9,506
社区成员
发帖
与我相关
我的任务
分享机器奇慢无比,是否中病毒了?
我的机器是WINXP,一上网的话就奇慢,CPU占用100%,看到是svchost.exe这个进程在占用CPU,是怎么回事?
还有就是我在很多文件的目录下发现folder.hht和destop.ini这两个文件,听说这是病毒,但我下载了金山毒霸的专杀工具也杀不了。
还有就是我在很多文件的目录下发现folder.hht和destop.ini这两个文件,听说这是病毒,但我下载了金山毒霸的专杀工具也杀不了。
...全文
请发表友善的回复…
发表回复
xw123 2004-09-30
- 打赏
- 举报
1.在进程管理器里结束可疑进程!或者进安全模式!(注意进安全模式后,不要随意运行程序,打开网页,否则又有可能把病毒激活)
2.有些病毒程序会和.EXE绑定,这时把下面的文本用记事本保存为RESTORE.REG,然后双击导入注册表就恢复.EXE的默认绑定了!
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
注意:
Windows 95/98/ME/NT 4.0等的REG文件开头第一行规定必须是"REGEDIT4"
Windows 2000/XP则是"Windows Registry Editor Version 5.00"
-------------------------------------------------------------------
3.打开注册表,寻找可疑的自启动项,一般在以下键值:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(完全可以全部删除!)
4.用注册表的搜索,把可疑程序名作为关键字在注册表里搜索,然后删除
(小技巧,能删除父项就删除父项)
5.使用工具软件查杀病毒!一定把病毒库升到最新哦!
下载木马克星(破解版):http://www.52down.com/down.asp?id=4278&no=1
PS:WIN98, WINXP, SERVER 2003都自带了实用程序MSCONFIG.EXE,这是个功能不错的查看设置自启动程序的工具,WIN2000 和 2000 SERVER可以移植XP 或 2003 SERVER的MSCONFIG.*
或从下面的网站下载:
http://soft.netnest.com.cn/soft/698.htm
http://www.downbest.net/down/html/4050.html
WIN2000基本进程和模块一览表
(^_^方便大家在进程管理器里查找可疑程序^_^)
一、最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行)
System Idle Process
这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间(不可以从任务管理器中关掉。)
smss.exe
Session Manager 这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的,并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
csrss.exe
子系统服务器进程,负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框
services.exe 包含很多系统服务
lsass.exe
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。
svchost.exe
在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。多个Svchost.exe可以在同一时间运行;每个Svchost.exe的回话期间都包含一组服务,单独的服务必须依靠Svchost.exe获知怎样和在那里启动。
SPOOLSV.EXE 管理缓冲池中的打印和传真作业。(系统服务) 这个进程是不可以从任务管理器中关掉的。
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
二、附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe
提供系统管理信息(系统服务)。它是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe
允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe
提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
三、以下服务很少会用到,里面的服务可能对安全有害,如果不是必要的应该关掉
tcpsvcs.exe
提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe
扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe
接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
四、模块一览:
名称 模块所在位置 何时被启动/加载 由谁启动 0
hal.dll 硬件抽象层 系统启动时 系统
ntoskrnl.exe 微内核和执行体 系统启动时 系统
kernel32.dll win32子系统.dll 系统启动时 系统
gdi32.dll win32子系统.dll 系统启动时 系统
user32.dll win32子系统.dll 系统启动时 系统
advapi32.dll win32子系统.dll 系统启动时 系统
smss.exe 会话管理器 系统启动时 系统
win32k.sys win32的内核模式部分 系统启动时 smss.exe
csrss.exe win32子系统进程 系统启动时 smss.exe
winlogon.exe windows登陆进程 系统启动时 smss.exe
msgina.dll 缺省gina 系统启动时 winlogon.exe
lsass.exe 本地安全性鉴别服务器 系统启动时 winlogon.exe
ntdll.dll 支持函数和到执行体的接口 系统启动时 smss.exe
services.exe 服务控制器和大多数系统服务 系统启动时 smss.exe
os2ss.exe os/2子系统进程 根据需要 smss.exe
psxdll.dll posix子系统.dll 根据需要 smss.exe
psxss.exe posix子系统进程 根据需要 smss.exe
2.有些病毒程序会和.EXE绑定,这时把下面的文本用记事本保存为RESTORE.REG,然后双击导入注册表就恢复.EXE的默认绑定了!
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
注意:
Windows 95/98/ME/NT 4.0等的REG文件开头第一行规定必须是"REGEDIT4"
Windows 2000/XP则是"Windows Registry Editor Version 5.00"
-------------------------------------------------------------------
3.打开注册表,寻找可疑的自启动项,一般在以下键值:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(完全可以全部删除!)
4.用注册表的搜索,把可疑程序名作为关键字在注册表里搜索,然后删除
(小技巧,能删除父项就删除父项)
5.使用工具软件查杀病毒!一定把病毒库升到最新哦!
下载木马克星(破解版):http://www.52down.com/down.asp?id=4278&no=1
PS:WIN98, WINXP, SERVER 2003都自带了实用程序MSCONFIG.EXE,这是个功能不错的查看设置自启动程序的工具,WIN2000 和 2000 SERVER可以移植XP 或 2003 SERVER的MSCONFIG.*
或从下面的网站下载:
http://soft.netnest.com.cn/soft/698.htm
http://www.downbest.net/down/html/4050.html
WIN2000基本进程和模块一览表
(^_^方便大家在进程管理器里查找可疑程序^_^)
一、最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行)
System Idle Process
这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间(不可以从任务管理器中关掉。)
smss.exe
Session Manager 这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的,并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
csrss.exe
子系统服务器进程,负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框
services.exe 包含很多系统服务
lsass.exe
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。
svchost.exe
在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。多个Svchost.exe可以在同一时间运行;每个Svchost.exe的回话期间都包含一组服务,单独的服务必须依靠Svchost.exe获知怎样和在那里启动。
SPOOLSV.EXE 管理缓冲池中的打印和传真作业。(系统服务) 这个进程是不可以从任务管理器中关掉的。
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
二、附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe
提供系统管理信息(系统服务)。它是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe
允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe
提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
三、以下服务很少会用到,里面的服务可能对安全有害,如果不是必要的应该关掉
tcpsvcs.exe
提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe
扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe
接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
四、模块一览:
名称 模块所在位置 何时被启动/加载 由谁启动 0
hal.dll 硬件抽象层 系统启动时 系统
ntoskrnl.exe 微内核和执行体 系统启动时 系统
kernel32.dll win32子系统.dll 系统启动时 系统
gdi32.dll win32子系统.dll 系统启动时 系统
user32.dll win32子系统.dll 系统启动时 系统
advapi32.dll win32子系统.dll 系统启动时 系统
smss.exe 会话管理器 系统启动时 系统
win32k.sys win32的内核模式部分 系统启动时 smss.exe
csrss.exe win32子系统进程 系统启动时 smss.exe
winlogon.exe windows登陆进程 系统启动时 smss.exe
msgina.dll 缺省gina 系统启动时 winlogon.exe
lsass.exe 本地安全性鉴别服务器 系统启动时 winlogon.exe
ntdll.dll 支持函数和到执行体的接口 系统启动时 smss.exe
services.exe 服务控制器和大多数系统服务 系统启动时 smss.exe
os2ss.exe os/2子系统进程 根据需要 smss.exe
psxdll.dll posix子系统.dll 根据需要 smss.exe
psxss.exe posix子系统进程 根据需要 smss.exe
sy1573 2004-09-30
- 打赏
- 举报
下载最新病毒库
进安全模式查杀病毒
优化系统启动项
修复并升级系统
进安全模式查杀病毒
优化系统启动项
修复并升级系统
jb99334 2004-09-30
- 打赏
- 举报
升级病毒库,杀毒!
下载xp补丁!
下载xp补丁!
