苏博论坛下载的XP和WIN8测试系统为何存在大量木马?
苏博论坛是一个知名的技术交流平台,提供了各种资源供用户下载,其中包括一些测试系统,如XP和WIN8。
然而,一些用户在下载这些测试系统时发现存在大量木马病毒的情况。
这让人们开始思考,为什么会出现这样的情况?而且该如何解决这个问题呢?。
以下是可能的解决方案:
1.定期更新和维护系统资源:及时更新并维护下载服务器上的系统资源,确保它们没有被恶意软件感染。这需要论坛管理员的密切关注和监管。
2.加强系统资源的筛选和审核:论坛管理员应该对上传的系统资源进行严格的筛选和审核,确保它们没有包含任何恶意软件。采用一些专业的系统资源审核工具,可以帮助管理员更轻松地发现潜在的威胁。
3.提供安全下载链路:为了保证用户下载系统资源的安全性,论坛可以提供安全的下载链路,避免用户在下载过程中被重定向到一些不安全的网站或资源。
4.教育用户提高安全意识:用户在下载系统资源时应增强安全意识,谨慎对待下载链接和来源,选择可靠的资源下载渠道。此外,用户还可以使用一些知名的杀毒软件对下载的系统资源进行扫描,以确保其安全性。
5.建立用户举报机制:论坛可以建立用户举报机制,鼓励用户主动报告发现的恶意软件或其他安全问题。这可以帮助论坛及时发现并解决存在的安全隐患。
总而言之,苏博论坛下载的XP和WIN8测试系统存在大量木马的问题可以通过加强系统资源的维护和审核,提供安全下载链路,加强用户安全意识教育以及建立用户举报机制来解决。只有共同努力,才能确保用户在论坛上下载的系统资源的安全性和可靠性。
苏博论坛的下载的XP 和 WIN8测试系统咋那么多木马
不要再网上下载,这个不好掌握,你去买个系统盘做系统就好了,那个也不贵,你说是吧!
我的笔记本电脑检测出了木马病毒,该怎么办?
现在我们来说防范木马的方法,就是把windows\system\mshta.exe文件改名,
改成什么自己随便(xp和win2000是在system32下)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveXCompatibility\下为ActiveSetupcontrols创建一个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00B6015C},然后在新键值下创建一个REG_DWORD类型的键Compatibility,并设定键值为0x00000400即可。
还有windows\command\debug.exe和windows\ftp.exe都给改个名字(或者删燃唤除)
一些最新流行的木马最有效果的防御~~
比如网络上流行的木马smss.exe这个是其中一种木马的主体潜伏在98/winme/xpc:\windows目录下2000c:\winnt.....
假如你中了这个木马首先我们用进程管理器结束正在运行的木马smss.exe然后在C:\windows或c:\winnt\目录下创建一个假的smss.exe并设置为只读属性~(2000/XPNTFS的磁盘格式的话那就更好可以用“安全设置”设置为读取)这样木马没了~以后也不会在感染了这个办法本人测试过对很多木马
都很有效果的
经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只皮祥凯不过有些木马的残骸留在了IE的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理临时文件夹和IE
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使宴友普通用户很难在中毒后发觉。
防治木马的危害,应该采取以下措施:
第一,安装杀毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
远程控制的木马有:冰河,灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。
DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。
理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。
无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。
启动DLL木马的EXE是个重要角色,它被称为Loader,Loader可以是多种多样的,Windows的Rundll32.exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。
利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。
简单防御方法
DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。
如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。
对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。
现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。
木马的防治方法 1、禁用系统还原(WindowsMe/XP)。
如果您运行的是WindowsMe或WindowsXP,建议您暂时关闭“系统还原”。
此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows可使用该功能将其还原。
如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows禁止包括防病毒程序在内的外部程序修改系统还原。
因此,防病毒程序或工具无法删除SystemRestore文件夹中的威胁。
这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到SystemRestore文件夹中的威胁,即使您已将该威胁删除。
注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
2、将计算机重启到安全模式或者VGA模式
关闭计算机,等待至少30秒钟后重新启动到安全模式或者VGA模式
Windows95/98/Me/2000/XP用户:将计算机重启到安全模式。
所有Windows32-bit作系统,除了WindowsNT,可以被重启到安全模式。
更多信息请参阅文档如何以安全模式启动计算机。
WindowsNT4用户:将计算机重启到VGA模式。
扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被Download.Trojan感染,请单击“删除”。
如有必要,清除InternetExplorer历史和文件。
如果该程序是在TemporaryInternetFiles文件夹中的压缩文件内检测到的,请执行以下步骤:。
启动InternetExplorer。
