页,插件,邮件的监控也是同样的道理。一些驱动程序有时也可能出现这样的现象,最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当的升级驱动,不过记得最新的不是最好的。CPU降温软件,由于软件在运行时会利用所以的CPU空闲时间来进行降温,但 Windows 不能分辨普通的 CPU 占用和降温软件的降温指令之间的区别,因此 CPU 始终显示 10

10、0%,这个就不必担心了,不影响正常的系统运行。在处理较大的 word 文件时由于 word 的拼写和语法检查会使得 CPU 累,只要打开 word 的工具-选项-拼写和语法把”检查拼写和检查语法“勾去掉。单击 avi 视频文件后 CPU 占用率高是因为系统要先扫描该文件,并检查文件所有部分,并建立索引;解决办法:右击保存视频文件的文件夹-属性-常规-高级,去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾。CPU 占用 100%案例分析 1、dllhost 进程造成 CPU 使用率占用 100%特征:服务器正常 CPU 消耗应该在 75%以下,而且 CPU 消耗应该是上下起伏的,出现这种问题

11、的服务器,CPU 会突然一直处 100%的水平,而且不会下降。查看任务管理器,可以发现是 DLLHOST.EXE 消耗了所有的 CPU 空闲时间,管理员在这种情况下,只好重新启动 IIS 服务,奇怪的是,重新启动 IIS 服务后一切正常,但可能过了一段时间后,问题又再次出现了。直接原因:有一个或多个 ACCESS 数据库在多次读写过程中损坏,微软的 MDAC 系统在写入这个损坏的 ACCESS 文件时,ASP 线程处于 BLOCK 状态,结果其它线程只能等待,IIS 被死锁了,全部的 CPU 时间都消耗在 DLLHOST 中。解决办法:安装“一流信息监控拦截系统”,使用其中的“首席文件检查官

12、IIS 健康检查官”软件,启用”查找死锁模块”,设置:-wblock=yes 监控的目录,请指定您的主机的文件所在目录:-wblockdir=d:test 监控生成的日志的文件保存位置在安装目录的 log 目录中,文件名为:logblock.htm 停止 IIS,再启动“首席文件检查官 IIS 健康检查官”,再启动 IIS,“首席文件检查官 IIS 健康检查官”会在 logblock.htm 中记录下最后写入的 ACCESS 文件的。过了一段时间后,当问题出来时,例如 CPU 会再次一直处 100%的水平,可以停止 IIS,检查 logblock.htm 所记录的最后的十个文件,注意,最有问题

13、的往往是计数器类的 ACCESS 文件,例如:”*COUNT.MDB”,”*COUNT.ASP”,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动 IIS,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。找到这个文件后,可以删除它,或下载下来,用 ACCESS2000 修复它,问题就解决了。2、svchost.exe 造成 CPU 使用率占用 100%在 win.ini 文件中,在Windows下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文

14、件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan 木马”,它把自身伪装成 command.exe 文件,如果不注意可能不会发现它不是真正的系统启动文件。在 system.ini 文件中,在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。在注册表中的情况最复杂,通过 regedit 命令打开注册表编辑器,在点击至:“HKEY-LOC

15、AL-MACHINESoftware MicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为 EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0 木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows CurrentVersionRun”下的 Explorer 键值改为Explorer=“C:Windowsexpiorer.exe”,“木马”程序与真正的 Explorer 之间只有“i”与“l”的差别。当

16、然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindows CurrentVersionRun”、“HKEY-USERS*SoftwareMicrosoftWindows CurrentVersionRun”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRun”下找到“木马该病毒也称为“Code Red II(红色代码 2)”病毒,与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称为 VirtualR

17、oot(虚拟目录)病毒。该蠕虫病毒利用 Microsoft已知的溢出漏洞,通过 80 端口来传播到其它的 Web 页服务器上。受感染的机器可由黑客们通过 Http Get 的请求运行 scripts/root.exe 来获得对受感染机器的完全控制权。当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠 2 天,别的机器休眠 1 天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是 10 月或者年份是否是 2002 年,如果是,受感染的服务器也会重新启动。当 Windows NT 系统启动时,NT 系统会自动搜索 C 盘根目录下的文件 exp

18、lorer.exe,受该网络蠕虫程序感染的服务器上的文件 explorer.exe 也就是该网络蠕虫程序本身。该文件的大小是8192 字节,VirtualRoot 网络蠕虫程序就是通过该程序来执行的。同时,VirtualRoot 网络蠕虫程序还将 cmd.exe 的文件从 Windows NT 的 system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录 C 或者 D,病毒名由此而来。值得一提的是,该网络蠕虫程序除了文件 explorer.exe 外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这

