电脑知识全集

电脑知识大全

详细研究WinXP中CPU占用100%原因及解决方法

CPU占用100%案例分析

电脑硬件知识大全（看完了你就成硬件高手了）

电脑故障排除之“八先八后”

网络诊所病历大公布

机器响铃不断，这时，如果你知道响铃的含意，就不用去请教专业人员了。

硬件故障判断

如何预防使用软件引发电脑硬盘的六大"硬伤

扩展名查询大全

windows罕见技巧集（收集整理）

windowsXP技巧终极必杀全集

正确安装机器不简单“八点”细节不可忽略

挖掘光驱潜力一使用经验大放送

操作系统安装常见疑难解答

内存故障分析与解决

Windows死机原因列举

BIOS基础知识

硬盘坏道的维修

注册表的编辑方法

打印机”相关修改

设置InternetExplorer的菜单

如何利用HTML格式化你的硬盘（老不过很实用）

IE故障修复全接触

菜鸟必看：重装操作系统20条“军规”

杜绝恶意网页代码解除注册表连环套

让计算机启动更快的十五招

聊天软件隐患多多教你如何堵住其安全漏洞？

常见硬件术语大全之CPU术语解释

常见硬件术语大全之显示器术语解释

常见硬件术语大全之主板术语解释

常见硬件术语大全之内存术语解释

常见硬件术语大全之显示卡术语解释

常见硬件术语大全之光驱术语解释

常见硬件术语大全之声卡术语解释

WindowsXP的超级应用技巧28例

如何令显示器长命百岁

［购机技巧］个人电脑选购的宝贵经验

开机黑屏的一般解决方法

电脑关机故障速解

经常出现CPU占用100%的情况，主要问题可能发生在下面的某些方面：

CPU占用率高的九种可能

1、防杀毒软件造成故障

由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控，无疑增大了系

统负担。处理方式:基本上没有合理的处理方式，尽量使用最少的监控服务吧，或者，升级

你的硬件配备。

2、驱动没有经过认证，造成CPU资源占用100%

大量的测试版的驱动在网上泛滥，造成了难以发现的故障原因。处理方式:尤其是显卡

驱动特别要注意，建议使用微软认证的或由官方发布的驱动，并且严格核对型号、版本。

3、病毒、木马造成

大量的蠕虫病毒在系统内部迅速复制，造成CPU占用资源率据高不下。解决办法:用可

靠的杀毒软件彻底清理系统内存和本地硬盘，并且打开系统设置软件，察看有无异常启动

的程序。经常性更新升级杀毒软件和_blank”＞防火墙，加强防毒意识，掌握正确的防杀毒知

识。

4、控制面板一管理工具一服务一RISINGREALTIMEMONITORSERVICE点鼠标右键,

改为手动。

5^开始-＞；运行-＞；msconfig-＞；启动，关闭不必要的启动项，重启。

6、查看"svchost”进程。

svchost.exe是WindowsXP系统的一个核心进程。svchost.exe不单单只出现在Windows

XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。•般在Windows2000

中svchost.exe进程的数目为2个，而在WindowsXP中svchost.exe进程的数目就上升到了4

个及4个以上。

7、查看网络连接。主要是网卡。

8、查看网络连接

当安装了WindowsXP的计算机做服务器的时候，收到端口445上的连接请求时，它

将分配内存和少量地调配CPU资源来为这些连接提供服务。当负荷过重的时候，CPU占用

率可能过高，这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适

的MaxWorkltems设置以提高系统响应能力。如果设置的值不正确，服务器的响应能力可

能会受到影响，或者某个用户独占太多系统资源。

要解决此问题，我们可以通过修改注册表来解决：在注册表编辑器中依次展开

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanservei*]分支，在右侧窗

口中新建一个名为“maxworkitems”的DWORD值。然后双击该值，在打开的窗口中键入

下列数值并保存退出：

如果计算机有512MB以上的内存，键入“1024"；如果计算机内存小于512MB,键入

"256"。

9、看看是不是WindowsXP使用鼠标右键引起CPU占用100%

前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用，我们来看

看是怎么回事？

征兆:

在资源管理器里面，当你右键点击一个目录或一个文件，你将有可能出现卜面所列问题:

任何文件的拷贝操作在那个时间将有可能停止相应

网络连接速度将显著性的降低

所有的流输入/输出操作例如使用WindowsMediaPlayer听音乐将有可能是音乐失真成

因：

当你在资源管理器里面右键点击一个文件或目录的时候，当快捷菜单显示的时候，CPU

占用率将增加到100%,当你关闭快捷菜单的时候才返回正常水平。

解决方法:

方法：关闭“为菜单和工具提示使用过渡效果”

1、点击“开始"—''控制面板”

2、在“控制面板”里面双击“显示”

3、在“显示”属性里面点击“外观”标签页

4、在“外观”标签页里面点击“效果”

