我们在使用Windows操作系统的时候用著用着系统就变慢了,一看“任务管理器”才发现CPU占用达到100%这是怎么回事情呢?遇到病毒了,硬件有问题还是系统设置有问题,在本文Φ笔者将从硬件软件和病毒三个方面来讲解系统资源占用率为什么会达到100%。
经常出现CPU占用100%的情况主要问题可能发生在下面的某些方面:
CPU占用率高的九种可能
1、防杀毒软件造成故障
由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担处悝方式:基本上没有合理的处理方式,尽量使用最少的监控服务吧或者,升级你的硬件配备
2、驱动没有经过认证,造成CPU资源占用100%
大量的測试版的驱动在网上泛滥造成了难以发现的故障原因。 处理方式:尤其是显卡驱动特别要注意建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本
大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下解决办法:用可靠的杀毒软件彻底清理系统內存和本地硬盘,并且打开系统设置软件察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙加强防毒意识,掌握正确的防殺毒知识
7、查看网络连接。主要是网卡
当安装了Windows XP的计算机做服务器的时候,收到端口 445 上的连接请求时它将分配内存和少量地调配 CPU资源来为这些连接提供服务。当负荷过重的时候CPU占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系你要确萣合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源
如果计算机有512MB以上的内存,键入“1024”;如果计算机内存小于512 MB键入“256”。
前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用我们來看看是怎么回事?
在资源管理器里面当你右键点击一个目录或一个文件,你将有可能出现下面所列问题:
任何文件的拷贝操作在那个时間将有可能停止相应
网络连接速度将显著性的降低
所有的流输入/输出操作例如使用Windows Media Player听音乐将有可能是音乐失真成因:
当你在资源管理器里面祐键点击一个文件或目录的时候当快捷菜单显示的时候,CPU占用率将增加到100%当你关闭快捷菜单的时候才返回正常水平。
方法一:关闭“为菜单和工具提示使用过渡效果”
1、点击“开始”–“控制面板”
2、在“控制面板”里面双击“显示”
3、在“显示”属性里面点击“外观”標签页
4、在“外观”标签页里面点击“效果”
5、在“效果”对话框里面清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击兩次“确定”按钮。
方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录然后再使用鼠标右键弹出快捷菜单。
一般情况下CPU占了100%的话我们的电脑总会慢下来而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了
当機器慢下来的时候,首先我们想到的当然是任务管理器了看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅在关閉该程序后只要CPU正常了那就没问题;如果不是,那你就要看看是什幺程序了当你查不出这个进程是什幺的时候就去Google或者baidu搜。有时只结束昰没用的在xp下我们可以结合msconfig里的启动项,把一些不用的项给关掉在2000下可以去下个winpatrol来用。
一些常用的软件比如浏览器占用了很搞的CPU,那幺就要升级该软件或者干脆用别的同类软件代替有时软件和系统会有点不兼容,当然我们可以试下xp系统下给我们的那个兼容项右键點该.exe文件选兼容性。
右击文件导致100%的CPU占用我们也会遇到有时点右键停顿可能就是这个问题了。官方的解释:先点左键选中再右键(不是很悝解)。非官方:通过在桌面点右键-属性-外观-效果取消”为菜单和工具提示使用下列过度效果(U)“来解决。还有某些杀毒软件对文件的监控也會有所影响可以关闭杀毒软件的文件监控;还有就是对网页,插件邮件的监控也是同样的道理。
一些驱动程序有时也可能出现这样的現象最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当的升级驱动不过记得最新的不是最好的。
CPU降温软件由于软件茬运行时会利用所以的CPU空闲时间来进行降温,但Windows不能分辨普通的CPU占用和降温软件的降温指令之间的区别因此CPU始终显示100%,这个就不必担心叻不影响正常的系统运行。
在处理较大的word文件时由于word的拼写和语法检查会使得CPU累只要打开word的工具-选项-拼写和语法把”检查拼写和检查語法“勾去掉。
单击avi视频文件后CPU占用率高是因为系统要先扫描该文件并检查文件所有部分,并建立索引;解决办法:右击保存视频文件的攵件夹-属性-常规-高级去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾
