觀光客
👥+1
電腦教學
隱藏選單
回應(7)
通報違規

 進程占用CPU100%時可能中的病毒

影迷
本文:2012-05-16T19:14:11
進程占用CPU 100%時可能中的病毒
  system Idle Process
  進程文件: [system process] or [system process]
  進程名稱: Windows內存處理系統進程
  描 述: Windows頁面內存管理進程,擁有0級優先。
  介 紹:該進程作為單線程運行在每個處理器上,並在系統不處理其它線程的時候分派處理器的時間。它的CPU占用率越大表示可供分配的CPU資源越多,數字越小則表示CPU資源緊張。
  Spoolsv.exe
  進程文件: spoolsv or Spoolsv.exe
  進程名稱: Printer Spooler Service
  描 述: Windows打印任務控制程序,用以打印机就緒。
  介 紹:緩沖(spooler)服務是管理緩沖池中的打印和傳真作業。
  Spoolsv.exe→打印任務控制程序,一般會先加載以供列表机打印前的准備工作
  Spoolsv.exe,如果常增高,有可能是病毒感染所致
  目前常見的是:Backdoor/Bysh#ll(又叫隱形大盜、隱形殺手、西門慶病毒)
  危害程度:中
  受影響的系統: Windows 2000, Windows XP, Windows Server 2003
  未受影響的系統: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux,
  病毒危害:
  1. 生成病毒文件
  2. 插入正常系統文件中
  3. 修改系統注冊表
  4. 可被黑客遠程控制
  5. 躲避反病毒軟件的查殺
  簡單的后門木馬,發作會刪除自身程序,但將自身程序套入可執行程序內(如:exe),並與計算机的通口(TCP端口138)挂鉤,監控計算机的信息、密碼,甚至是鍵盤操作,作為回傳的信息,並不時驅動端口,以等候傳進的命令,由于該木馬不能判別何者是正确的端口,所以負責輸出的列表机也是其驅動對象,以致Spoolsv.exe的使用异常頻繁......
  Backdoor.Win32.Plutor
  破坏方法:感染PE文件的后門程序
  病毒采用VC編寫。
  病毒運行后有以下行為:
  1、將病毒文件復制到%WINDIR%目錄下,文件名為";Spoolsv.exe";,並該病毒文件運行。";Spoolsv.exe";文件運行后釋放文件名為";mscheck.exe";的文件到%SYSDIR%目錄下,該文件的主要功能是每次激活時運行";Spoolsv.exe";文件。如果所運行的文件是感染了正常文件的病毒文件,病毒將會把該文件恢復並將其運行。
  2、修改注冊表以下鍵值:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
  增加數据項:";Microsoft * Checker"; 數据為:";MSCHECK.EXE /START";
  修改該項注冊表使";MSCHECK.EXE";文件每次系統激活時都將被運行,而";MSCHECK.EXE";用于運行";Spoolsv.exe";文件,從而達到病毒自激活的目的。
  3、創建一個線程用于感染C盤下的PE文件,但是文件路徑中包含";winnt";、";Windows";字符串的文件不感染。另外,該病毒還會枚舉局域網中的共享目錄並試圖對這些目錄下的文件進行感染。該病毒感染文件方法比較簡單,將正常文件的前0x16000個字節替換為病毒文件中的數据,並將原來0x16000個字節的數据插入所感染的文件尾部。
  4、試圖與局域網內名為";admin";的郵槽聯系,創建名為";client";的郵槽用于接收其控制端所發送的命令,為其控制端提供以下遠程控制服務:
  顯示或隱藏指定窗口、屏幕截取、控制CDROM、關閉計算器、注銷、破坏硬盤數据。
  哪些病毒會造成CPU占有率過高
  震蕩波蠕虫
  利用微軟操作系統的LSASS緩沖區溢出漏洞進行遠程主動攻擊和傳染,導致系統异常和網絡嚴重擁塞,具有极強的危害性,病毒如果攻擊成功,則會占用大量系統資源,使CPU占用率達到100%,出現電腦運行异常緩慢的現象。
  如果中了這種病毒可采用下面的四種方法進行清除。
  1、斷網打補丁
  如果不給系統打上相應的漏洞補丁,則連網后依然會遭受到該病毒的攻擊,用戶應該先下載相應的漏洞補丁程序,然后斷開網絡,運行補丁程序,當補丁安裝完成后再上網。
  2、清除內存中的病毒進程
  要想徹底清除該病毒,應該先清除內存中的病毒進程,用戶可以按CTRL+SHIFT+ESC三或者右鍵單擊任務欄,在彈出菜單中選擇“任務管理器”打開任務管理器界面,然后在內存中查找名為“avserve.exe”的進程,找到后直接將它結束。