19、就给捕捉带来了较大难度。”程序的文件名,再在整个注册表中搜索即可。我们先看看微软是怎样描述 svchost.exe 的。在微软知识库 314056 中对svchost.exe 有如下描述:svchost.exe 是从动态链接库(DLL)中运行的服务的通用主机进程名称。其实 svchost.exe 是 Windows XP 系统的一个核心进程。svchost.exe 不单单只出现在 windows xp 中,在使用 NT 内核的 Windows 系统中都会有svchost.exe 的存在。一般在 windows 2000 中 svchost.exe 进程的数目为 2个,而在windows xp中

20、 svchost.exe 进程的数目就上升到了4 个及4 个以上。所以看到系统的进程列表中有几个 svchost.exe 不用那幺担心。svchost.exe 到底是做什幺用的呢?首先我们要了解一点那就是 Windows 系统的中的进程分为:独立进程和共享进程这两种。由于 Windows 系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那 svchost.exe 在这中间是担任怎样一个角色呢?svchost.exe 的工作就是作为这些服务的宿主,即由 svchost.exe 来启动这些服务。svchost.exe 只是负责为这些服务提供启动的条件,其自身并不能实

21、现任何服务的功能,也不能为用户提供任何服务。svchost.exe 通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。svchost.exe 是病毒这种说法是任何产生的呢?因为 svchost.exe 可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用 svchost.exe 的这个特性来迷惑用户达到入侵、破坏计算机的目的。如何才能辨别哪些是正常的 svchost.exe 进程,而哪些是病毒进程呢?svchost.exe 的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvcho

22、st”,如图 1 所示。图 1 中每个键值表示一个独立的svchost.exe 组。微软还为我们提供了一种察看系统正在运行在 svchost.exe 列表中的服务的方法。以 windows xp 为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist/svc。系统列出如图 2 所示的服务列表。图 2 中红框包围起来的区域就是 svchost.exe 启动的服务列表。如果使用的是 windows 2000 系统则把前面的“tasklist/svc”命令替换为:“tlist-s”即可。如果你怀疑计算机有可能被病毒感染,svchost.exe 的服务出现异常的话通过搜索 svcho

23、st.exe 文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的svchost.exe 程序。如果你在其它目录下发现 svchost.exe 程序的话,那很可能就是中毒了。还有一种确认 svchost.exe 是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在 Windows 系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。3、Services.exe 造成 CPU 使用率占用 100%症状 在基于 windows 2000 的计算机上,Services.exe 中的 CPU 使用率可能间歇性地达到 100%,并且计算机可

24、能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。解决方案 Service Pack 信息 要解决此问题,请获取最新的 Microsoft windows 2000 Service Pack。有关其它信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:260910 如何获取最新的 windows 2000 Service Pack 修复程序信息 Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍

25、的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此,如果这个问题没有对您造成严重的影响,Microsoft 建议您等待包含此修补程序的下一个 windows 2000 Service Pack。要立即解决此问题,请与“Microsoft 产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表,请访问 Microsoft Web 站点:注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法

26、解决的其它支持问题和事项,将正常收取支持费用。下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间(UTC)列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。状态 Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在 Microsoft windows 2000 Service Pack 4 中更正的。4、正常软件造成 CPU 使用率占用 100%首先,如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统

27、同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。接着,依次取消可疑选项前面的对钩,然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。如果是使用电脑途中出项这类问题,可以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC),进入”进程“选项卡,看”CPU“栏,从里面找到占用资源较高的程序(其中 SYSTEM IDLE PROCESS是属于正常,它的值一般都很高,它的作用是告诉当前你可用的 C

28、PU 资源是多少,所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后,可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换,问题即可得到解决。5、病毒、木马、间谍软件造成 CPU 使用率占用 100%出现 CPU 占用率 100%的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描。接着,在使用反间谍软件AdAware,检查是否存在间谍软件。论坛上有不少朋友都遇到过 svchost.exe占用 CPU100%,这个往往是中毒的表现。svchost.exe Windows 中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指

29、向 svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。6、explorer.exe 进程造成 CPU 使用率占用 100%在 system.ini 文件中,在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。在注册表中的情况最复杂,通过 regedit 命令打开注册表编辑器,在点击至:“HKEY-LOCAL-M

30、ACHINESoftware MicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为 EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0 木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows CurrentVersionRun”下的 Explorer 键值改为 Explorer=“C:Windowsexpiorer.exe”,“木马”程序与真正的 Explorer 之间只有“i”与“l”的差别。当然在注