5、在“效果”对话框里面，清除“为菜单和工具提示使用过渡效果”前面的复选框接

着点击两次“确定”按钮。

方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目

录。然后再使用鼠标右键弹出快捷菜单。

CPU占用100%解决办法

一般情况下CPU占了100%的话我们的电脑总会慢下来，而很多时候我们是可以通过做

一点点的改动就可以解决，而不必问那些大虾了。

当机器慢卜来的时候，首先我们想到的当然是任务管理器了，看看到底是哪个程序占了

较搞的比例，如果是某个大程序那还可以原谅，在关闭该程序后只要CPU正常了那就没问

题；如果不是，那你就要看看是什幺程序了，当你查不出这个进程是什幺的时候就去google

或者baidu搜。有时只结束是没用的，在xp下我们可以结合msconflg里的启动项，把一些

不用的项给关掠。在2000下可以去下个winpatrol来用。

一些常用的软件，比如浏览器占用了很搞的CPU,那幺就要升级该软件或者干脆用别

的同类软件代替，有时软件和系统会有点不兼容，当然我们可以试下xp系统下给我们的那

个兼容项，右键点该.exe文件选兼容性。

svchost.exe有时是比较头痛的，当你看到你的某个svchost.exe占用［很大CPU时你可以

去下个aports或者fport来检查其对应的程序路径，也就是什幺东西在掉用这个svchost.exe,

如果不是c:Windowssystem32(xp)或c:winntsystem32(2000)下的，那就可疑。升级杀毒软件

杀毒吧。

右击文件导致100%的CPU占用我们也会遇到，有时点右键停顿可能就是这个问题了。

官方的解释:先点左键选中，再右键(不是很理解)。非官方:通过在桌面点右键-属性-外观-效

果，取消”为菜单和工具提示使用下列过度效果(U)“来解决。还有某些杀毒软件对文件的

监控也会有所影响，可以关闭杀毒软件的文件监控；还有就是对网页，插件，邮件的监控

也是同样的道理。

一些驱动程序有时也可能出现这样的现象，最好是选择微软认证的或者是官方发布的驱

动来装，有时可以适当的升级驱动，不过记得最新的不是最好的。

CPU降温软件，由于软件在运行时会利用所以的CPU空闲时间来进行降温，但Windows

不能分辨普通的CPU占用和降温软件的降温指令之间的区别，因此CPU始终显示100%,

这个就不必担心了，不影响正常的系统运行。

在处理较大的word文件时由于word的拼写和语法检查会使得CPU累，只要打开word

的工具-选项-拼写和语法把"检查拼写和检查语法“勾去掉。

单击avi视频文件后CPU占用率高是因为系统要先扫描该文件，并检查文件所有部分,

并建立索引；解决办法:右击保存视频文件的文件夹-属性-常规-高级，去掉为了快速搜索，

允许索引服务编制该文件夹的索引的勾。

2楼：CPU占用100%案例分析

1、dllhost进程造成CPU使用率占用100%

特征:服务器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现

这种问题的服务器，CPU会突然一直处100%的水平，而且不会下降。查看任务管理器，

可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间，管理员在这种情况下，只好重新

启动HS服务，奇怪的是，重新启动IIS服务后一切正常，但可能过了•段时间后，问题又

再次出现了。

直接原因:

有一个或多个ACCESS数据库在多次读写过程中损坏，微软的MDAC系统在写入这个

损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其它线程只能等待，IIS被死锁

了，全部的CPU时间都消耗在DLLHOST中。

解决办法:

安装“一流信息监控拦截系统使用其中的“首席文件检查官IIS健康检查官”软件,

启用”查找死锁模块”，设置:

-wblock=yes

监控的目录，请指定您的主机的文件所在目录:

-wblockdir=d:est

监控生成的日志的文件保存位置在安装目录的log目录中，文件名为:logbbck.htm

停止IIS,再启动“首席文件检查官ns健康检查官”，再启动HS,“首席文件检查官IIS

健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。

过了一段时间后，当问题出来时，例如CPU会再次一直处100%的水平，可以停止HS,

检查logblock.htm所记录的最后的十个文件，注意，最有问题的往往是计数器类的ACCESS

文件，例如:"**COUNT.MDB",M"COUNT.ASP",可以先把最后十个文件或有所怀疑的

文件删除到回收站中，再启动IIS,看看问题是否再次出现。我们相信，经过仔细的查找后，

您肯定可以找到这个让您操心了一段时间的文件的。

找到这个文件后，可以删除它，或下载下来，用ACCESS2000修复它，问题就解决了。

2、svchost.exe造成CPU使用率占用100%

在win.ini文件中，在［Windows］下面，"run="和"load="是可能加载“木马”程序的

途径，必须仔细留心它们。一般情况下，它们的等号后面什幺都没有，如果发现后面跟有

路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清

楚，因为好多'‘木马"，如"AOLTrojan木马”,它把自身伪装成command.exe文件，如果

不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在［BOOT］下面有个"shell=文件名”。正确的文件名应该是

