电脑重生记(木马+光驱消失)
这2个星期我真的是郁闷到了极点,自从从校园网的同学那里拷回来了个《罪恶之城》和一个《食品加工机械与设备》的课件以后电脑就发疯的慢,简直慢到无法理解。用尽了任何的杀毒软件,卡巴斯基用5.0杀过N遍后没反应,再用6.0杀,继续无功而返。木马专杀从金山的用到Ewido,依然没有发现问题。我甚至把所有盘都整碎过了,还是无进展,晕啊~~~~~ 幸亏2天前认识的志愿者朋友说出了个重点——CPU的使用率怎么是100%?的确是个问题,看看别人的CPU使用率都只是很低很低,而我的CPU是AMD 1.41GHz不应该是这个模样啊!
于是从那时开始,我开始查杀木马,木马查出了及格,广告软件查出了一大堆,但问题还是不能解决。自己认为是高手的已经问过,同学认为是高手的办法也是无能为力。于是无奈的时候只好Ctrl+Alt+Delete再次打开已经看过N*N遍的任务管理器里面的进程。曾经很多很多次仔细地对比自己的进程和别人的进程,的确没有什么特别的。msconfig下的“服务”和“启动”也对照过很多很多次,没有效果,真的令人好伤心。开机F8进入安全模式甚至比进入正常模式的次数还要多,问题一直都没有解决。
但最后一次观察“进程”我发现了个叫做“SPOOLSV.EXE”的怪物,岂有此理,内存它才占那么几MB,但CPU就占了99%!!!!别的进程全部都是“0%”而它一个进占了99%!!!!
并非我的截图,但我的情况也差不了多少:(
来自:http://bbs.ngacn.com/read.php?tid=646668
我的电脑还怎么会正常。开网页要不断地“结束程序”,开Word根本无法编辑,因为几乎每步操作都会导致“没有回应”。但Excel和Photoshop却能正常运作,卡巴斯基老是闪个不停,开“我的电脑”那个灯足足要摇动8次才可以打开,所以不得已之下只能把分区磁盘都用快捷方式放在桌面。我经验告诉我,那个该死的“SPOOLSV.EXE”就是罪魁祸首!于是把它的大名在搜索一找,果然大名鼎鼎,以下就是对它的描述:
进程名称: Microsoft Printer Spooler Service
进程类别:其他进程
英文描述:
spoolsv.exe is a Microsoft Windows system executable which handles the printing process to your local printers. Note: spoolsv.exe is also a process which is registered as the Backdoor.Ciadoor.B Trojan. This Trojan allows attackers to access your com
中文参考:
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows 2000 and later
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
难怪杀毒软件和木马软件都对其无可奈何,哎~~~~ 必须手动删除。
1. 我的电脑→右键→管理→服务和应用程序→双击→服务→双击→Print Spooler→停止此服务(在窗口左边)→双击Print Spooler→启用类型→已禁用(以上步骤属于不用打印机的人,把这个服务禁掉,高枕无忧),如此操作以后再看看进程,哦,我的天啊!终于正常了!!!!
2. 对于使用打印机的人要禁止这个服务当然行不通,所以还有后续步骤:我的电脑→系统盘→WINDOWS→system32→spool→PRINTERS→删除里面的所有文件(里面应该是没有文件的!刚刚我删文件的时候留意了一下,spool文件夹是2004年创建的,而PRINTERS文件夹里面的文件全部都是2006-09-18创建的,和我电脑开始瘫痪的时间吻合,如果怕删除不干净可以做以下操作:工具(任一文件夹内都有的)→文件夹选项→查看→显示所有文件和文件夹→你能看到所有文件了,看过证实后可以把文件夹选项修改过来)
3. (接2操作,如只执行1则无须执行3)重复1的步骤,把Print Spooler服务再次启动,这次,再看看进程,你会发现SPOOLSV.EXE不见了,取而代之的是spoolsv.exe(注意我的大小写),它的CPU使用量是0%,而内存使用量也只有那么几百KB。
以上操作经过我自己的试验,没有问题,请放心!不过网上还有些更为保险的方法,但作为新手的我们,这些操作我觉得就够了。
除了电脑慢得半死以外这两个星期我还面临着光驱在系统消失的噩号!设备管理器里光驱驱动器上打着叹号。设备状态为:Windows 无法加载这个硬件的设备驱动程序。驱动程序可能已损坏或不见了。 (代码 39)把光驱拆下来重装也没用,但可以从光驱启动,即DOS环境下光驱没事,排除是硬件问题。
65-E325-11CE-BFC1-08002BE10318}→删除LOWER FILTER(我的电脑就只有这项)和UPPER FILTER(看过别人没事的电脑,都没有这两项)→回到设备管理器→DVD/CD-ROM驱动器→右键→扫描检测硬件改动→大功告成,那个该死的黄色叹号消失了,打开我的电脑你又找到了久违的光驱了!!!!!
一天之内把半死半残废的电脑从地狱中救了出来,谢天谢地啊!!!!!又增长了不少知识啊!!!!!这段日子的经历告诉我其实电脑出现问题不一定找身边的高手就能解决,如果我们自己能仔细观察,再加上互联网,我们任何人都可以成为自己的救命英雄。要相信自己,相信互联网!重装不一定是最好的办法,经历磨难的系统更显宝贵!