31、册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindows CurrentVersionRun”、“HKEY-USERS*SoftwareMicrosoftWindows CurrentVersionRun”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。7、超线程导致 CPU 使用率占用 100%这类故障的共同原因就是都使用了具有超线程功能的 P4 CPU。我

32、查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在 BIOS 中关闭超线程功能解决。8、AVI 视频文件造成 CPU 使用率占用 100%在 windows xp 中,单击一个较大的 AVI 视频文件后,可能会出现系统假死现象,并且造成 exploere.exe 进程的使用率 100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。如果文件较大就会需要较长时间并造成CPU 占用率 100%。解决方法:右键单击保存视频文件的文件夹,选择”属性常规高级“,去掉”为了快速搜索,允许索引服务编制该文件夹的索引“

33、前面复选框的对钩即可。9、杀毒软件 CPU 使用率占用 100%现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。10、处理较大的 Word 文件时 CPU 使用率过高 上述问题一般还会造成电脑假死,这些都是因为 WORD 的拼写和语法检查造成的,只要打开 WORD 的“工具选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。11、网络连接导致 CPU 使用率占用 100%当你的 Windows2000/xp 作为服务器时,收

34、到来自端口 445 上的连接请求后,系统将分配内存和少量 CPU 资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEYLOCAL MACHNESYSTEMCurrentControlSetServiceslanmanserver,在右面新建一个名为;maxworkitems;的 DWORD 值.然后双击该值,如果你的电脑有 512 以上内存,就设置为;1024;,如果小于 512,就设置为 256.一些不完善的驱动程序也可以造成 CPU 使用率过高 经常使用待机功能,也会造成系统自动关闭硬盘 DMA 模式。这不仅会使系统性能大

35、幅度下降,系统启动速度变慢,也会使是系统在运行一些大型软件和游戏时CPU 使用率 100%,产生停顿。进程占用 CPU 100%时可能中的病毒 system Idle Process 进程文件:system process or system process 进程名称:Windows 内存处理系统进程 描 述:Windows 页面内存管理进程,拥有 0 级优先。介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。它的 CPU 占用率越大表示可供分配的 CPU 资源越多,数字越小则表示 CPU 资源紧张。Spoolsv.exe 进程文件:spoolsv or

36、 Spoolsv.exe 进程名称:Printer Spooler Service 描 述:Windows 打印任务控制程序,用以打印机就绪。介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。Spoolsv.exe打印任务控制程序,一般会先加载以供列表机打印前的准备工作 Spoolsv.exe,如果常增高,有可能是病毒感染所致 目前常见的是:Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)危害程度:中 受影响的系统:windows 2000,windows xp,Windows Server 2003 未受影响的系统:Windows 95,windows

37、98,Windows Me,Windows NT,Windows 3.x,Macintosh,Unix,Linux,病毒危害:1.生成病毒文件 2.插入正常系统文件中 3.修改系统注册表 4.可被黑客远程控制 5.躲避反病毒软件的查杀 简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP 端口 138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致 Spoolsv.exe 的使用异常频繁.Backdoor.Win32.

38、Plutor 破坏方法:感染 PE 文件的后门程序 病毒采用 VC 编写。病毒运行后有以下行为:1、将病毒文件复制到%WINDIR%目录下,文件名为;Spoolsv.exe;,并该病毒文件运行。;Spoolsv.exe;文件运行后释放文件名为;mscheck.exe;的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行;Spoolsv.exe;文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。2、修改注册表以下键值:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun 增加数据项:;M

39、icrosoft Script Checker;数据为:;MSCHECK.EXE/START;修改该项注册表使;MSCHECK.EXE;文件每次系统激活时都将被运行,而;MSCHECK.EXE;用于运行;Spoolsv.exe;文件,从而达到病毒自激活的目的。3、创建一个线程用于感染 C 盘下的 PE 文件,但是文件路径中包含;winnt;、;Windows;字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前 0 x16000 个字节替换为病毒文件中的数据,并将原来 0 x16000 个字节的数据插入所感染的文

40、件尾部。4、试图与局域网内名为;admin;的邮槽联系,创建名为;client;的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务:显示或隐藏指定窗口、屏幕截取、控制 CDROM、关闭计算器、注销、破坏硬盘数据。那些病毒会造成 CPU 占有率过高 震荡波蠕虫 利用微软操作系统的 LSASS 缓冲区溢出漏洞进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性,病毒如果攻击成功,则会占用大量系统资源,使 CPU 占用率达到 100%,出现电脑运行异常缓慢的现象。如果中了这种病毒可采用下面的四种方法进行清除。1、断网打补丁 如果不给系统打上相应的漏洞补丁,则连网后依然