“explorer.exe",如果不是"explorer.exe",而是"shell=explorer.exe程序名"，那幺后面跟

着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-

LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVfersionRun”目录下，查看键值中有没

有自己不熟悉的自动启动文件，扩展名为EXE,这里切记:有的“木马”程序生成的文件很

像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryvl.O木马”，它将注册表“HKEY-

LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVereionRun"卜的Explorer键值改

为Explorer="C:Windowsexpiorer.exe","木马"程序与真正的Explorer之间只有"i"与'T

的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT.

USERSoftwareMicrosoftWindowsCurrentVersionRun"、"HKEY-

USERS****SoftwareMicrosoftWindowsCurrentVersionRun"的H录下都有可能，最好的办法

就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun"下找到“木

马该病毒也称为“CodeRedII（红色代码2）”病毒，与早先在西方英文系统下流行“红色代

码”病毒有点相反，在国际上被称为VirtualRoot（虚拟目录）病毒。该蠕虫病毒利用Microsoft

已知的溢出漏洞，通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们

通过HttpGet的请求运行scripts/root.exe来获得对受感染机器的完全控制权。

当感染一台服务器成功了以后，如果受感染的机器是中文的系统后，该程序会休眠2

天，别的机器休眠1天。当休眠的时间到了以后，该蠕虫程序会使得机器重新启动。该蠕

虫也会检查机器的月份是否是10月或者年份是否是2002年，如果是，受感染的服务器也会

重新启动。当WindowsNT系统启动时，NT系统会自动搜索C盘根目录下的文件explorer.exe,

受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件

的大小是8192字节，VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时，VirtualRoot

网络蠕虫程序还将cmd.exe的文件从WindowsNT的system目录拷贝到别的目录，给黑客

的入侵敞开了大门。它还会修改系统的注册表项目，通过该注册表项目的修改，该蠕虫程序

可以建立虚拟的目录C或者D,病毒名由此而来。值得一提的是，该网络蠕虫程序除了文

件explorer.exe外，其余的操作不是基于文件的，而是直接在内存中来进行感染、传播的，

这就给捕捉带来了较大难度。

”程序的文件名，再在整个注册表中搜索即可。

我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如

卜描述:svchost.exe是从动态链接库（DLL）中运行的服务的通用主机进程名称。

其实svchost.exe是WindowsXP系统的一个核心进程。svchost.exe不单单只出现在

WindowsXP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在

Windows2000中svchost.exe进程的数目为2个，而在WindowsXP中svchost.exe进程的数

目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担

心。

svchost.exe到底是做什幺用的呢?

首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两

种。由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服

务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢？

svchost.exe的工作就是作为这些服务的宿主，即由svchost.exe来启动这些服务。

svchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也

不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来

启动系统服务。

svchost.exe是病毒这种说法是任何产生的呢?

因为svchost.exe可以作为服务的宿主来启动服务，所以病毒、木马的编写者也挖空心

思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。

如何才能辨别哪些是正常的svchost.exe进程，而哪些是病毒进程呢?

svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

NTCurrentVersionSvchost",如图1所示。图1中每个键值表示一个独立的svchost.exe组。

微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以

WindowsXP为例:在"运行"中输入:cmd,然后在命令行模式中输入:tasklist/svc。系统列出

如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如

果使用的是Windows2000系统则把前面的"tasklist/svc”命令替换为："tlist-s”即可。如果

你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件

就可以发现异常情况。■般只会找到一-个在："C:WindowsSystem32”目录下的svchost.exe

程序。如果你在其它目录下发现svchost.exe程序的话，那很可能就是中毒了。

还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但

是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察

看工具。

上面简单的介绍了svchost.exe进程的相关情况。总而言之，svchost.exe是一个系统的核

心进程，并不是病毒进程。但由于svchost.exe进程的特殊性，所以病毒也会千方百计的入

侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。

3、Services.exe造成CPU使用率占用100%

症状

在基于Windows2000的计算机上，Services.exe中的CPU使用率可能间歇性地达到

100%,并且计算机可能停止响应（挂起）。出现此问题时，连接到该计算机（如果它是文件服

务器或域控制器）的用户会被断开连接。您可能还需要重新启动计算机。如果Esent.dll错

误地处理将文件刷新到磁盘的方式，则会出现此症状。

解决方案

ServicePack信息

要解决此问题，请获取最新的MicrosoftWindows2000ServicePacko有关其它信息,

请单击下面的文章编号，以查看Microsoft知识库中相应的文章：

260910如何获取最新的Windows2000ServicePack

修复程序信息

Microsoft提供了受支持的修补程序，但该程序只是为了解决本文所介绍的问题。只有

计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一

些测试。因此，如果这个问题没有对您造成严重的影响，Microsoft建议您等待包含此修补

程序的下一个Windows2000ServicePacko

要立即解决此问题，请与“Microsoft产品支持服务”联系，以获取此修补程序。有关

"Microsoft产品支持服务”电话号码和支持费用信息的完整列表，请访问MicrosoftWeb站

点.