  3、刪除病毒文件
  病毒感染系統時會在系統安裝目錄(默認為C:\WINNT)下產生一個名為avserve.exe的病毒文件,並在系統目錄下(默認為C:\WINNT\System32)生成一些名為<;隨机字符串>;_UP.exe的病毒文件,用戶可以查找這些文件,找到后刪除,如果系統提示刪除文件失敗,則用戶需要到安全模式下或DOS系統下刪除這些文件。
  4、刪除注冊表鍵值
  該病毒會在電腦注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項中建立名為“avserve.exe”,內容為:“%Windows%\avserve.exe”的病毒鍵值,為了防止病毒下次系統啟動時自動運行,用戶應該將該鍵值刪除,方法是在“運行”菜單中鍵入“REGEDIT” 然后調出注冊表編輯器,找到該病毒鍵值,然后直接刪除。
  bride病毒
  此病毒可以在Windows 2000、Windows XP等操作系統環境下正常運行,病毒運行時會釋放出一個FUNLOVE病毒並將之執行,而FUNLOVE病毒會在計算机中大量繁殖,造成系統變慢,網絡阻塞。
  病毒清除方法
  此病毒可以用趨勢、諾頓、瑞星、金山和江民等殺毒軟件進行清除。
  小知識:系統進程
  一款好的防火墻並不能發現所有病毒;一個好的殺毒軟件並不能殲滅所有的帶毒程序!遇到這些情況我們該做何處理呢?很簡單——手工殺毒。而要論到手工殺毒,就不能不提到系統進程了。
  進程、病毒?
  書上說:“進程為應用程序的運行實例,是應用程序的一次動態執行。”看似高深,我們可以簡單地理解為:它是操作系統當前運行的執行程序。在系統當前運行的執行程序里包括:系統管理計算机個體和完成各種操作所必需的程序;用戶開啟、執行的額外程序,當然也包括用戶不知道,而自動運行的非法程序(它們就有可能是病毒程序)。
  危害較大的可執行病毒同樣以“進程”形式出現在系統內部(一些病毒可能並不被進程列表顯示,如“宏病毒”),那么及時查看並准确殺掉非法進程對于“手工殺毒有起著關鍵性的作用。
  如何打開系統進程列表?
  要通過進程列表查看系統是否染毒,必須打開當前的執行程序進程列表,Microsoft的每種系統都有相應的打開方法,但能夠顯示的能力卻因(系統)不同,有所差异:
  1.Windows 98 /Me系統
  打開系統進程的方式很簡單,快捷鍵“Ctrl+Alt+Delete”(如圖1),這個窗口大家應該比較熟悉,使用Windows系統的用戶都知道用這個方法來關閉程序,不過它同樣用于顯示系統進程,只是Windows 98系統較初級,對進程的顯示局限于名稱,且里面所顯示的還有打開的文件及目錄名,查看時易混淆。Windows Me的進程打開方式和Windows 98相同。
  Windows 9x系統打開的進程列表混亂且不完全,顯然不便于查看系統的具體進程狀況,所以建議使用一些工具程序來為Windows 9x系統顯示進程,如“Windows優化大師”,在“優化大師”的“系統安全優化”項內打開“進程管理”,在圖2所示的“Windows 進程管理”窗口內,可以詳細查看當前計算机所運行的所有進程,及具體程序所在的位置,這樣更方便完成后面要介紹的如何利用進程進行查毒、殺毒。
  2.Windows 2000/ XP/2003系統
  Windows 2000、Windows XP、Windows 2003打開進程窗口的方式與Windows 9x系統相同,只是三鍵后打開的是“Windows 任務管理器”窗口,需要選擇里面的“進程”項。Windows 2000系統只顯示具體進程的全名,占用的內存量;Windows XP、Windows

  👥+1  回應(7)  (DMCA Compliance - Abuse 投訴)
[目前是 舊回應在上方][變更為 新回應在上方]
(觀光客) 鐵板 - 1.170.159.76
1 F:2012-05-17T09:28:58
good

(觀光客) 747 - 118.170.76.245
2 F:2012-06-02T10:47:52
謝謝大大 熱心分享~推~大大感恩

(觀光客) 747 - 118.170.76.245
3 F:2012-06-02T10:51:05
謝謝大大熱心分享~推~大大感恩

(觀光客) ***@ - 125.141.226.10
4 F:2012-07-03T07:01:18
***

kingispeak
5 F:2012-11-30T17:16:10
thank you

(觀光客) cwxl - 36.237.160.189
6 F:2012-12-30T22:04:24
push

(觀光客) 1 - 101.139.79.120
7 F:2018-04-12T09:48:40
3q

[0.18] 🍌