41、会遭受到该病毒的攻击,用户应该先下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。2、清除内存中的病毒进程 要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC 三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。3、删除病毒文件 病毒感染系统时会在系统安装目录(默认为 C:WINNT)下产生一个名为avserve.exe 的病毒文件,并在系统目录下(默认为 C:WINNTSystem32)生成一些名为;_UP.exe 的病毒文件,用户可以查

42、找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或 DOS 系统下删除这些文件。4、删除注册表键值 该病毒会在电脑注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentversionRun 项中建立名为“avserve.exe”,内容为:“%Windows%avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT”然后调出注册表编辑器,找到该病毒键值,然后直接删除。bride 病毒 此病毒可以在 windows 2000、windows

43、xp 等操作系统环境下正常运行,病毒运行时会释放出一个 FUNLOVE 病毒并将之执行,而 FUNLOVE 病毒会在计算机中大量繁殖,造成系统变慢,网络阻塞。病毒清除方法 此病毒可以用趋势、诺顿、瑞星、金山和江民等杀毒软件进行清除。小知识:系统进程 一款好的防火墙并不能发现所有病毒;一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单手工杀毒。而要论到手工杀毒,就不能不提到系统进程了。进程、病毒?书上说:“进程为应用程序的运行实例,是应用程序的一次动态执行。”看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机

44、个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那幺及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。如何打开系统进程列表?要通过进程列表查看系统是否染毒,必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开方法,但能够显示的能力却因(系统)不同,有所差异:1.windows 98/Me 系统 打开系统进程的方式很简单,快捷键“Ctrl+Alt+Delete”(如图 1),这个窗口大

45、家应该比较熟悉,使用 Windows 系统的用户都知道用这个方法来关闭程序,不过它同样用于显示系统进程,只是 Windows 98 系统较初级,对进程的显示局限于名称,且里面所显示的还有打开的文件及目录名,查看时易混淆。Windows Me 的进程打开方式和 windows 98 相同。Windows 9x 系统打开的进程列表混乱且不完全,显然不便于查看系统的具体进程状况,所以建议使用一些工具程序来为 Windows 9x 系统显示进程,如“Windows 优化大师”,在“优化大师”的“系统安全优化”项内打开“进程管理”,在图 2 所示的“Windows 进程管理”窗口内,可以详细查看当前计算

46、机所运行的所有进程,及具体程序所在的位置,这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。2.windows 2000/XP/2003 系统 Windows 2000、windows xp、Windows 2003 打开进程窗口的方式与Windows 9x 系统相同,只是三键后打开的是“Windows 任务管理器”窗口,需要选择里面的“进程”项。windows 2000 系统只显示具体进程的全名,占用的内存量;windows xp、windows 2003 系统相比 windows 2000 会显示该进程归属于那个用户下,如操作系统所必须的基础程序,会在后面的“用户名”内显示为“SYST

47、EM”,由用户另外开启的程序则用户名为当前的系统登录用户名。经进程发现病毒 在介绍具体的查毒和杀毒前,笔者先回答开篇提出的两个问题。为什幺杀毒软件并不能全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软

48、件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。回到原来话题上!通过进程如何发现和杀掉病毒呢?由前面的知识介绍可知,Windows 9X 和 windows 2000 系统只能显示进程的名称,这对判断该进程是否是病毒还不够,如果要准确的断定病毒,最好使用前面介绍的“Windows 优化大师”来查看进程程序的源路径,如果是“C:Windowssystem”下的一些未知的“EXE”那便极有病毒的可能性了。windows xp 和 windows 2003 系统,进程后会有“用户名”的显示,病毒是不可能获得“SYSTEM”权限的,所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒,可以立即“

49、杀掉”。这里介绍两个技巧:1.发现可疑进程后,利用 Windows 的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法,譬如由路径“C:Program Files3721assistse.exe”知道该程序是 3721 的进程,是合法的。2.在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到 或 这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。确定了该进程是病毒,首先应该杀掉该进程,对于 Windows 9x 系统,选中该进程后,点击下面的“结束任务”按钮,windows 2000、windows xp、windows 2003 系统则在

50、进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可,完成后最好在进行一次杀毒,这样就万无一失了。一次利用进程杀毒的具体过程是这样的:“通过进程名及路径判断是否病毒杀掉进程删除病毒程序”,为了让读者更好的判断进程,在这里补充一些Windows 的进程资料给大家:进程名描述 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley(IKE)和 IP 安全驱动程序。svchos

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 其他杂项

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