結果今天整個下午
只做了一件正事
就是終結NB裡該死的常駐病毒
話說spoolsv
已經在小NB裡活了好長一段時間了
一直以來我都把它當"吃記憶體病毒"看待
每次開機就CPU滿載
Ctrl+Alt+Delete三次也就解決
其它效能還算正常
苟且幾個月
直到今天連印表機都連不上
就真的怒了…
=======================================
經過幾個小時的自立自強
終於搞懂spoolsv.exe並不是病毒檔
它是windows的列印任務控制程式
如果你也有spoolsv異常飆高的情況
根據過來人的經驗
分成以下幾種狀況處理:
1) 你不需要用這台電腦列印資料
到 控制台> 系統管理工具> 服務> print spooler
將它停用
2) 如果還是需要列印文件
先結束spoolsv.exe的處理程序
C:\WINDOWS\system32\spool\PRINTERS 把其中的文件都刪掉!
然後到 開始> 執行 鍵入net start spooler
3) 如果印表機又可以用了以後
速度又開始非常慢了
很顯然你的電腦是中毒了…
此時下載兩個小程式
一個是windows釋出的修正程式
一個是symantec的掃毒工具
★ KB896423:Windows XP 安全性更新
現在已經證實「列印多工緩衝處理器」(Print Spooler) 服務有一個安全性問題,攻擊者可能利用此問題侵入 Microsoft Windows 系統並取得該系統的控制權。您可以從 Microsoft 安裝此更新來保護您的電腦。安裝此項目後,您可能必須重新啟動電腦。
支援的作業系統: Windows XP Service Pack 1; Windows XP Service Pack 2
★ Symantec W32.Lovgate@mm Fix Tool 1.1.7
移除工具將:
1. 確認電腦是否被任何 W32.HLLW.Lovgate@mm的變種所感染。
2. 找出並刪除所有包含病蟲的檔案。
3. 由HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run登錄鍵中找出並刪除所有下列值:
syshelp
WinGate initialize
Module Call initialize
4. 刪除下列登錄鍵:
HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
HKEY_LOCAL_MACHINE\Software\KittyXP.sql
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
HKEY_CLASSES_ROOT\txtfile\shell\open\command
注意: 此病蟲會覆寫登錄鍵之前所包含的用戶定義數值。這麼一來,一但電腦被感染後便無法將這些鍵所包含的數值救回。
5. 找出登錄鍵:
HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command
並改變數值:
winrpc.exe %1
成為:
notepad.exe %1
6. 停止並刪除下列服務:
Window Remote Service (Window 遠端服務)
Microsoft NetWork Services FireWall (Microsoft 網路服務防火牆)
Windows Management Extension
7. 在區域安全支配服務列(Local Security Authority Service (lsass.exe))下找出正在執行的病毒執行緒 , 此執行緒是病蟲感染系統時所使用的合法 Windows 程式,移除工具將停止此執行緒執行。
8. 移除所有病蟲安裝在系統上的檔案。
Wednesday, March 08, 2006
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment