2023年12月19日发(作者:)
Win中CPU占用100%原因及解决方法(1)
我们在使用Windows 操作系统的时候,用着用着系统就变慢了,一看“ 任务管理器 ”才发现CPU占用达到100%
。这是怎么回事情呢?遇到病毒了,硬件有问题,还是系统设置有问题,在本文中笔者将从硬件,软件和病毒三
个方面来讲解系统资源占用率为什么会达到100%。
经常出现CPU占用100%的情况,主要问题可能发生在下面的某些方面:
CPU占用率高 的九种可能
1、防杀毒软件造成 故障
由于新版的 KV 、金山、 瑞星 都加入了对网页、 插件 、邮件的随机监控,无疑增大了系统负担。处理方式:
基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
2、驱动没有经过认证,造成CPU资源占用100%
大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。 处理方式:尤其是 显卡驱动 特别要注意,建
议使用 微软认证 的或由官方发布的驱动,并且严格核对型号、版本。
3、 病毒、木马 造成
大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。解决办法:用可靠的杀毒软件彻底清理系
统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙,
加强防毒意识,掌握正确的防杀毒知识。
4、控制面板— 管理工具 —服务—RISING REALTIME MONITOR SERVICE 点鼠标右键,改为手动。
5、开始->运行->msconfig->启动,关闭不必要的启动项,重启。
6、查看“ svchost ”进程。
svchost . exe 是Windows XP系统 的一个核心进程。 不单单只出现 在Window s XP中,在使用
NT 内核的 Windows系统 中都会有的存在。一般在 Windows
2000 中 进程 的数目为2
个,而 在Windows XP中进程的数目就上升到了4个及4个以上。
7、查看 网络连接 。主要是网卡。
8、查看网络连接
当安装了Windows XP的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配
CPU资源来为这些连接提供服务。当负荷过重的时候,CPU占用率可能过高,这是因为在工作项的数目和响应能
力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确
,服务器的响应能力可能会受到影响,或者某个用户独占太 多系统 资源。
要解决此问题,我们可以通过修改注册表来解决:在 注册表编辑器 中依次展开
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver ]分支,在右侧窗口中 新建 一个
名为“maxworkitems”的 DWORD值 。然后双击该值,在打开的窗口中键入下列数值并保存退出:
如果计算机有512MB以上的内存,键入“1024”;如果计算机内存小于 512
MB,键入“256”。
9、看看是不是Windows XP使用鼠标右键引起CPU占用100%
前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用,我们来看看是怎么回事?
征兆:
在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下
面所列问题:
任何文件的拷贝操作在那个时间将有可能停止相应
网络连接速度将显著性的降低
所有的流输入/输出操作例如使用Windows Media Player 听音乐将有可能是音乐失真成因:
当你在资源管理器里面右键点击一个文件或目录的时候,当快捷 菜单显示
的时候,CPU占用率将增加到100%,
当你关闭快捷菜单的时候才返回正常水平。
解决方法:
方法一:关闭“为菜单和工具提示使用过渡效果”
1、点击“开始”--“控制面板”
2、在“控制面板”里面双击“显示”
3、在“显示”属性里面点击“外观”标签页
4、在“外观”标签页里面点击“效果”
5、在“效果”对话框里面,清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮
。
方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键
弹出快捷菜单。
CPU占用100%解决办法
一般情况下CPU占了100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做 一点点 的改动就可以解决
,而不必问那些大虾了。
当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某
个大程序那还可以原谅,在关闭该程序后只要CPU正常了那就没问题;如果不是,那你就要看看是什幺程序了,
当你查不出这个进程是什幺的时候就去google或者 baidu 搜。有时只结束是没用的,在 xp下 我们可以结合
msconfig里的启动项,把一些不用的项给关掉。在2000下可以去下个winpatrol来用。
一些常用的软件,比如浏览器占用了很搞的CPU,那幺就要升级该软件或者干脆用别的同类软件代替,有时软件
和系统会有点不兼容,当然我们可以试下xp系统下给我们的那个兼容项,右键点该. exe文件 选兼容性。
有时是比较头痛的,当你看到你的某个占用很大CPU时你可以去下个aports或者fport
来检查其对应的程序路径,也就是什幺东西在掉用这个,如果不是c:Windows system32 (xp)或
c:winntsystem32(2000)下的,那就可疑。升级杀毒软件杀毒吧。
右击 文件导致100%的CPU占用我们也会遇到,有时点右键停顿可能就是这个问题了。官方的解释:先点左键选中
,再右键(不是很理解)。非官方:通过在桌面点右键-属性-外观-效果,取消”为菜单和工具提示使用下列过度
效果(U)“来解决。还有某些杀毒软件对文件的监控也会有所影响,可以 关闭杀毒软件 的文件监控;还有就是
对网页,插件,邮件的监控也是同样的道理。
一些驱动程序有时也可能出现这样的现象,最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当
的升级驱动,不过记得最新的不是最好的。
CPU降温软件 ,由于软件在运行时会利用所以的CPU空闲时间来进行降温,但Windows不能分辨普通的CPU占用和
降温软件 的降温指令 之间的区别 ,因此CPU始终显示100%,这个就不必担心了,不影响正常的系统运行。
在处理较大的 word文件 时由于word的拼写和语法检查会使得CPU累,只
要打开word的工具-选项-拼写和语法把
”检查拼写和检查语法“勾去掉。
单击 avi视频 文件后CPU占用率高是因为系统要先扫描该文件,并检查文件所有部分,并建立索引;解决办法:
右击保存视频文件的文件夹-属性-常规-高级,去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾。
CPU占用100%案例分析
1、 dllhost进程造成CPU使用率占用100%
特征:服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然
一直处100%的水平,而且不会下降。查看任务管理器,可以发现是消耗了所有的CPU空闲时间,管
理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后
,问题又再次出现了。
直接原因:
有一个或多个ACCESS数据库在多次读写过程中损坏,微软的 MDAC 系统在写入这个损坏的ACCESS文件时,ASP线
程处于BLOCK状态,结果其它线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。
解决办法:
安装“一流信息监控拦截系统”,使用其中的“首席文件检查官IIS健康检查官”软件,
启用”查找死锁模块”,设置:
--wblock=yes
监控的目录,请指定您的主机的文件所在目录:
--wblockdir=d:test
监控生成的日志的文件保存位置在安装目录的log目录中,文件名为:
停止IIS,再启动“首席文件检查官IIS健康检查官”,再启动IIS,“首席文件检查官IIS健康检查官”会在
中记录下最后写入的ACCESS文件的。
过了一段时间后,当问题出来时,例如CPU会再次一直处100%的水平,可以停止IIS,检查所记录
的最后的十个文件,注意,最有问题的往往是计数器类的ACCESS文件,例如:”**COUNT. MDB ”,”
**”,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动IIS,看看问题是否再次出
现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。
找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决了。
2、 造成CPU使用率占用100%
在文件中,在[Windows]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它
们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的
计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪
装成文件,如果不注意可能不会发现它不是真正的系统启动文件。
在文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“”,如果不
是“”,而是“shell= 程序名”,那幺后面跟着的那个程序就是“木马”程序,
就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击
至:“HKEY-LOCAL-
MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启
动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如
“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=
“C:”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表
中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-
USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-
USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在
“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马该病毒也称为
“Code Red II(红色代码2)”病毒,与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称
为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞,通过80端口来传播到其它的Web页
服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/来获得对受感染机器的完全控
制权。
当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。当
休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否
是2002年,如果是,受感染的服务器也会重新启动。当Windows NT系统启动时,NT系统会自动搜索C盘根目录下
的文件,受该网络蠕虫程序感染的服务器上的文件也就是该网络蠕虫程序本身。该
文件的大小是8192字节,VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时,VirtualRoot网络蠕虫程
序还将的文件从Windows NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统
的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来。值得一
提的是,该网络蠕虫程序除了文件外,其余的操作不是基于文件的,而是直接在内存中来进行感
染、传播的,这就给捕捉带来了较大难度。
”程序的文件名,再在整个注册表中搜索即可。
我们先看看微软是怎样描述的。在微软知识库314056中对有如下描述: 是
从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
其实是Windows XP系统的一个核心进程。不单单只出现在Windows XP中,在使用NT内
核的Windows系统中都会有的存在。一般在Windows 2000中进程的数目为2个,而在
Windows XP中进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个
不用那幺担心。
到底是做什幺用的呢?
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服
务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那在这中间是担任
怎样一个角色呢?
的工作就是作为这些服务的宿主,即由来启动这
些服务。只是负责为这些
服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。通过为这
些系统服务调用动态链接库(DLL)的方式来启动系统服务。
是病毒这种说法是任何产生的呢?