suspension 2004-09-30
- 打赏
- 举报
建议在安全模式下查毒
根据楼主的描述初步的判断是FUNLOVE病毒
一 FUNLOVE病毒的分析和解决方案:
曾经,FUNLOVE病毒广为传播,它以其全新的躲避杀毒软件扫描技术和攻击网络漏洞技术让病毒得以扩展,虽然目前杀毒软件对FUNLOVE病毒易于发现,但难于查杀,在单机电脑上感染FUNLOVE,不会有太大的影响,因为FUNLOVE不会格盘,删除文件,只是使文件长度增加,但当FunLove感染了一个网络管理员的电脑之后,将会有严重后果,因为所有访问该电脑的用户都拥有了网络管理员的权限,它使文件增大,降低网络传输速度,消耗网络资源,至使NT服务器瘫痪。
很多朋友拥有杀毒软件,但却始终难于查杀干净,这与查杀方法有一定关系。
现在介绍一下具体查杀方案:
对于单机:
98系统:用纯净的A盘启动,这里以瑞星为例,用瑞星A盘启动系统,按提示进入插入瑞星B盘(必须经过升级病毒库)在DOS下杀毒,注意在清除病毒后,个别病毒感染了文件后是用病毒代码覆盖了文件的一部分,所以文件还是不能用,应再用正常文件覆盖坏文件,这一方面应该注意。
WINDOWS/NT/2000系统:如果2000中的分区为NTFS(还有NT),因为无法在DOS下读出硬盘分区,所以可以把该硬盘挂在另一个无毒电脑装有NT/2000系统中作为副盘,用无毒主盘引导系统,调用无毒电脑中的杀毒软件对含毒盘进行查杀。(不过瑞星可以实现在DOS环境下查杀NTFS分区)
对于服务器:(杀毒前对服务器端的重要文件做备份)
首先必须断网,然后要做的是取消所有机器的非必要共享,必须共享的目录,要加口令予以保护。一个判断是否还是否还存在有共享文件的方法是通过“网上邻居”中查看本机中是否有还有其它共享目录
用杀毒软件进行查杀时,若在WIN下,有可能有些文件正被Windows系统占用,如果出现这种情况,请依据程序提示重新启动计算机,以彻底清除funlove,重启后再次查杀,并将病毒生成的FLCSS.exe文件删除,具体路径为windows\system下。建议从A盘启动,若用单机版在纯DOS下逐一查杀每一台电脑,同样在WIN下将病毒生成的FLCSS.exe文件删除。
通用查杀方法:取下含毒盘作为副盘挂在无毒电脑下,用无毒主盘启动查杀。
至于网络版杀毒软件查杀局域网等的能力可能强点,但还是推荐在DOS下为好,一定要断网!
网上有提供FUNLOVE免役程序下载。
二 新欢乐时光的分析和解决方案
此病毒盛为流行,很多电脑都感染了该病毒,感染该病毒的具体标志是在每个文件夹下都产生有destop.ini和folder.htt两个文件,病毒由VBS编写而成,会感染下列后缀的文件:.html,.htm,.vbs,.asp,.htt,.jsp,.php等。感染该病毒后,打开文件夹速度明显减慢,而且一些机器在打开文件夹时会提示有不安全脚本运行,还有
一些机器开机时桌面呈白色,这均为染毒特征。染毒后用记事本打开folder.htt里看到的特征代码有和后面的大量加密代码。
很多朋友用杀毒软件查杀后,再次查杀时又发现该病毒,这主要是因为病毒并未完全清除。
使用杀毒软件清除该病毒的方法:
由于该病毒具有很强传播能力,因此建议查杀前先检查有无软盘或其他可移动介质在电脑上,若有一起查杀。
对于单机:
使用杀毒软件(对于ME,XP,还要先禁止系统还原后再查杀,这一点要注意)如果在WIN下查杀,比如瑞星,方法如下:升级瑞星到高版本,打开文件监控,取消按WEB查看,关掉所有窗口,一定要先查杀内存,后全盘杀毒,如果在msconfig里发现还有folder.htt和destop.ini等可疑项目,把这些项的钩去掉,立即重新启动计算机。可再次查杀一次以确保病毒完全清除。建议在安全模式或纯DOS下查杀。
若使用其他新欢乐时光专杀工具在安全模式下杀为好。
对于局域网:
由于病毒可以通过共享文件夹传播,因此务必要取消共享,断网后把每台染毒机器逐一查杀。
若杀毒软件仍然报告某些folder.htt仍为病毒,可以用记事本打开folder.htt
把这段代码删掉。[其实病毒运行主体已经清除]
杀完毒后把机器到微软网站里打补丁。
对于感染病毒杀毒后若文件夹无法再按WEB查看,可能在杀毒过程中正常的destop.ini和folder.htt被误删或正常代码被损害,解决方法是到其他机器上COPY这两个文件过来即可。
还有一部分用户查杀病毒后一些文件夹下仍残余有destop.ini和folder.htt,可手动删除。(注意系统本身有些文件夹是有这两个文件的,比如Program Files和My Documents里本身就含有