注意：特殊情况下，如果Microsoft支持专业人员确定某个特定的更新程序能够解决您

的问题，可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支

持问题和事项，将正常收取支持费用。

卜一表列出了此修补程序的全球版本的文件属性（或更新的属性）。这些文件的日期和时间

按协调通用时间（UTC）列出。查看文件信息时，它将转换为本地时间。要了解UTC与本

地时间之间的时差，请使用“控制面板”中的“日期和时间”工具中的时区选项卡。

状态

Microsoft已经确认这是在本文开头列出的Microsoft产品中存在的问题。此问题最初

是在MicrosoftWindows2000ServicePack4中更正的。

4、正常软件造成CPU使用率占用100%

首先，如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登

陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”，进入“启动”

选项卡。接着，依次取消可疑选项前面的对钩，然后重新启动电脑。反复测试直到找到造成

故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按

键卡住也可能造成开机就出现上述问题。

如果是使用电脑途中出项这类问题，可以调出任务管理器(WINXPCTRL+ALT+DEL

WIN2000CTRL+SHIFT“ESC),进入”进程“选项卡,看”CPU“栏，从里面找到占用资

源较高的程序(其中SYSTEMIDLEPROCESS是属于正常，它的值一般都很高，它的作用是

告诉当前你可用的CPU资源是多少，所以它的值越高越好)通过搜索功能找到这个进程属于

哪个软件。然后，可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换，问题

即可得到解决。

5、病毒、木马、间谍软件造成CPU使用率占用100%

出现CPU占用率100%的故障经常是因为病毒木马造成的，比如震荡波病毒。应该首

先更新病毒库，对电脑进行全机扫描。接着，在使用反间谍软件Ad—Aware,检查是否存

在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的

表现。

svchost.exeWindows中的系统服务是以动态链接库(DLL)的形式实现的，其中一些会把

可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务,

正是因为它的特殊性和重要性，使它更容易成为了一些病毒木马的宿主。

6、explorer.exe进程造成CPU使用率占用100%

在system.ini文件中，在［BOOT］下面有个"shell=文件名”。正确的文件名应该是

“explorer.exe",如果不是"explorer.exe",而是"shell=explorer.exe程序名"，那幺后面跟

着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-

LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunw目录下，查看键值中有没

有自己不熟悉的自动启动文件，扩展名为EXE,这里切记:有的“木马”程序生成的文件很

像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryvl.O木马”，它将注册表“HKEY-

LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVereionRun”下的

Explorer键值改为Explorer="C:Windowsexpiorer.exe","木马"程序与真正的Explorer

之间只有“i”与“1”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，

如：“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY­

USERS****SoftwareMicrosoftWindowsCurrentVersionRun"的H录下都有可能，最好的办法

就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun"下找到“木

马”程序的文件名，再在整个注册表中搜索即可。

7、超线程导致CPU使用率占用100%

这类故障的共同原因就是都使用了具有超线程功能的P4CPU。我查找了一些资料都没

有明确的原因解释。据•些网友总结超线程似乎和天网一blank"＞防火墙有冲突，可以通过卸

载天网并安装其它_blank"＞防火墙解决，也可以通过在BIOS中关闭超线程功能解决。

8、AVI视频文件造成CPU使用率占用100%

在WindowsXP中，单击一个较大的AVI视频文件后，可能会出现系统假死现象，并且

造成expbere.exe进程的使用率100%,这是因为系统要先扫描该文件，并检查文件所有部

分，建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决方法:右键

单击保存视频文件的文件夹，选择”属性一＞常规一＞高级“，去掉”为了快速搜索，允许

索引服务编制该文件夹的索引“前面复选框的对钩即可。

9、杀毒软件CPU使用率占用100%

现在的杀毒软件一般都加入了，对网页、邮件、个人隐私的即时监空功能，这样无疑会

加大系统的负担。比如:在玩游戏的时候，会非常缓慢。关闭该杀毒软件是解决得最直接办

法。

10、处理较大的Word文件时CPU使用率过高

上述问题•般还会造成电脑假死，这些都是因为WORD的拼写和语法检查造成的，只

要打开WORD的“工具一选项”，进入“拼写和语法”选项卡，将其中的“键入时检查拼

写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。

11、网络连接导致CPU使用率占用100%

当你的Windows2000/xp作为服务器时，收到来自端口445上的连接请求后，系统将分

配内存和少量CPU资源来为这些连接提供服务，当负荷过重，就会出现上述情况。要解决

这个问题可以通过修改注册表来解决，打开注册表，找至IJHKEY—LOCAL-

MACHNESYSTEMCurrentControlSetServiceslanmanserver,在右面新建一个名为"；

maxworkitems"；的DWORD值.然后双击该值，如果你的电脑有512以上内存，就设置为";

1024"；,如果小于512,就设置为256.