因为可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用
的这个特性来迷惑用户达到入侵、破坏计算机的目的。
如何才能 辨别 哪些是正常的进程,而哪些是 病毒进程 呢?
的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
NTCurrentVersionSvchost”
,如图1所示。图1中每个键值表示一个独立的组。
微软还为我们提供了一种察看系统正在运行在列表中的服务的方法。以Windows XP为例:在“运行
”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起
来的区域就是启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命
令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,的服务出现异常的话通过搜
索 文件 就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的
程序。如果你在其它目录下发现程序的话,那很可能就是中毒了。
还有一种确认是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自
带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了进程的相关情况。总而言之,
是一个系统的核心进程,并不是病毒
进程。但由于进程的特殊性,所以病毒也会千方百计的入侵。通过察看进
程的执行路径可以确认是否中毒。
3、 造成CPU使用率占用100%
症状
在基于 Windows 2000 的计算机上, 中的 CPU 使用率可能间歇性地达到100 %,并且计算机可能
停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您
可能还需要重新启动计算机。如果 错误地处理将文件刷新到磁盘的方式,则会出现此症状。
解决方案
Service Pack 信息
要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息,请单击下面的文章编
号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack
修复程序信息
Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的
特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此,如果这个问题没有对您造成
严重的影响,Microsoft 建议您等待包含此修补程序的下一个 Windows
2000 Service Pack。
要立即解决此问题,请与“Microsoft 产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持
服务”电话号码和支持费用信息的完整列表,请访问 Microsoft Web 站点:
注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情
况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用。
下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC)
列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的
“日期和时间”工具中的 时区 选项卡。
状态
Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在 Microsoft
Windows 2000 Service Pack 4 中更正的。
4、正常软件造成CPU使用率占用100%
首先,如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登陆的软件造成的。可以
通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。接着,依次取消可疑选项前面
的对钩,然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”
达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。
如果是使用电脑途中出项这类问题,可以调出任务管理器(WINXP
CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC),
进入”进程“选项卡,看”CPU“栏,从里面找到占用资源较高的程序(其中SYSTEM IDLE PROCESS是属于正常,
它的值一般都很高,它的作用是告诉当前你可用的CPU资源是多少,所以它的值越高越好)通过搜索功能找到这
个进程属于哪个软件。然后,可以通过升级、关闭、卸载这个软件或者干脆
找个同类软件替换,问题即可得到
解决。
5、病毒、木马、间谍软件造成CPU使用率占用100%
出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行
全机扫描 。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过
占用CPU100%,这个往往是中毒的表现。
Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向
,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使
它更容易成为了一些病毒木马的宿主。
6、 进程造成CPU使用率占用100%
在文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“”,如果不
是“”,而是“shell= 程序名”,那幺后面跟着的那个程序就是“木马”程序,
就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-
MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启
动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如
“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的
Explorer 键值改为Explorer=“C:”,“木马”程
序与真正的Explorer之间只有“i”
与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-
USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-
USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在
“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,
再在整个注册表中搜索即可。
7、超线程导致CPU使用率占用100%
这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一
些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中
关闭超线程功能解决。
8、AVI视频文件造成CPU使用率占用100%
在Windows XP中,单击一个较大的AVI视频文件后,可能会出现系统假死现象,并且造成进程的使
用率100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。如果文件较大就会需要较长时间
并造成CPU占用率100%。解决方法:右键单击保存视频文件的文件夹,选择”属性—>常规—>高级“,去掉”为
了快速搜索,允许索引服务编制该文件夹的索引“前面复选框的对钩即可。
9、杀毒软件CPU使用率占用100%
现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:
在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。
10、处理较大的Word文件时CPU使用率过高
上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项
”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的
钩去掉即可。
11、网络连接导致CPU使用率占用100%
当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为
这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册
表,找到HKEY—LOCAL—MACHNESYSTEMCurrentControlSetServiceslanmanserver,在右面新建一个名为";
maxworkitems";的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为";1024";,如果小于512
,就设置为256.