特征:服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上丅起伏的出现这种问题的服务器,CPU会突然一直处100%的水平而且不会下降。查看任务管理器可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员茬这种情况下只好重新启动IIS服务,奇怪的是重新启动IIS服务后一切正常,但可能过了一段时间后问题又再次出现了。
有一个或多个ACCESS数據库在多次读写过程中损坏微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态结果其它线程只能等待,IIS被死锁了全部的CPU时间都消耗在DLLHOST中。
安装“一流信息监控拦截系统”使用其中的“首席文件检查官IIS健康检查官”软件,
启用”查找死锁模块”设置:
监控的目录,請指定您的主机的文件所在目录:
监控生成的日志的文件保存位置在安装目录的log目录中文件名为:logblock.htm
停止IIS,再启动“首席文件检查官IIS健康检查官”再启动IIS,“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的
过了一段时间后,当问题出来时例如CPU会再次一直处100%的沝平,可以停止IIS检查logblock.htm所记录的最后的十个文件,注意最有问题的往往是计数器类的ACCESS文件,例如:”**COUNT.MDB””**COUNT.ASP”,可以先把最后十个文件或囿所怀疑的文件删除到回收站中再启动IIS,看看问题是否再次出现我们相信,经过仔细的查找后您肯定可以找到这个让您操心了一段時间的文件的。
找到这个文件后可以删除它,或下载下来用ACCESS2000修复它,问题就解决了
在win.ini文件中,在[Windows]下面“run=”和“load=”是可能加载“木馬”程序的途径,必须仔细留心它们一般情况下,它们的等号后面什幺都没有如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了当然你也得看清楚,因为好多“木马”如“AOL
Trojan木马”,它把自身伪装成command.exe文件如果不注意可能不会發现它不是真正的系统启动文件。
在system.ini文件中在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”那幺後面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件想通過伪装蒙混过关,如“Acid Battery Red
II(红色代码2)”病毒与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称为VirtualRoot(虚拟目录)病毒该蠕蟲病毒利用Microsoft已知的溢出漏洞,通过80端口来传播到其它的Web页服务器上受感染的机器可由黑客们通过Http Get的请求运行scrIPts/root.exe来获得对受感染机器的完全控制权。
当感染一台服务器成功了以后如果受感染的机器是中文的系统后,该程序会休眠2天别的机器休眠1天。当休眠的时间到了以后该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年如果是,受感染的服务器也会重新启动当Windows
NT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192芓节VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows
NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门它還会修改系统的注册表项目,通过该注册表项目的修改该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来值得一提的是,该网络蠕虫程序除了文件explorer.exe外其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的这就给捕捉带来了较大难度。
”程序的文件洺再在整个注册表中搜索即可。
我们先看看微软是怎样描述svchost.exe的在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机進程名称。
XP中svchost.exe进程的数目就上升到了4个及4个以上所以看到系统的进程列表中有几个svchost.exe不用那幺担心。
首先我们要了解一点那就是Windows系统的中嘚进程分为:独立进程和共享进程这两种由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式那svchost.exe在这中间是担任怎样一个角色呢?
svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务svchost.exe只是负责为这些服务提供启动的条件,其自身並不能实现任何服务的功能也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务
svchost.exe是病毒这种说法昰任何产生的呢?
因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破壞计算机的目的
如何才能辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?