一些不完善的驱动程序也可以造成CPU使用率过高

经常使用待机功能，也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅

度下降，系统启动速度变慢，也会使是系统在运行一些大型软件和游戏时CPU使用率100%,

产生停顿。

进程占用CPU100%时可能中的病毒

systemIdleProcess

进程文件：[systemprocess]or[systemprocess]

进程名称:Windows内存处理系统进程

描述:Windows页面内存管理进程，拥有0级优先。

介绍:该进程作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处

理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU

资源紧张。

Spookv.exe

进程文件：spoolsvorSpoolsv.exe

进程名称:PrinterSpoolerService

描述:Windows打印任务控制程序，用以打印机就绪。

介绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。

Spoolsv.exef打印任务控制程序，一般会先加载以供列表机打印前的准备工作

Spoolsv.exe,如果常增高，有可能是病毒感染所致

目前常见的是：

Backdoor/班shell(乂叫隐形大盗、隐形杀手、西门庆病毒)

危害程度:中

受影响的系统：Windows2000,WindowsXP,WindowsServer2003

未受影响的系统:Windows95,Windows98.WindowsMe,WindowsNT,Windows

3.x,Macintosh,Unix.Linux.

病毒危害：

1.生成病毒文件

2.插入正常系统文件中

3.修改系统注册表

4,可被黑客远程控制

5.躲避反病毒软件的查杀

简单的后门木马，发作会删除自身程序，但将自身程序套入可执行程序内（如:exe）,并

与计算机的通口（TCP端口138）挂钩，监控计算机的信息、密码，甚至是键盘操作，作为回

传的信息，并不时驱动端口，以等候传进的命令，由于该木马不能判别何者是正确的端口，

所以负责输出的列表机也是其驱动对象，以致Spoolsv.exe的使用异常频繁

Backdoor.Win32.Plutor

破坏方法:感染PE文件的后门程序

病毒采用VC编写。

病毒运行后有以卜布为:

1、将病毒文件复制到％WINDIR%目录下，文件名为"；Spoolsv.exe"；,并该病毒文件运

行。"；Spookv.exe"；文件运行后释放文件名为";mscheck.exe"；的文件到％SYSDIR%目

录下，该文件的主要功能是每次激活时运行"；Spoolsv.exe"；文件。如果所运行的文件是

感染了正常文件的病毒文件，病毒将会把该文件恢复并将其运行。

2、修改注册表以卜键值:

HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentversionRun

增加数据项:"；MicrosoftScriptChecker"；数据为:"；MSCHECK.EXE/START"；

修改该项注册表使"；MSCHECK.EXE"；文件每次系统激活时都将被运行，而";