一些不完善的驱动程序也可以造成CPU使用率过高
经常使用待机功能,也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降,系统启动速度变慢
,也会使是系统在运行一些大型软件和游戏时CPU使用率100%,产生停顿。
进程占用CPU 100%时可能中的病毒
system Idle Process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的
时候分派处理器的时间。它的CPU占
用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
进程文件: spoolsv or
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
,如果常增高,有可能是病毒感染所致
目前常见的是:
Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
危害程度:中
受影响的系统: Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT,
Windows 3.x, Macintosh,
Unix, Linux,
病毒危害:
1. 生成病毒文件
2. 插入正常系统文件中
3. 修改系统注册表
4. 可被黑客远程控制
5. 躲避反病毒软件的查杀
简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内
(如:exe),并与计算机的通口(TCP端
口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的
命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致的使
用异常频繁......
破坏方法:感染PE文件的后门程序
病毒采用VC编写。
病毒运行后有以下行为:
1、将病毒文件复制到%WINDIR%目录下,文件名为";";,并该病毒文件运行。";";
文件运行后释放文件名为";";的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行"
;";文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行
。
2、修改注册表以下键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
增加数据项:";Microsoft Script Checker"; 数据为:";
/START";
修改该项注册表使";";文件每次系统激活时都将被运行,而";";用于运行";
";文件,从而达到病毒自激活的目的。
3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含";winnt";、";Windows";字符串的文件不
感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文
件进行感染。该病毒感染文件方法
比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插?/ca>
,出错,解决方法 原来的时候用Windows XP SP2系统,但经常出现出错,点确定之后
就变蓝屏了,只好冷启动。现在我把系统重装了,装sp1的,但发现这个sp1的系统却是点什么程序都是出错,
将发送报告。偶尔就出现出错,但点确定之后不会蓝屏幕。
这样是不是什么最新的病毒症状?另外我发现有一个盘里出现一个文件夹,文件名很长b2e4p8erk8687等由数字
和字母组成,点进去里面是一个common文件夹,还有什么sp2,sp1等一些程序和一些dll文件,我把盘格式化了
,再次启动里面又出来了,这是什么最新的病毒吗?
所说的文件名很长的文件应该是系统自己生成的临时文件夹。
出错的几种可能原因:
1.系统资源不足。如果机器配置低的话建议不要同时开启太多应用程序。另外可适当加大虚拟内存,特别是经
常玩大型游戏。这种情况下升级机器是最根本的解决办法呵呵。
3.系统文件损坏。可运行sfc/scannow扫描系统文件。若程序本身损坏,可以从别的机器上拷贝一
个文件到本机,调用任务管理器,接入进程,然后新建任务拷贝新的文件到系统盘
WINNT(2000)或WINDOWS(XP)目录下。
2.软件冲突,譬如输入法,清华紫光输入法3.0版本有的时候会出现出错,取消清华紫光输入法,
用其他输入法输入会没有问题。清华紫光输入法4.0版本未发现类似问题。
Win中CPU占用100%原因及解决方法(2)
4.病毒。
5.其他原因。计算机运行某个程序等待时间过长,比如读取数据,尤其是光盘或者外界设备的数据的时候,也
会出现出错。
6.系统内核错误。重新安装系统。
建议换张安装盘重新安装系统,打好所有补丁、安装最新版本IE、好一点的杀毒软件。装XP的话就用SP2吧。
是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。
这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
这个是输入法的进程. 可以去掉. 但是你第一次使用输入法的时候必须按照下面的步骤操作以后才可以使用输
入法的.
开始-运行-ctfmon-回车
这样以后才可以使用的.
不然不可以的.
开始-运行-msconfig-启动-把前面的勾去掉就OK了.