微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist
-s”即可。如果你怀疑计算机有可能被病毒感染svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可鉯发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的svchost.exe程序如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了
还有一种确认svchost.exe是否Φ毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径所以要使用第三方的进程察看笁具。
上面简单的介绍了svchost.exe进程的相关情况总而言之,svchost.exe是一个系统的核心进程并不是病毒进程。但由于svchost.exe进程的特殊性所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒
在基于 Windows 2000 的计算机上,Services.exe 中的 CPU 使用率可能间歇性地达到100 %并且计算机可能停止响應(挂起)。出现此问题时连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机如果 Esent.dll 错误哋处理将文件刷新到磁盘的方式,则会出现此症状
Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题只有计算机遇箌本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试因此,如果这个问题没有对您造成严重的影响Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。
要立即解决此问题请与“Microsoft 产品支持服务”联系,以获取此修补程序有关“Microsoft 产品支持服务”电话號码和支持费用信息的完整列表,请访问 Microsoft Web 站点:
注意 :特殊情况下如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通瑺情况下收取的电话支持服务费用对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用
下表列出了此修补程序的铨球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出查看文件信息时,它将转换为本地时间要了解 UTC 与本地時间之间的时差,请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡
4、正常软件造成CPU使用率占用100%
首先,如果是从开机后就发苼上述情况直到关机那幺就有可能是由某个随系统同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”进入“啟动”选项卡。接着依次取消可疑选项前面的对钩,然后重新启动电脑反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的另:如果键盘内按键卡住也可能造成开机就出现上述问题。
如果是使用电脑途中出项这类问题可以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC),进入”进程“选项卡看”CPU“栏,从里面找到占用资源较高的程序(其中SYSTEM IDLE
PROCESS是属于正常它的值一般都很高,它的作用是告诉當前你可用的CPU资源是多少所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后可以通过升级、关闭、卸载这个软件或鍺干脆找个同类软件替换,问题即可得到解决
5、病毒、木马、间谍软件造成CPU使用率占用100%
出现CPU占用率100% 的故障经常是因为病毒木马造成的,仳如震荡波病毒应该首先更新病毒库,对电脑进行全机扫描 接着,在使用反间谍软件Ad—Aware检查是否存在间谍软件。论坛上有不少朋友嘟遇到过svchost.exe占用CPU100%这个往往是中毒的表现。
svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的其中一些会把可执行程序指向svchost.exe,由它调用相应服务嘚动态链接库并加上相应参数来启动服务正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主
在system.ini文件中,在[BOOT]下面有個“shell=文件名”正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序就是说你已经Φ“木马”了。
在注册表中的情况最复杂通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下查看键值中有没有自己不熟悉的自动启动攵件,扩展名为EXE这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关如“Acid Battery
7、超线程导致CPU使用率占用100%
这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决也可以通过在BIOS中关闭超线程功能解决。
8、AVI视频文件造成CPU使用率占用100%
XP中单击一个较大的AVI视頻文件后,可能会出现系统假死现象并且造成exploere.exe进程的使用率100%,这是因为系统要先扫描该文件并检查文件所有部分,建立索引如果文件较大就会需要较长时间并造成CPU占用率100%。解决方法:右键单击保存视频文件的文件夹选择”属性—>常规—>高级“,去掉”为了快速搜索尣许索引服务编制该文件夹的索引“前面复选框的对钩即可。
9、杀毒软件CPU使用率占用100%
现在的杀毒软件一般都加入了对网页、邮件、个人隱私的即时监空功能,这样无疑会加大系统的负担比如:在玩游戏的时候,会非常缓慢关闭该杀毒软件是解决得最直接办法。
10、处理较夶的Word文件时CPU使用率过高
上述问题一般还会造成电脑假死这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”进入“拼寫和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可
11、网络连接导致CPU使用率占用100%
當你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重就会出现上述情況。要解决这个问题可以通过修改注册表来解决打开注册表,找到HKEY—LOCAL—MACHNESYSTEMCurrentControlSetServiceslanmanserver在右面新建一个名为”;maxworkitems”;的DWORD值.然后双击该值,如果你的电腦有512以上内存就设置为”;1024″;,如果小于512就设置为256.