MSCHECK.EXE"；用于运行"；Spoolsv.exe"；文件，从而达到病毒自激活的目的。

3、创建一个线程用于感染C盘下的PE文件，但是文件路径中包含"：winnt"；、"；

Windows"；字符串的文件不感染。另外，该病毒还会枚举局域网中的共享目录并试图对这

些目录下的文件进行感染。该病毒感染文件方法比较简单，将正常文件的前Ox16000个字节

替换为病毒文件中的数据，并将原来0x16000个字节的数据插入所感染的文件尾部。

4、试图与局域网内名为";admin"；的邮槽联系，创建名为"；client"；的邮槽用于接收

其控制端所发送的命令，为其控制端提供以下远程控制服务：

显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。

那些病毒会造成CPU占有率过高

震荡波蠕虫

利用微软操作系统的LSASS缓冲区溢出漏洞进行远程主动攻击和传染，导致系统异常

和网络严重拥塞，具有极强的危害性，病毒如果攻击成功，则会占用大量系统资源，使CPU

占用率达到100%,出现电脑运行异常缓慢的现象。

如果中了这种病毒可采用卜面的四种方法进行清除。

1、断网打补丁

如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先

卜载相应的漏洞补丁程序，然后断开网络，运行补J程序，当补J.安装完成后再上网。

2、清除内存中的病毒进程

要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC

三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内

存中查找名为“avserveexe”的进程，找到后直接将它结束。

3、删除病毒文件

病毒感染系统时会在系统安装目录（默认为CWINNT）卜产生-一个名为avserve.exe的病

毒文件，并在系统目录下（默认为C:WINNTSystem32）生成一些名为＜；随机字符串）;_UP.exe

的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户

需要到安全模式下或DOS系统卜删除这些文件。

4、删除注册表键值

该病毒会在电脑注册表的

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun项中建立名为

“avserve.exe",内容为："%Windows%avserve.exe”的病毒犍值，为了防止病毒下次系统启

动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT"然

后调出注册表编辑器，找到该病毒键值，然后直接删除。

bride病毒

此病毒可以在Windows2000、WindowsXP等操作系统环境下正常运行，病毒运行时会

释放出一个FUNLOVE病毒并将之执行，而FUNLOVE病毒会在计算机中大量繁殖，造成

系统变慢，网络阻塞。

病毒清除方法

此病毒可以用趋势、诺顿、瑞星、金山和江民等杀毒软件进行清除。

小知识:系统进程

•款好的一blank"＞防火墙并不能发现所有病毒；一个好的杀毒软件并不能歼灭所有的带

毒程序!遇到这些情况我们该做何处理呢?很简单——手工杀毒。而要论到手工杀毒，就不能

不提到系统进程了。

进程、病毒?

书上说：“进程为应用程序的运行实例，是应用程序的•次动态执行。”看似高深，我们

可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:

系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包

括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。

危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程

列表显示，如“宏病毒”），那幺及时查看并准确杀掉非法进程对于“手工杀毒有起着关键

性的作用。

如何打开系统进程列表?