不过,如果出现两个就要看看是否病毒了,具体参考:
是windows下个一个进程,
是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。
所以,深入了解这个程序,是玩电脑的必修课之一。
大家对windows操作系统一定不陌生,但你是否注意到系统中“”这个文件呢?细心的朋友会
发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开
任务管理器,这里的“进程”标签中
就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用
户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以
上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中
则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote
procedure call)、dmserver服务
(logical disk manager)、dhcp服务(dhcp client)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist
-s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“”文件存在于“%systemroot% system32”
目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式
,交由 进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条
件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用
相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该
调用哪个动态链接库呢?这是通过系
统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure
call)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
以windows xp为例,点击“开始”/“运行”,输入“”命令,弹出服务对话框,然后打开“
remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:windowssystem32
svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放
在系统注册表中的。
在运行对话框中输入“”后回车,打开注册表编辑器,找到[hkey_local_machine
systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为
“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在
“parameters”子项中有个名为“servicedll”的键,其值为“%
systemroot%”,其中
“”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息
,就能启动该服务了。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达
到感染、入侵、破坏的目的(如冲击波变种病毒“”)。但windows系统存在多个svchost进
程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来
说明。
假设windows xp系统被“”感染了。正常的svchost文件存在于“c:windowssystem32
”目录下,如果发现该文件出现在其他目录下就要小心了。“”病毒存在于
“c:windowssystem32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系
统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如
“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一
旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的
可参考有关技术资料进一步去了解它。
是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:
也有可能是、.b、Webus.B、MyDoom.L、、创建的,病毒通过软
盘、群发邮件和P2P文件共享进行传播。
进程文件: lsass or
进程名称: Local Security Authority Service
进程类别:其他进程
英文描述:
is a system process of the Microsoft Windows security
mechanisms. It specifically deals
with local security and login policies. Note: also relates
to the ,
.b, Webus.B, MyDoom.L, , which
中文参考:
对不起,暂时没有中文参考!
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:Yes
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
如果你的启动菜单里有个启动项,那就证明你得木马病毒,中毒后,会在windows里产生
和两个病毒文件,还会在D盘根目录下产生和两个文件,同时侵入
注册表破坏系统文件关联。在进程里可以见到有两个相同的进程,分别是和.同时在
windows下生成和两个可执行文件,且在后台运行。管理exe类执行文件,
管理程序退出。
下载个进程管理器,找出问题进程的路径,手动终止和两个进程(管理器不能终止
,提示系统进程不能终止),打开取消
启动项。删除C:Documents and
SettingsAdministratorLocal Settingstempt和Temporary Internet
Files下的文件,断开网络后再删除
C:Program FilesCommon Filesupdate文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内
容:Windows Registry Editor Version 5.00
[HKEY_LOCAL_]
@="exefile"
"Content Type"="%1,%*"
[HKEY_LOCAL_sistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
或用工具恢复注册表。
以WIN98为例:
打开IE属性删除cookies和所有脱机内容,启动进程杀手终止和两个进程,然后到windows目
录下删除这两个文件,这两个文件是隐藏的,再到D:删除和两个文件,最后重启电脑
到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表
修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒
,清除余下的病毒!
windows xp下解决进程病毒
一、准备工作:
打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩
展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”
二、结束进程
用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的来结束进程是行不通的.会弹出该进
程为系统进程无法结束的提醒框;
点到任务管理器进程面版,点击菜单,"查看"-"选择列",在弹出的对话框中选择"PID(进程标识符)",并点
击"确定"。找到映象名称为"",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"——运行
,输入"CMD",点击"确定"打开命令行控制台。
输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的的PID列的数字,是当前用户名进程
的PID,别看错了)",比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就结束了。(如果结束了又会
出现,那么你还是用下面的方法吧)
(另外我强烈推荐大家用Process Explorer,很强的进程管理工具,可以直接结束想要结束的进程,以后用的
时候很方便,使用和下载地址:/bbs/?boardID=16&ID=1303page=1)
三、删除病毒文件
删除如下几个文件: (与WIN2000的目录有所不同)
C:Program FilesCommon (有的没有.pif)
C:Program FilesInternet
C:
C:
C:
C:
C:
C:
C:
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的""和""文件.
四、删除注册表中的其他垃圾信息
将C:WINDOWS目录下的""改名为""并运行,删除以下项目:
1、HKEY_CLASSES_ROOTWindowFiles
2、HKEY_CURRENT_USERSoftwareVB and VBA Program Settings
3、HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项
4、HKEY_LOCAL_
5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项
五、修复注册表中被篡改的键值
1、将HKEY_CLASSES_的默认值修改为 "exefile"(原来是windowsfile)
2、将HKEY_CLASSES_llopencommand 的默认值修改为 "C:Program
FilesInternet " %1 (原来是)
3、将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shell
OpenHomePageCommand 的
默认值修改为
"C:Program FilesInternet "(原来是)
4、将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand
的默认值修改为"C:Program FilesInternet " %1
(原来的值分别是
和)
5、将HKEY_CLASSES_ROOT htmlfileshellopencommand 和
HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为
"C:Program FilesInternet " –nohome
6、将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为"".(原来是
)
六、收尾工作
关掉注册表编辑器
将C:WINDOWS目录下的改回
是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关
机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是.R(储存在
%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木
马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写
。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个进程,其用户名为
“SYSTEM”。如果出现了两个,且其中一个为大写,用户名为当前系统用户的话,表明可能存在
木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否
有一个pagefile的DOS指向文件和一个文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她
关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵
,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“
是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制
。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家
最好尽快备份,然后关门杀毒
有用破解脱机外挂挂传奇或传奇世界的同胞们注意了,请尽快暂停使用51PYWG破解和方新修改的外挂,特别是
传家宝。有用破解脱机外挂挂传奇或传奇世界的同胞们注意了,请尽快暂停使用51PYWG破解和方新修改的外挂
,特别是传家宝。要不中毒了损失就超大了.