根据楼主的描述初步的判断是FUNLOVE病毒
一 FUNLOVE病毒的分析和解决方案:
曾经,FUNLOVE病毒广为传播,它以其全新的躲避杀毒软件扫描技术和攻击网络漏洞技术让病毒得以扩展,虽然目前杀毒软件对FUNLOVE病毒易于发现,但难于查杀,在单机电脑上感染FUNLOVE,不会有太大的影响,因为FUNLOVE不会格盘,删除文件,只是使文件长度增加,但当FunLove感染了一个网络管理员的电脑之后,将会有严重后果,因为所有访问该电脑的用户都拥有了网络管理员的权限,它使文件增大,降低网络传输速度,消耗网络资源,至使NT服务器瘫痪。
很多朋友拥有杀毒软件,但却始终难于查杀干净,这与查杀方法有一定关系。
现在介绍一下具体查杀方案:
对于单机:
98系统:用纯净的A盘启动,这里以瑞星为例,用瑞星A盘启动系统,按提示进入插入瑞星B盘(必须经过升级病毒库)在DOS下杀毒,注意在清除病毒后,个别病毒感染了文件后是用病毒代码覆盖了文件的一部分,所以文件还是不能用,应再用正常文件覆盖坏文件,这一方面应该注意。
WINDOWS/NT/2000系统:如果2000中的分区为NTFS(还有NT),因为无法在DOS下读出硬盘分区,所以可以把该硬盘挂在另一个无毒电脑装有NT/2000系统中作为副盘,用无毒主盘引导系统,调用无毒电脑中的杀毒软件对含毒盘进行查杀。(不过瑞星可以实现在DOS环境下查杀NTFS分区)
对于服务器:(杀毒前对服务器端的重要文件做备份)
首先必须断网,然后要做的是取消所有机器的非必要共享,必须共享的目录,要加口令予以保护。一个判断是否还是否还存在有共享文件的方法是通过“网上邻居”中查看本机中是否有还有其它共享目录
用杀毒软件进行查杀时,若在WIN下,有可能有些文件正被Windows系统占用,如果出现这种情况,请依据程序提示重新启动计算机,以彻底清除funlove,重启后再次查杀,并将病毒生成的FLCSS.exe文件删除,具体路径为windows\system下。建议从A盘启动,若用单机版在纯DOS下逐一查杀每一台电脑,同样在WIN下将病毒生成的FLCSS.exe文件删除。
通用查杀方法:取下含毒盘作为副盘挂在无毒电脑下,用无毒主盘启动查杀。
至于网络版杀毒软件查杀局域网等的能力可能强点,但还是推荐在DOS下为好,一定要断网!
网上有提供FUNLOVE免役程序下载。
二 新欢乐时光的分析和解决方案
此病毒盛为流行,很多电脑都感染了该病毒,感染该病毒的具体标志是在每个文件夹下都产生有destop.ini和folder.htt两个文件,病毒由VBS编写而成,会感染下列后缀的文件:.html,.htm,.vbs,.asp,.htt,.jsp,.php等。感染该病毒后,打开文件夹速度明显减慢,而且一些机器在打开文件夹时会提示有不安全脚本运行,还有
一些机器开机时桌面呈白色,这均为染毒特征。染毒后用记事本打开folder.htt里看到的特征代码有和后面的大量加密代码。
很多朋友用杀毒软件查杀后,再次查杀时又发现该病毒,这主要是因为病毒并未完全清除。
使用杀毒软件清除该病毒的方法:
由于该病毒具有很强传播能力,因此建议查杀前先检查有无软盘或其他可移动介质在电脑上,若有一起查杀。
对于单机:
使用杀毒软件(对于ME,XP,还要先禁止系统还原后再查杀,这一点要注意)如果在WIN下查杀,比如瑞星,方法如下:升级瑞星到高版本,打开文件监控,取消按WEB查看,关掉所有窗口,一定要先查杀内存,后全盘杀毒,如果在msconfig里发现还有folder.htt和destop.ini等可疑项目,把这些项的钩去掉,立即重新启动计算机。可再次查杀一次以确保病毒完全清除。建议在安全模式或纯DOS下查杀。
若使用其他新欢乐时光专杀工具在安全模式下杀为好。
对于局域网:
由于病毒可以通过共享文件夹传播,因此务必要取消共享,断网后把每台染毒机器逐一查杀。
若杀毒软件仍然报告某些folder.htt仍为病毒,可以用记事本打开folder.htt
把这段代码删掉。[其实病毒运行主体已经清除]
杀完毒后把机器到微软网站里打补丁。
对于感染病毒杀毒后若文件夹无法再按WEB查看,可能在杀毒过程中正常的destop.ini和folder.htt被误删或正常代码被损害,解决方法是到其他机器上COPY这两个文件过来即可。
还有一部分用户查杀病毒后一些文件夹下仍残余有destop.ini和folder.htt,可手动删除。(注意系统本身有些文件夹是有这两个文件的,比如Program Files和My Documents里本身就含有
seawind999 2004-09-30