要通过进程列表查看系统是否染毒，必须打开当前的执行程序进程列表，Microsoft的

每种系统都有相应的打开方法，但能够显示的能力却因（系统）不同，有所差异：

1.Windows98/Me系统

打开系统进程的方式很简单，快捷键"Ctrl+Alt+Delete"（如图1）,这个窗口大家应该比

较熟悉，使用Windows系统的用户都知道用这个方法来关闭程序，不过它同样用于显示系

统进程，只是Windows98系统较初级，对进程的显示局限于名称，且里面所显示的还有打

开的文件及目录名，查看时易混淆。WindowsMe的进程打开方式和Windows98相同。

Windows9x系统打开的进程列表混乱且不完全，显然不便于查看系统的具体进程状况,

所以建议使用一些工具程序来为Windows9x系统显示进程，如“Windows优化大师”，在

“优化大师”的“系统安全优化”项内打开“进程管理”，在图2所示的“Windows进程管

理”窗口内，可以详细查看当前计算机所运行的所有进程，及具体程序所在的位置，这样更

方便完成后面要介绍的如何利用进程进行查毒、杀毒。

2.Windows2000/XP/2003系统

Windows2000、WindowsXP^Windows2003打开进程窗口的方式.与Windows9x系统

相同，只是三键后打开的是“Windows任务管理器”窗口，需要选择里面的“进程”项。

Windows2000系统只显示具体进程的全名，占用的内存量；WindowsXP.Windows2003系

统相比Windows2000会显示该进程归属于那个用户卜，如操作系统所必须的基础程序，会

在后面的“用户名”内显示为“SYSTEM”，由用户另外开启的程序则用户名为当前的系统

登录用户名。

经进程发现病毒

在介绍具体的查毒和杀毒前，笔者先回答开篇提出的两个问题。为什幺杀毒软件并不能

全面的查找和杀掉病毒?首先，病毒.blank〉防火墙是通过对程序进行反汇编，然后与自己

的病毒库进行对比来查找病毒，如果扁毒较新，而杀毒软件又未能及时升级便不能识别病毒。

其次，杀毒软件在发现病毒后，如果是独立的可执行病毒程序，会选择直接删除的处理方

式，而病毒如果被当作进程执行了，杀毒软件就无能为力了，因为它没有功能和权限先停止

掉系统的这些进程，被当作进程执行的程序是不能被删除的（这也是大家在删除一个程序

时，提示该程序正在被使用不能删除的原因）。所以在使用杀毒软件杀毒时，才会有杀毒完

成后，又出现病毒提示的原因。回到原来话题上!通过进程如何发现和杀掉病毒呢？

由前面的知识介绍可知，Windows9X和Windows2000系统只能显示进程的名称，这对判断

该进程是否是病毒还不够，如果要准确的断定病毒，最好使用前面介绍的“Windows优化大

师”来查看进程程序的源路径，如果是“C:Windowssystem”口的一些未知的“EXE”那便

极有病毒的可能性了。WindowsXP和Windows2003系统，进程后会有“用户名”的显示,

病毒是不可能获得“SYSTEM”权限的，所以应注意“用户名”是当前登录用户的进程，一

旦发现是病毒，可以立即“杀掉”。这里介绍两个技巧：

1.发现可疑进程后，利用Windows的查找功能，查找该进程所在的具体路径，通过路径

可以知道该进程是否合法，譬如由路径"CrogramFiles3721assistse.exe”知道该程序是3721

的进程，是合法的。

2.在对进程是否病毒拿不定主意时，可以复制该进程的全名，如“xxx.exe”到

或这样的全球搜查引擎上进行搜查，如果是病毒会有相关的介绍网页。

确定了该进程是病毒，首先应该杀掉该进程，对于Windows9x系统，选中该进程后，

点击下面的“结束任务”按钮，Windows2000.WindowsXP>Windows2003系统则在进程

上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可，

完成后最好在进行一次杀毒，这样就万无一失了。

一次利用进程杀毒的具体过程是这样的：“通过进程名及路径判断是否病毒——杀掉进

程—删除病毒程序”，为了让读者更好的判断进程，在这里补充•些Windows的进程资料

给大家：

进程名描述

smss.exeSessionManager

csrss.exe子系统服务器进程

winlogon.exe管理用户登录

services.exe包含很多系统服务

lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。

svchost.exeWindows2000/XP的文件保护系统

Spoolsv.exe将文件加载到内存中以便迟后打印。

explorer.exe资源管理器

internal.exe托盘区的拼音图标

mstask.exe允许程序在指定时间运行。

regsvc.exe允许远程注册表操作。(系统服务)-remoteregister

tftpd.exe实现TFTPInternet标准。该标准不要求用户名和密码。

llssrv.exe证书记录服务

ntfrs.exe在多个服务器间维护文件目录内容的文件同步。

RsSub.exe控制用来远程储存数据的媒体。

locator.exe管理RPC名称服务数据库。

clipsrv.exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。

msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保

护资源管理器。

groveLexe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向•个数据存储点，

以节省磁盘空间(只对NTFS文件系统有用)。

snmp.exe包含代理程序可以监视网络设备的活动并且向网络捽制台工作站汇报。

以上这些进程都是对计算机运行起至关重要的，千万不要随意“杀掉”，否则可能直接

影响系统的正常运行。

微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。

以WindowsXP为例:在"运行"中输入:cmd,然后在命令行模式中输入:tasklist/svc。系

统列出服务列表。如果使用的是Windows2000系统则把前面的“tasklist/svc”命令替换为:

“tlist-s”即可。

如果你怀疑计算机有可能被病毒感染，svchost.exe的服务出现异常的话通过搜索

svchost.exe文件就可以发现异常情况。•般只会找到•个在："C:WindowsSystem32”目录

下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话，那很可能就是中毒

了。

还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但

是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察

看工具。

上面简单的介绍了svchost.exe进程的相关情况。总而言之，svchost.exe是一个系统的核

心进程，并不是病毒进程。但由于svchost.exe进程的特殊性，所以病毒也会千方百计的入

侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。

3.电脑硬件知识大全（看完了你就成硬件高手了）

（一）、开机检测:

1、打开主机电源：出现BIOS画面则表示主机没有大问题，如没有，则须打开机箱检查。

⑴如果显示器亮，主机电源指示灯不亮，风扇不转：一般为开关电源故障或主板短路.