单击“工具”>“Internet选项”。
单击“常规”选项卡“Internet临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。
在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
[1]木马病毒专杀工具
远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧
反木马病毒
木马专杀工具
木马防线2005V4.16
木马分析专家2005V6.57
木马克星(iparmor)V5.47
病毒.流行木马.盗号软件统杀工具
木马专杀大师V2.6
木马专家20050102
Windows木马清道夫
木马分析专家个人防火墙排查出电脑的木马 1、集成到程序中
由于用户一般不会主动程序,而种木马者为了吸引用户运行,他们会将木马文件和其它应用程序进行捆绑,用户看到的只是正常的程序。但是你一旦运行之后,不仅该正常的程序运行,而且捆绑在一起的木马程序也会在后台偷偷运行。
这种隐藏在其它应用程序之中的木马危害比较大,而且不容易发现。
如果捆绑到系统文件中,那么则会随Windows启动而运行。
不过只要我们安装个人防火墙或者启用WindowsXPSP2中的Windows防火墙,那么在木马服务端试图连接种木马的客户端时,则会询问是否放行,据此即可判断出自己有无中木马。
2、隐藏在媒体文件中
这种类型严格上说,用户还没有中木马。
不过它的危害容易被人忽略。
因为大家对影音文件的警惕性不高。
它的常用手段是在媒体文件中插入一段代码,代码中包含了一个网址,当播放到指定时间时即会自动访问该网址,而该网址所指页面的内容却是一些网页木马或其它危害。
因此,当我们在播放网上下载的影片时,如果发现突然打开了窗口,那么切不可好奇而应将其立即关闭,然后跳过该时间段影片的播放。
3、隐藏在System.ini
4、隐藏在Win.ini
与System.ini相似,Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件,然后查看[Windows]区域“load=”和“run=”,正常情况下它们后面应该是空白,如果你发现它们后面加了某个程序,那么加载的程序则可能是木马,需要将它们删除。
5、隐藏在Autoexec.bat
在C盘根目录下有一个Autoexec.bat文件,这里的内容将会在系统启动时自动运行。
与该文件类似的还有Config.sys。
因为它自动运行,因此也成为木马的一个藏身之地。
对此我们同样需要打开这两个文件,检查里面是否加载了来历不明的程序在运行。
6、任务管理器
部分木马运行后我们可以在任务管理器中找出它的踪迹。
在任务栏上右击,在弹出的菜单中选择“任务管理器”,将打开的窗口切换到“进程”标签,在这里查看有没有占用较多资源的进程,有没有不熟悉的进程。
若有,可以先试着将它们关闭。
另外要特别注意Explorer.exe这类进程,因为很多木马会使用Exp1orer.exe进程名,即把l换成1,用户不仔细查看,还以为是系统进程呢。
7、启动
在WindowsXP中,我们可以运行“msconfig”,将打开的窗口切换到“启动”标签,在这里可以看到所有启动加载的项目,此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消,然后再作进一步的处理。
8、注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion,看看这三个区域下所有以“run”开头的键值,如果键值的内容指向一些隐藏的文件或自己从未安装过的程序,那么这些则很可能是木马了。
木马之所以能够为非作歹,正是因为其善于隐藏自己。
不过我们掌握了其藏身之处,那么则可以将其一一清除。
当然,木马在实际的伪装隐藏自己中,可能会综合使用上面一种或几种方法来伪装,这就需要我们在检查清除时,不能只检查其中的部分地点。
新人快速上手指南之电脑木马查杀大全常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。
如何来知道电脑有没有被装了木马呢?。
一、手工方法:
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。
具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat-an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、localaddress(本地连接地址)、foreignaddress(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“netstart”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exefile.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。
他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。
恶意的攻击者可以通过这个账户任意地控制你的计算机。
针对这种情况,可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”,然后在命令行下输入netuser,查看计算机上有些什么用户,然后再使用“netuser用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“netuser用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项(如LocalPage),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。
这个一定要改回来。
很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具:
查杀木马的工具有LockDown、TheClean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
修改注册表增强系统对木马病毒的防御 通常木马病毒是通过注册表来启动服务的,所以注册表对于系统防御病毒有着比较重要的意义。
按照理论上来说,我们可以通过修改注册表的属性来预防病毒和木马,实际上亦可行,具体的实施方法如下:。
Windows2000/XP/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读,防止木马、病毒以"服务"方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用gpedit.msc)
如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。[3]
是svchost.exe运行占CPU90%以上,一开比特下载器连网也上不去,,宽带能...