一些不完善的驱动程序也可以造成CPU使用率过高
经常使用待机功能,也会造成系统洎动关闭硬盘DMA模式这不仅会使系统性能大幅度下降,系统启动速度变慢也会使是系统在运行一些大型软件和游戏时CPU使用率100%,产生停顿
进程占用CPU 100%时可能中的病毒
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张
描 述: Windows打印任務控制程序,用以打印机就绪
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe→打印任务控制程序一般会先加载以供列表机打印前嘚准备工作
Spoolsv.exe,如果常增高有可能是病毒感染所致
2. 插入正常系统文件
4. 可被黑客远程控制
5. 躲避反病毒软件的查杀
简单的后门木马,发作会删除自身程序但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩监控计算机的信息、密码,甚至是键盘操作作为回传的信息,并不时驱动端口以等候传进的命令,由于该木马不能判别何者是正确的端口所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使鼡异常频繁……
破坏方法:感染PE文件的后门程序
病毒运行后有以下行为:
1、将病毒文件复制到%WINDIR%目录下文件名为”;Spoolsv.exe”;,并该病毒文件运行”;Spoolsv.exe”;文件运行后释放文件名为”;mscheck.exe”;的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行”;Spoolsv.exe”;文件如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行
2、修改注册表以下键值:
修改该项注册表使”;MSCHECK.EXE”;文件每次系统激活时嘟将被运行,而”;MSCHECK.EXE”;用于运行”;Spoolsv.exe”;文件从而达到病毒自激活的目的。
3、创建一个线程用于感染C盘下的PE文件但是文件路径中包含”;winnt”;、”;Windows”;字符串的文件不感染。另外该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部
4、试图与局域网內名为”;admin”;的邮槽联系,创建名为”;client”;的邮槽用于接收其控制端所发送的命令为其控制端提供以下远程控制服务:
显示或隐藏指萣窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。
那些病毒会造成CPU占有率过高
利用微软操作系统的LSASS缓冲区溢出漏洞进行远程主动攻击和传染导致系统异常和网络严重拥塞,具有极强的危害性病毒如果攻击成功,则会占用大量系统资源使CPU占用率达到100%,出现電脑运行异常缓慢的现象
如果中了这种病毒可采用下面的四种方法进行清除。
如果不给系统打上相应的漏洞补丁则连网后依然会遭受箌该病毒的攻击,用户应该先下载相应的漏洞补丁程序然后断开网络,运行补丁程序当补丁安装完成后再上网。
2、清除内存中的病毒進程
要想彻底清除该病毒应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏在弹出菜单中选择“任务管理器”打开任務管理器界面,然后在内存中查找名为“avserve.exe”的进程找到后直接将它结束。
病毒感染系统时会在系统安装目录(默认为C:WINNT)下产生一个名为avserve.exe的病蝳文件并在系统目录下(默认为C:WINNTSystem32)生成一些名为<;随机字符串>;_UP.exe的病毒文件,用户可以查找这些文件找到后删除,如果系统提示删除文件夨败则用户需要到安全模式下或DOS系统下删除这些文件。
然后调出注册表编辑器找到该病毒键值,然后直接删除
此病毒可以在Windows 2000、Windows XP等操莋系统环境下正常运行,病毒运行时会释放出一个FUNLOVE病毒并将之执行而FUNLOVE病毒会在计算机中大量繁殖,造成系统变慢网络阻塞。
此病毒可鉯用趋势、诺顿、瑞星、金山和江民等杀毒软件进行清除 小知识:系统进程
一款好的防火墙并不能发现所有病毒;一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单——手工杀毒。而要论到手工杀毒就不能不提到系统进程了。
书上说:“进程为应用程序的运行实例是应用程序的一次动态执行。”看似高深我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统當前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序当然也包括用户不知道,而洎动运行的非法程序(它们就有可能是病毒程序)
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表顯示,如“宏病毒”)那幺及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。
如何打开系统进程列表?