⑵如果主机指示灯全亮，电源风扇正常，无显示；如果有BIOS错误声音提示，根据声音

判断故障位置。

⑶如没有BIOS声音提示，一般为主板或CPU故障。

（4）对CMOS放电，恢复BIOS默认设置

⑸去除所有接口卡和数据线（最小化测试）

（6）BIOS故障（BIOS中内存参数或主频设置错误）

BIOS程序被病毒破坏BIOS升级失败

⑺如果BIOS自检声音正常，一般为显示器未连接或损坏。

2、内存检测和实际容量不致。

⑴接触不良

⑵若有两条以上，不兼容

⑶主板芯片组不支持

（4）内存条物理损坏

3、内存自检中途死机

⑴芯片组特性中内存参数设置错误

⑵内存条物理损坏

4、检测不到光驱或硬盘

⑴数据线损坏或连接错误

⑵硬盘跳线没有设置好

⑶硬盘本身问题或【DE接口故障

5、忘记CMOS密码

（1）通过跳线短路或电池短路给CMOS放电

（2）利用DOS调试工具

（二）、POST自检过程错误提示：

（1）BIOSROMchecksumerror-Systemhalted（BIOSROM校验和失败，系统挂起）—BIOS

ROM的程序资料已被更改，通常由BIOS升级错误造成

⑵CMOSBatterystatelow（CMOS电池电力不足）-一主板电池提供CMOS存储器，用来存

储BIOS参数。电池电压不足，需要更换。CMOS跳线短路

⑶CMOSchecksumFailure（CMOS校验失败）--CMOS数值保存之后，便产生•个校验和

值，供错误检测用。如果先前的值与当前读数据产生的实际值不同，就出现这个错误信息。

为了纠正这个错误，应运行BIOS设置程序。电池掉电或病毒

（4）CMOSSystemOptionsNotSet（CMOS系统选择项没有设置）一存储在CMOS中的数值遭

破坏，或者不存在了。运行BIOS设置程序来纠正这个错误。

⑸KeyboardError（键盘错误）一BIOS遇到由键盘引起的定时问题，应保证系统中安装了键

盘。也可以在标准CMOS设置项中选跳过键盘POST程序。

（6）MemoryTestFail（内存测试失败）——内存条安装不牢或损坏。

(7)FloppyDisk(s)Fail(软盘失败)――软驱数据线、电源线连接不好或软驱损坏。

(8)FDDcontrollerFailure(软盘控制器失败)--BIOS不能与软磁盘驱动器的控制器传输数

据。关闭系统电源后，检查所有有关的连接器。接口损坏加多功能卡。

(9)HDDControllerFailure(硬盘控制器失败)一BIOS不能与硬盘驱动器的控制器传输数据。

关闭系统电源后，检查所有有关的连接器。

(10)CriveError(C：驱动器错误)--BIOS没有接收到硬盘C：来的回答信号。检查数据线和

CMOS设置项中选择的硬盘类型。

(11)CriveFailure(C：驱动器失败)BIOS不能得到硬盘驱动器C：的回答信号。这可能要

更换硬盘。

(12)CacheMemoryBad,DoNotEnableCache(Cache存贮器损坏)--BIOS发现系统板的

Cache存贮器损坏。与系统生产厂家联系或关闭CMOS中设置。

(三)、DOS错误提示：

(1)InsertdiskwithCOMMAND.COMindiveA

Pressanykeytocontinue

计算机找不到DOS外壳，在驱动器A中插入系统盘。或者从硬盘上启动，取走A驱动器中

的DOS软盘。文件损坏或SHELL设置错

(2)InvalidmediaorTrack0baddisko(无效介质或0磁道损坏)

0磁道的主引导扇区被破坏了，磁盘不能再在上面存储任何重要信息。低格

(3)Accessdenied(访问被否定)

对一张有写保护的软盘进行写操作或试图删除硬盘上受保护的文件。

(4)Drivenotready

Abort,Retry,Ignore,Fail?(放弃，重试，忽略，失败)

计算机在驱动器中找不到磁盘。检查软盘及驱动器，CMOS中设置的软盘类型，确信软盘

在正确的驱动器中以后按R重试。

(5)Insufficientmemory(内存不足)

计算机没有足够的内存来运行这个特殊的程序，或者可能是由于存储器的设置不对造成的。

请扩充内存或重新设置系统后再启动。

(6)Badcommandorfilename

在提示符下输入乱字符DOS不能识别，输入命令时拼写有误，或者是DOS在路径下找不到

所输入的程序名。如是在启动时看到这些，那么就是计算机不能理解ALTTO执行.BAT中的

某一个命令行。

(7)NotfoundanyactivepartitioninHDD

在硬盘上没有发现活动分区，分区时忘记设置活动分区，重新运行FDISK并把基本分区激活.

(8)Errorloadingoperatingsystem(引导操作系统错误)

DOS引导扇区有物理损坏，重新分区或低格

(9)Missingoperatingsystem(操作系统丢失)

C盘DOS引导记录中标志位丢失，或硬盘执行完FDISK后没有格式化，或CMOS中硬盘

参数设置错误，软盘启动后执行SYSC：可恢复系统文件和标志位

(10)Non-Systemdiskordiskerror(非系统盘或盘错误)

引导程序找不到IO.SYS和MSDOS.SYS,属性错误或数据区的系统文件不同。用软盘引导，

键入SYSC：传DOS的系统文件,不行重分区。

(11)Diskbootfailure,InsertSystemDiskAndPressENTER(磁盘引导失败，插入系统盘并

敲回车)

读系统盘错误，一般为硬盘接口损坏或主引导记录中标志位丢失损坏。软盘引导，Fdisk/mbr

恢复

(12)Invaliddrivespecification(无效的盘规格)

盘符输入错误，或磁盘未格式化。若无法从硬盘引导，从软盘启动后进入C盘时出此提示

则表示分区表丢失了

(13)Nopartitionbootable(没有可引导分区)

硬盘安装完后没有分区就会出现上述错误信息。只要用WIN98启动盘重新开机，然后执行

FDISK来分区。

(四)、WIN98系统故障

I、WIN98无法进入安全模式：保护模式驱动程序错误

(1)在98启动菜单中选择日志模式Logged,生成开机日志文件

(2)死机后重启，在启动菜单中选择字符模式CommandPromptOnly

(3)编辑BOOTLOG.TXT,查找加载失败FAIL的文件

(4)进入WIN98安装备份的目录，使用EXTRACT命令恢复加载失败的文件

(5)D:\PWIN98\>EXTRACT/ABASE5.CAB1234.567/LC:\WINDOWS\SYSTEM

2、WIN98可以进入安全模式，可以运行“系统信息”工具中的