WinXP中CPU占用100%原因及解决方法
我们在使用WindowsXP操作系统的时候,用着用着系统就变慢了,一看“任务管理器”才发现CPU占用达到100%。这是怎么回事情呢?遇到病毒了,硬件有问题,还是系统设置有问题,在本文中笔者将从硬件,软件和病毒三个方面来讲解系统资源占用率为什么会达到100%。
经常出现CPU占用100%的情况,主要问题可能发生在下面的某些方面:
CPU占用率高的九种可能
1、防杀毒软件造成故障
由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式:基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
2、驱动没有经过认证,造成CPU资源占用100%
大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。处理方式:尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本。
3、病毒、木马造成
大量的蠕虫病毒在系统内部迅兄孙速复制,造成CPU占用资源率据高不下。
解决办法:用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。
经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。
4、控制面板—管理工具—服务—RISINGREALTIMEMONITORSERVICE点鼠标右键,改为手动。
5、开始->运行->msconfig->启动,关闭不必要的启动项,重启。
6、查看“svchost”进程。
svchost.exe是WindowsXP系统的一个核心进程。
svchost.exe不单单只出现在WindowsXP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。
一般在Windows2000中svchost.exe进程的数目为2个,而在WindowsXP中svchost.exe进程的数目就上升到了4个及4个以上。
7、查看网络连接。主要是网卡。
8、查看网络连接
当安装了WindowsXP的计算机做服务器的时候,收到端口445上的连接请求时,它将分配内存和少量地调配CPU资源来为这些连接提供服务。
当负荷过重的时候,CPU占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。
你要确定合适的MaxWorkItems设置以提高系统响应能力。
如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源。
如果计算机有512MB以上的内存,键入“1024”;如果计算机内存小于512MB,键入“256”。
9、看看是不是WindowsXP使用鼠标右键引起CPU占用100%
前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用,我们来看看是怎么回事?
征兆:
在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下面所列问题:
任何文件的拷贝操作在那个时间将有可能停止相应
网络连接速度将显著性的降低
所有的流输入/输出操作例如使用WindowsMediaPlayer听音乐将有可能是音乐失真成因:
当你在资源管理器里面右键点击一个文件或目录的时候,当快捷菜单显示的时候,CPU占用率将增加到100%,当你关闭快捷菜单的时候才返回正常水平。
解决方法:
方法一:关闭“为菜单和工具提示使用过渡效果”
1、点击“开始”--“控制面板”
2、在“控制面御尘困板”里面双击“显示”
3、在“显示”属性里面点击“镇念外观”标签页
4、在“外观”标签页里面点击“效果”
5、在“效果”对话框里面,清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。
方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。
CPU占用100%解决办法
一般情况下CPU占了100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了。
当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要CPU正常了那就没问题;如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去google或者baidu搜。
有时只结束是没用的,在xp下我们可以结合msconfig里的启动项,把一些不用的项给关掉。
在2000下可以去下个winpatrol来用。
一些常用的软件,比如浏览器占用了很搞的CPU,那幺就要升级该软件或者干脆用别的同类软件代替,有时软件和系统会有点不兼容,当然我们可以试下xp系统下给我们的那个兼容项,右键点该.exe文件选兼容性。
svchost.exe有时是比较头痛的,当你看到你的某个svchost.exe占用很大CPU时你可以去下个aports或者fport来检查其对应的程序路径,也就是什幺东西在掉用这个svchost.exe,如果不是c:\Windows\system32(xp)或c:\winnt\system32(2000)下的,那就可疑。升级杀毒软件杀毒吧。
右击文件导致100%的CPU占用我们也会遇到,有时点右键停顿可能就是这个问题了。
官方的解释:先点左键选中,再右键(不是很理解)。
非官方:通过在桌面点右键-属性-外观-效果,取消”为菜单和工具提示使用下列过度效果(U)“来解决。
还有某些杀毒软件对文件的监控也会有所影响,可以关闭杀毒软件的文件监控;还有就是对网页,插件,邮件的监控也是同样的道理。
一些驱动程序有时也可能出现这样的现象,最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当的升级驱动,不过记得最新的不是最好的。