- 打赏
- 举报
svchost 的cpu占有率问题:
svchost.exe 是启动DLL服务的主进程,从任务管理器中就可以看出,一般是多个被启动。要想解决此问题首先必须判断哪一服务组浪费了资源。
您好像是Windows XP,具体做法是:
1。在运行中输入 cmd
2。在命令提示符输入 tasklist -svc。
3。判明是哪组服务浪费了资源后,输入net stop <服务名> 逐个停止服务,就可判明是哪个服务的问题。
注:Windows XP Home Edition 没有 tasklist 命令。
System Idle Process是CPU没有任务时所执行的 空进程,所以在没有执行消耗CPU资源的程序时,总是维持在近100%的使用率。
(比如:如果System Idle Process是 99%的话,那么CPU 只是使用了1%。)
微软警告universal plug play存在严重安全漏洞
在Universal Plug and Play服务中的三个漏洞,它们使得硬件自动探测一个网络环境,从而将你机器的所有主管权交给一个恶意的第三方,微软警告说。
第一,也是至今为止最大的危险是,在一个处理通报指示的未检查缓冲,这个影像了win98 me,以及windows最安全的操作系统,win xp。通过发送一个恶意的通报指示,一个攻击者能够在UPnP服务中运行代码,这个服务使用的是xp系统级特权,以及在98么ME上需要操作系统的权利。这就使得攻击者能够拥有整个系统。
其次,一个拒绝服务漏洞使得一个攻击者发送一个通报指示教一个有UPnP服务的机器,使得它从一个特定的服务器的特定端口下载它需要的部分。如果服务器打算回应这个要求,它们目标机器将处于无休止的循环中,最终耗尽所有的资源,最终的方式就是重起。
第三,一个攻击者能够使用拒绝式服务攻击漏洞来发送一个通报指示给很多的机器,并且使它们转向一个第三方服务器,这个服务器会马上塞满伪造的请求,并且可能超载。
UPnP的服务是自动出现在winxp和ME上的(虽然在Me上不是默认的设定),并且在win98上面,只有使用了因特网连接共享才会启动这个功能,但是,你没有启动这个功能并不意味着你是安全的,如果你是一个OEM版本的系统的话。这可能由厂家自动使用了;所以如果你感到疑惑的话,一定要下载正确的补叮
svchost.exe 是启动DLL服务的主进程,从任务管理器中就可以看出,一般是多个被启动。要想解决此问题首先必须判断哪一服务组浪费了资源。
您好像是Windows XP,具体做法是:
1。在运行中输入 cmd
2。在命令提示符输入 tasklist -svc。
3。判明是哪组服务浪费了资源后,输入net stop <服务名> 逐个停止服务,就可判明是哪个服务的问题。
注:Windows XP Home Edition 没有 tasklist 命令。
System Idle Process是CPU没有任务时所执行的 空进程,所以在没有执行消耗CPU资源的程序时,总是维持在近100%的使用率。
(比如:如果System Idle Process是 99%的话,那么CPU 只是使用了1%。)
微软警告universal plug play存在严重安全漏洞
在Universal Plug and Play服务中的三个漏洞,它们使得硬件自动探测一个网络环境,从而将你机器的所有主管权交给一个恶意的第三方,微软警告说。
第一,也是至今为止最大的危险是,在一个处理通报指示的未检查缓冲,这个影像了win98 me,以及windows最安全的操作系统,win xp。通过发送一个恶意的通报指示,一个攻击者能够在UPnP服务中运行代码,这个服务使用的是xp系统级特权,以及在98么ME上需要操作系统的权利。这就使得攻击者能够拥有整个系统。
其次,一个拒绝服务漏洞使得一个攻击者发送一个通报指示教一个有UPnP服务的机器,使得它从一个特定的服务器的特定端口下载它需要的部分。如果服务器打算回应这个要求,它们目标机器将处于无休止的循环中,最终耗尽所有的资源,最终的方式就是重起。
第三,一个攻击者能够使用拒绝式服务攻击漏洞来发送一个通报指示给很多的机器,并且使它们转向一个第三方服务器,这个服务器会马上塞满伪造的请求,并且可能超载。
UPnP的服务是自动出现在winxp和ME上的(虽然在Me上不是默认的设定),并且在win98上面,只有使用了因特网连接共享才会启动这个功能,但是,你没有启动这个功能并不意味着你是安全的,如果你是一个OEM版本的系统的话。这可能由厂家自动使用了;所以如果你感到疑惑的话,一定要下载正确的补叮