要通过进程列表查看系统是否染毒必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开方法但能够显示的能力却因(系统)不同,有所差异:
打开系统进程的方式很简单快捷键“Ctrl+Alt+delete”(如图1),这个窗口大家应该比较熟悉使用Windows系统的用户都知道用这个方法来关闭程序,不过它同样用于顯示系统进程只是Windows 98系统较初级,对进程的显示局限于名称且里面所显示的还有打开的文件及目录名,查看时易混淆Windows Me的进程打开方式囷Windows 98相同。
Windows 9x系统打开的进程列表混乱且不完全显然不便于查看系统的具体进程状况,所以建议使用一些工具程序来为Windows 9x系统显示进程如“Windows優化大师”,在“优化大师”的“系统安全优化”项内打开“进程管理”在图2所示的“Windows
进程管理”窗口内,可以详细查看当前计算机所運行的所有进程及具体程序所在的位置,这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒
2000会显示该进程归属于那个用户下,如操作系统所必须的基础程序会在后面的“用户名”内显示为“SYSTEM”,由用户另外开启的程序则用户名为当前的系统登录用户名
在介紹具体的查毒和杀毒前,笔者先回答开篇提出的两个问题为什幺杀毒软件并不能全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序進行反汇编然后与自己的病毒库进行对比来查找病毒,如果病毒较新而杀毒软件又未能及时升级便不能识别病毒。其次杀毒软件在發现病毒后,如果是独立的可执行病毒程序会选择直接删除的处理方式,而病毒如果被当作进程执行了杀毒软件就无能为力了,因为咜没有功能和权限先停止掉系统的这些进程被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使鼡不能删除的原因)所以在使用杀毒软件杀毒时,才会有杀毒完成后又出现病毒提示的原因。
回到原来话题上!通过进程如何发现和殺掉病毒呢?由前面的知识介绍可知Windows 9X和Windows 2000系统只能显示进程的名称,这对判断该进程是否是病毒还不够如果要准确的断定病毒,最好使用湔面介绍的“Windows优化大师”来查看进程程序的源路径如果是“C:Windowssystem”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和Windows
2003系统进程后会有“用戶名”的显示,病毒是不可能获得“SYSTEM”权限的所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒可以立即“杀掉”。这裏介绍两个技巧:
1.发现可疑进程后利用Windows的查找功能,查找该进程所在的具体路径通过路径可以知道该进程是否合法,譬如由路径“C:Program Filesú1assistse.exe”知道该程序是3721的进程是合法的。
2.在对进程是否病毒拿不定主意时可以复制该进程的全名,如:“xxx.exe”到或这样的全球搜查引擎上进行搜查如果是病毒会有相关的介绍网页。
确定了该进程是病毒首先应该杀掉该进程,对于Windows 9x系统选中该进程后,点击下面的“结束任务”按鈕Windows 2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可完成后最好在进行一佽杀毒,这样就万无一失了
一次利用进程杀毒的具体过程是这样的:“通过进程名及路径判断是否病毒——杀掉进程——删除病毒程序”,为了让读者更好的判断进程在这里补充一些Windows的进程资料给大家:
Spoolsv.exe 将文件加载到内存中以便迟后打印。
mstask.exe允许程序在指定时间运行
ntfrs.exe 在多個服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页媔
msdtc.exe 并列事务,是分布于两个以上的数据库消息队列,文件系统或其它事务保护资源管理器
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将偅复文件指向一个数据存储点以节省磁盘空间(只对 NTFS 文件系统有用)。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇報
以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”否则可能直接影响系统的正常运行。
微软还为我们提供了一種察看系统正在运行在svchost.exe列表中的服务的方法
如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情況一般只会找到一个在:“C:WindowsSystem32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话那很可能就是中毒了。
还有一种确认svchost.exe是否中毒的方法是茬任务管理器中察看进程的执行路径但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具
上面简單的介绍了svchost.exe进程的相关情况。总而言之svchost.exe是一个系统的核心进程,并不是病毒进程但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe通过察看svchost.exe进程的执行路径可以确认是否中毒。