CPU降温软件,由于软件在运行时会利用所以的CPU空闲时间来进行降温,但Windows不能分辨普通的CPU占用和降温软件的降温指令之间的区别,因此CPU始终显示100%,这个就不必担心了,不影响正常的系统运行。
在处理较大的word文件时由于word的拼写和语法检查会使得CPU累,只要打开word的工具-选项-拼写和语法把”检查拼写和检查语法“勾去掉。
单击avi视频文件后CPU占用率高是因为系统要先扫描该文件,并检查文件所有部分,并建立索引;解决办法:右击保存视频文件的文件夹-属性-常规-高级,去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾。
CPU占用100%案例分析
1、dllhost进程造成CPU使用率占用100%
特征:服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。
直接原因:
有一个或多个ACCESS数据库在多次读写过程中损坏,微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其它线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。
解决办法:
安装“一流信息监控拦截系统”,使用其中的“首席文件检查官IIS健康检查官”软件,
启用”查找死锁模块”,设置:
--wblock=yes
监控的目录,请指定您的主机的文件所在目录:
--wblockdir=d:\test
监控生成的日志的文件保存位置在安装目录的log目录中,文件名为:logblock.htm
停止IIS,再启动“首席文件检查官IIS健康检查官”,再启动IIS,“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。
过了一段时间后,当问题出来时,例如CPU会再次一直处100%的水平,可以停止IIS,检查logblock.htm所记录的最后的十个文件,注意,最有问题的往往是计数器类的ACCESS文件,例如:”**COUNT.MDB”,”**COUNT.ASP”,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动IIS,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。
找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决了。
2、svchost.exe造成CPU使用率占用100%
在win.ini文件中,在[Windows]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。
一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。
当然你也得看清楚,因为好多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。
当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。
该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年,如果是,受感染的服务器也会重新启动。
当WindowsNT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe,受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。
该文件的大小是8192字节,VirtualRoot网络蠕虫程序就是通过该程序来执行的。
同时,VirtualRoot网络蠕虫程序还将cmd.exe的文件从WindowsNT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。
它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来。
值得一提的是,该网络蠕虫程序除了文件explorer.exe外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。
”程序的文件名,再在整个注册表中搜索即可。
我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。
其实svchost.exe是WindowsXP系统的一个核心进程。
svchost.exe不单单只出现在WindowsXP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。
一般在Windows2000中svchost.exe进程的数目为2个,而在WindowsXP中svchost.exe进程的数目就上升到了4个及4个以上。
所以看到系统的进程列表中有几个svchost.exe不用那幺担心。
svchost.exe到底是做什幺用的呢?
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。
由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。
那svchost.exe在这中间是担任怎样一个角色呢?。
svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。
svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。
svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。
svchost.exe是病毒这种说法是任何产生的呢?