急迫!!!请使用51破解宝宝的人注意!!
现在使用51破解版传家宝会生产一个进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个进程,其用户名为
“SYSTEM”。如果出现了两个,且其中一个为大写,用户名为当前系统用户的话,表明可能存在
木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否
有一个pagefile的DOS指向文件和一个文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她
关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵
,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“
是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制
。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家
最好尽快备份,然后关门杀毒
包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网
站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排
除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有
毒,反正一句话,这种启动就连接
某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量
用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世
界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的盗号病毒清除方法,注意这个假的
是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的是
正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连
接目的地为河南。
解决“落雪”病毒的方法
症状:D盘双击打不开,里面有和文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。
我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件
都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。里盘里的就多了!
D:
D:
C:Program FilesInternet
C:Program FilesCommon
C:
C:
C:
C:(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:WINDOWSDebug*** (也是上面那个图标,名字忘了-_-
好大好明显非隐藏的)
C: 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一
样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:
C:
C:
C:
C:
C:
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不
要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!!做了这么多工作目的就是要干掉她!!!
C:
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其
中一个文件的修改日期,然后用“搜
索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联
的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,
所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里
头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单
的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是
假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把和
删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过!
然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:Windowssystem32 里,把文件复制出来,比如到桌面,改名成 嘿嘿 我也会用com
文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令,只要打开后复制上面的两行分两次粘贴上去执行就可以
了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是
Windows下的文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon]中
把"Shell"=" 1"恢复为"Shell"=""
大功告成!大家分享一下吧!
我也是在用51pywg的破解外挂挂传世的时候感染木马的,所以希望哪位同命相连的朋友能告诉我什么时候才能
再用51pywg的外挂挂传世(总不能什么都不怕一直挂,挂了中木马再除,除了再挂吧!嘿嘿!),
进程属于系统进程,这里提到的木马是木马伪装成系统进程
前两天突然发现在C:Program Files下多了一个文件。这个程序记得是关于登录和开关机的,不
应该在这里,而且它的图标是98下的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有
在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个和一个的进
程。它和系统进程不一样的地方是用户
为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是
大写的和,觉得不对劲。
然后按F3用资源管理器的搜索功能找,果然在C:Windows下,大小52736字节,生成时间为12月9日
12:37。而真正的只有4k,生成时间是2003年3月27日12:00,位于C:WindowsSyetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有,mailmonitor一类的字符,这些都是金山毒霸的
进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。
灭!
试图用任务管理器结束进程失败,称是系统关键进程。先进注册表删除
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]和v[Runservice]下相应值,注销重
登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有
、和,但的图标也是98下的记事本图标,它和的大
小都是33792字节。
此后在12:38分生成了一个文件,内容是
@echo off
debug C:DOCUME~1ADMINI~1LOCALS~
C:DOCUME~1ADMINI~1LOCALS~
copy C:DOCUME~1ADMINI~1LOCALS~
C:>C:DOCUME~1
ADMINI~1LOCALS~
del
C:DOCUME~1ADMINI~1LOCALS~ >C:DOCUME~1ADMINI~1LOCALS~
del
C:DOCUME~1ADMINI~1LOCALS~ >C:DOCUME~1ADMINI~1LOCALS~
C:
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用
Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了、、和一个0字节的文件
。大小117786字节,另两个大小也是52736字节。前两个位于C:WindowsSystem32下,后两个在
当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。并没有一直在运行,因为我在任务管理器中没
有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说
明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于的内容,发现结果不少,有QQ病毒,传奇盗号木马,新
浪游戏病毒,但是文件大小和我中的这个都不一样。搜索只有一个日文网站结果,也是一个木马
。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成
了一个快捷方式,名为,它
是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网
站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
发布评论