.Doe961
同志们好,昨天刚装的系统变的很慢很慢,一看spoolsv进程占用CPU 90多,看见有前辈介绍的办法将C:/WINDOWS/SYSTEM32下的spoolsv.exe删掉,快了一点,一会又变慢了.在一看,又有cmd.exe进程占用cpu最大达到70多,有时还会出现两个cmd.exe进程.
下面是详细的
HijackThis_815汉化版扫描日志 V1.99.1
保存于 14:55:31, 日期 2006-9-25
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Rising\Rav\RavTask.exe www.dngz.net
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
\Xjzc-jh\工具\winrar 3.0.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe
\Xjzc-jh\工具\HijackThis汉华版\HijackThis1991zww.exe
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [zt] C:\WINDOWS\Intel\rundll32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
本文来自 www.dngz.net
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{13D14AEA-0696-4642-A1FA-6D86CAA18A97}: NameServer = 61.128.99.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{13D14AEA-0696-4642-A1FA-6D86CAA18A97}: NameServer = 61.128.99.133
O17 - HKLM\System\CS2\Services\Tcpip\..\{13D14AEA-0696-4642-A1FA-6D86CAA18A97}: NameServer = 61.128.99.133
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe dngz.net您的电脑医生
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
麻烦路过的同志们帮帮忙,老大的机子,搞不好我会死的很难看
看不太懂,但是这个绝对有问题
O4 - 启动项HKLM\\Run: [zt] C:\WINDOWS\Intel\rundll32.exe
这个用处不大可以去掉
O4 - 启动项HKLM\\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
其他看不太懂了。
提个建议
别用瑞星了
纯垃圾
我都怀疑它是故意把病毒放进来
然后在让你看的见,它能杀病毒。
有时候也说不清,到底是杀的出病毒好还是杀不出病毒好
建议用Zone Labs Security和咔吧的组合
网上都可以下到可以升级的中文版
不要银子还好使。
如楼上所说:
取消启动O4 - 启动项HKLM\\Run: [zt] C:\WINDOWS\Intel\rundll32.exe
结束其对应进程并删除文件(按路径)
正常情况下,不应该出现cmd进程
spoolsv.exe进程可以关闭,服务也可以禁用
:'( :'( :'( :'( spoolsv删掉以后出现不能添加打印机的问题,但是如果我从别的机子(没毒)复制过去一个,过一会CPU又占用90多,这怎么办呢?
还有一个更奇怪的机子,进程里没有哪个占用CPU很大的进程,可是显示在右下脚的显示里CPU占用是100.机子很慢很慢的,谁见过呢?我要怎么解决呢?好烦躁啊,瑞星什么都杀不出来. www.dngz.net
救命啊
你换个工具重新扫扫日志看看
用SREng查查启动项,再扫一下.
只要清空C:\WINDOWS\system32\spool\PRINTERS 目录下所有的文件即可。
而原因在Microsoft网站上也有文档说明:Windows 后台打印程序没有删除打印作业后台文件导致的打印程序可能会反复地尝试对该打印作业进行后台处理
解决方案:
为避免发生此问题,请不要在打印后台文件位于 %Systemroot%\System32\Spool\Printers 文件夹中时更改它的属性。
要解决此问题,请删除只读属性,然后将该后台文件从 %Systemroot%\System32\Spool\Printers 文件夹中删除。
要删除只读属性,请右键单击 Windows 资源管理器或我的电脑中的后台文件,单击属性,单击清除只读复选框,然后单击确定。
有关如何在 Windows 2000 中删除文件的更多信息,请单击开始,单击帮助,单击索引选项卡,键入删除,然后双击删除文件主题。
Spoolsv.exe
进程文件: spoolsv or Spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
Spoolsv.exe,如果常增高,有可能是病毒感染所致
dngz.net
目前常见的是:
Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
危害程度:中
受影响的系统: Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux,
病毒危害:
1. 生成病毒文件
2. 插入正常系统文件中
3. 修改系统注册表
4. 可被黑客远程控制
5. 躲避反病毒软件的查杀
简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使用异常频繁......
Backdoor.Win32.Plutor
破坏方法:感染PE文件的后门程序
病毒采用VC编写。
病毒运行后有以下行为:
1、将病毒文件复制到%WINDIR%目录下,文件名为";Spoolsv.exe";,并该病毒文件运行。";Spoolsv.exe";文件运行后释放文件名为";mscheck.exe";的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行";Spoolsv.exe";文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。 dngz.net您的电脑医生
2、修改注册表以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:";Microsoft Script Checker"; 数据为:";MSCHECK.EXE /START";
修改该项注册表使";MSCHECK.EXE";文件每次系统激活时都将被运行,而";MSCHECK.EXE";用于运行";Spoolsv.exe";文件,从而达到病毒自激活的目的。
3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含";winnt";、";Windows";字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。
4、试图与局域网内名为";admin";的邮槽联系,创建名为";client";的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务:
显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据
哭死,满厂都是这个病毒还带着威金.我先试试,完了回复
:P :P :P :lol :'(
杀完以后就添加不上打印机,把别的机子里的SPOOLSV复制过去也没用,用恢复命令也没用,一添加打印机就说后台什么什么的,怎么办啊?:'( :'( :'( :'(