因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。
如何才能辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?
svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示一个独立的svchost.exe组。
微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。
以WindowsXP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist/svc。
系统列出如图2所示的服务列表。
图2中红框包围起来的区域就是svchost.exe启动的服务列表。
如果使用的是Windows2000系统则把前面的“tasklist/svc”命令替换为:“tlist-s”即可。
如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。
一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。
如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了svchost.exe进程的相关情况。
总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。
但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。
通过察看svchost.exe进程的执行路径可以确认是否中毒。
3、Services.exe造成CPU使用率占用100%
症状
在基于Windows2000的计算机上,Services.exe中的CPU使用率可能间歇性地达到100%,并且计算机可能停止响应(挂起)。
出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。
您可能还需要重新启动计算机。
如果Esent.dll错误地处理将文件刷新到磁盘的方式,则会出现此症状。
解决方案
ServicePack信息
要解决此问题,请获取最新的MicrosoftWindows2000ServicePack。有关其它信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
260910如何获取最新的Windows2000ServicePack
修复程序信息
Microsoft提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。
只有计算机遇到本文提到的特定问题时才可应用此修补程序。
此修补程序可能还会接受其它一些测试。
因此,如果这个问题没有对您造成严重的影响,Microsoft建议您等待包含此修补程序的下一个Windows2000ServicePack。
要立即解决此问题,请与“Microsoft产品支持服务”联系,以获取此修补程序。有关“Microsoft产品支持服务”电话号码和支持费用信息的完整列表,请访问MicrosoftWeb站点:
注意:特殊情况下,如果Microsoft支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用。
下表列出了此修补程序的全球版本的文件属性(或更新的属性)。
这些文件的日期和时间按协调通用时间(UTC)列出。
查看文件信息时,它将转换为本地时间。
要了解UTC与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的时区选项卡。
状态
Microsoft已经确认这是在本文开头列出的Microsoft产品中存在的问题。此问题最初是在MicrosoftWindows2000ServicePack4中更正的。
4、正常软件造成CPU使用率占用100%
首先,如果是从开机后就发生上述情况直到关机。
那幺就有可能是由某个随系统同时登陆的软件造成的。
可以通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。
接着,依次取消可疑选项前面的对钩,然后重新启动电脑。
反复测试直到找到造成故障的软件。
或者可以通过一些优化软件如“优化大师”达到上述目的。
另:如果键盘内按键卡住也可能造成开机就出现上述问题。
如果是使用电脑途中出项这类问题,可以调出任务管理器(WINXPCTRL ALT DELWIN2000CTRL SHIFT“ESC),进入”进程“选项卡,看”CPU“栏,从里面找到占用资源较高的程序(其中SYSTEMIDLEPROCESS是属于正常,它的值一般都很高,它的作用是告诉当前你可用的CPU资源是多少,所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后,可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换,问题即可得到解决。
5、病毒、木马、间谍软件造成CPU使用率占用100%
出现CPU占用率100%的故障经常是因为病毒木马造成的,比如震荡波病毒。
应该首先更新病毒库,对电脑进行全机扫描。
接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。
论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。
svchost.exeWindows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。
6、explorer.exe进程造成CPU使用率占用100%
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
Explorer键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
7、超线程导致CPU使用率占用100%
这类故障的共同原因就是都使用了具有超线程功能的P4CPU。
我查找了一些资料都没有明确的原因解释。
据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中关闭超线程功能解决。
8、AVI视频文件造成CPU使用率占用100%
在WindowsXP中,单击一个较大的AVI视频文件后,可能会出现系统假死现象,并且造成exploere.exe进程的使用率100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。
如果文件较大就会需要较长时间并造成CPU占用率100%。
解决方法:右键单击保存视频文件的文件夹,选择”属性—>常规—>高级“,去掉”为了快速搜索,允许索引服务编制该文件夹的索引“前面复选框的对钩即可。
9、杀毒软件CPU使用率占用100%
现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。
比如:在玩游戏的时候,会非常缓慢。
关闭该杀毒软件是解决得最直接办法。
10、处理较大的Word文件时CPU使用率过高
上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。
11、网络连接导致CPU使用率占用100%
当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEY—LOCAL—MACHNE\SYSTEM\CurrentControlSet\Services\lanmanserver,在右面新建一个名为";maxworkitems";的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为";1024";,如果小于512,就设置为256.
一些不完善的驱动程序也可以造成CPU使用率过高
经常使用待机功能,也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降,系统启动速度变慢,也会使是系统在运行一些大型软件和游戏时CPU使用率100%,产生停顿。
现在的病毒和木马,有什么区别?
病毒与木马的区别:
1、病毒是当已感染的橡简软件运行时,这些恶性程序向计算机软件添加代码,修改程序的工作方式,从而获取计算机的控制权。
2、木马是指未经用户同意进行非授权操作的一种恶意程序。
它们可能删除硬盘上的数据,使系统瘫痪,盗取用户资料等。
木马程序不能独立侵入计算机,而是要依靠黑客来进行传播,它们常常被伪装成“正常”软件进行散播。
3、他们最大的区别就是病毒具有感染性,而木马一般不具有感染性,另外,病毒入侵后立刻有感觉,而木马入侵后希望你没有感觉,这样才有利于她“开展工作”。木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。
扩展资料:
“木马”这个名字来源于古希腊传说——特洛伊木马。和故事中的“木马”一样,计算机病毒中的“木马”也是通过伪装自身吸引用户下载,执行,随后进入到电脑中的。
现在最为流含如掘行木马就是“挖矿木马”了,随着加密货币价格的攀升,国内外频频爆出各种“挖矿木马”事件。当用户下载安装此带毒工谈核具后,挖矿木马也会入侵电脑,利用用户的电脑资源,为黑客“挖矿”赚钱。
参考资料:百度百科-计算机病毒
参考资料:百度百科-木马病毒
下载的XP系统用硬盘装的,完成后重启蓝屏,代码0x000000007B
在WindowsXP安装期间,如果安装程序在安装过程中重新启动,也可能收到“Stop0x0000007B”错误信息。
如果在安装程序运行期间收到Stop错误,您将会收到第二条错误信息。
要解决此问题,请阅读以下四节,以确定是否有某个问题描述适用于您的情况。
如果都不适用,请参考本文结尾处的一般疑难解答步骤。
引导扇区病毒
如果您的计算机感染了引导扇区病毒,则可能会收到“Stop0x0000007B”错误信息。
检查您的计算机是否染上了病毒。
如果您发现了病毒,则还要在再次使用软盘前检查这些软盘是否感染了病毒。
Microsoft不提供可检测或清除计算机病毒的软件。
如果您怀疑或证实计算机感染了病毒,请获取最新的防病毒软件。
要获取防病毒软件制造商的列表,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:。
49500
注意:您可能需要使用多种病毒检测软件来检测和删除各类病毒。
重要说明:如果计算机已感染了病毒,它可能还会容易受到其他形式的攻击。我们建议您按照CERT
网站上发布的指导,重建可能染上病毒的Internet前沿服务器。
Internet前沿服务器是在没有防火墙或其他保护的情况下工作的服务器。
另一个很好的观念是,如果任何其他计算机由于接近已感染病毒的计算机而具有染上病毒的风险,则在这些计算机重新投入使用前,重建所有这些计算机。
如果您的WindowsXP计算机已经感染了病毒,并且病毒检唤丛团测程序无法清除该病毒并修复系统,则必须对硬盘进行重新分区和格式化,然后重新安装WindowsXP。有关在WindowsXP中对硬盘进行分区和格式化的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
313348
有关如何在WindowsXP中保护引导扇区免受病毒侵害的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
122221
在以下情况中,您可能会收到“Stop0x0000007B”错误信息:
计算机引导控制器所需的设备驱动程序未被配置为在开机过程中启动。
计算机的引导控制器所需的设备驱动程序已经损坏。
WindowsXP注册表中的信息(与开机过程中设备驱动程序的加载方式有关的和橘信息)已经损坏。
WindowsXP要求微型端口驱动程序,以便与用于启动计算机的硬盘控制器通信。如果WindowsXP没有为控制器提供设备驱动程序,或者使用的是已损坏或不兼容的驱动程序,则必须用与您的控制器和WindowsXP兼容的有效副本替换该驱动程序。
在WindowsXP安装的第一个阶段,安装程序在屏幕底部显示以下消息:
如果必须安装第三方SCSI或RAID驱动程序,请按F6键。
按F6键,然后按照说明安装来自原始设备制造商(OEM)的大容量存储设备驱动程序。有关使用F6键来加载受支持郑余的OEM设备驱动程序的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
314859
要确定您的硬盘控制器是否与WindowsXP兼容并详细了解可以从WindowsXP光盘或下载中心获取的驱动程序,请参阅最新的WindowsXP硬件兼容列表(HCL)。有关最新WindowsXPHCL的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
314062
如果您的硬盘控制器未在HCL中列出,则与计算机、系统板或硬盘控制器的制造商联系,了解与驱动程序的可用性有关的信息。
Microsoft并不保证非HCL设备一定有合适的解决方案。
有关其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:。
315239
如果WindowsXP注册表中的系统配置单元被损坏,则WindowsXP可能无法加载引导控制器所要求的微型端口设备驱动程序。
若要解决此问题,请还原注册表备份。
有关还原注册表备份的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:。
307545
如果在引导控制器和其他控制器之间(或在SCSI设备之间)存在资源冲突,您可能会收到“Stop0x0000007B”错误信息。
如果驱动器转换未执行或已更改,您也可能会收到此Stop错误信息。
要解决此问题,请按照下列步骤操作:。
如果在引导控制器和其他控制器之间存在IRQ或I/O端口地址冲突,则WindowsXP或者停止响应(挂起),或者显示“Stop0x0000007B”错误信息。如果最近添加了新硬件,则卸下该新硬件,或对它进行重新配置,以使它不与以前安装的任何其他控制器的资源发生冲突。
如果您使用SCSI硬盘,则检查SCSI链是否正确终结。删除任何未使用的SCSI设备,或者确保每个SCSIID都是唯一的。
确保驱动器转换已经打开(如果要求)并且尚未更改。
例如,如果您最近更换了控制器,则可能发生此问题。
有关此问题的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:。
314082
其他问题
“Stop0x0000007B”错误信息的其他可能原因包括:
启动卷已损坏,无法由WindowsXP初始化。
如果文件系统已损坏并且WindowsXP无法在启动过程中初始化启动卷,则将该驱动器移动到运行WindowsXP的其他计算机上并在该驱动器上运行chkdsk命令,或者尝试在驱动器上的单独文件夹中创建WindowsXP的并行安装。
WindowsXP安装程序在复制文件之前检查卷的完整性,且可能会在检查过程中修复一些问题。
您目前在由MicrosoftWindowsNT4.0创建的镜像启动分区上安装WindowsXP。
WindowsXP不支持WindowsNT4.0Ftdisk卷集。
如果您运行的是MicrosoftWindows2000,则在升级到WindowsXP之前,必须将所有Ftdisk卷集转换为动态卷。
如果您运行的是WindowsNT4.0,则在升级到WindowsXP之前,应断开所有镜像并备份带区、RAID5或扩展卷集上的所有数据。
Ftdisk集在升级后可能无法访问。
一般疑难解答
如果本文介绍的问题都对您不适用,请使用以下一般疑难解答步骤:
如果您在安装WindowsXP时收到这些错误信息之一,请更新计算机的BIOS,或者从计算机、系统板或硬盘控制器的制造商那里获取硬盘控制器的WindowsXP驱动程序,或者同时采取这两种方法。
有关如何更新计算机的BIOS或获取WindowsXP驱动程序的信息,请与您的计算机制造商联系。
有关驱动程序的可用性的其他信息,请参见本文中的设备驱动程序问题一节。
注意:如果以前在镜像启动分区上安装了WindowsNT4.0或Windows2000,请参见本文中的其他问题一节。
使用“最后一次正确的配置”功能。
如果您最近为引导控制器安装了不兼容的设备驱动程序,则该功能可以解决这一问题。
有关使用“最后一次正确的配置”功能的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:。
307852
将对WindowsXP安装程序使用“修复”选项。有关使用安装程序修复WindowsXP的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
315341
还原注册表备份。有关还原注册表备份的其他信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
307545
相关阅读推荐
-
2023-07-23 -
2023-07-23 -
2023-07-23 -
2023-07-23 -
哪位亲有苏博联合论坛Win7SP1X64Lite 2012年10月版?
2023-07-23 -
2022-11-16 -
2022-11-10 -
2023-03-04 -
2022-11-24 -
2023-07-18