[分享]Windows变慢原因分析及解决方法（中）

<FONT face=宋体> </FONT>
5 V6 U' }7 |# E7 o<br>
5 R8 q' B! h' M6 R9 j% g7 s<P><FONT color=#0000ff><B>三、病毒篇</B></FONT> </P>
<p>
<P>　　如果你的计算机感染了病毒，那么系统的运行速度会大幅度变慢。病毒入侵后，首先占领内存这个据点，然后便以此为根据地在内存中开始漫无休止地复制自己，随着它越来越庞大，很快就占用了系统大量的内存，导致正常程序运行时因缺少主内存而变慢，甚至不能启动；同时病毒程序会迫使CPU转而执行无用的垃圾程序，使得系统始终处于忙碌状态，从而影响了正常程序的运行，导致计算机速度变慢。下面我们就介绍几种能使系统变慢的病毒。</P>
; Q! T0 y8 V- g8 j% D  S<P>　　<B>1、使系统变慢的bride病毒</B> <BR> <BR>　　病毒类型：<a href="http://www.yesky.com/SoftChannel/72348968914255872/20031231/1758665.shtml" target="_blank" ><FONT color=blue>黑客</FONT></A>程序 <BR>　　发作时间：随机 <BR>　　传播方式：网络 <BR>　　感染对象：网络<BR>　　警惕程度：★★★★</P>
<P>　　<B>病毒介绍：</B></P>
<P>　　此病毒可以在<a href="http://www.hack58.net/" target="_blank" >Windows</A> 2000、<a href="http://www.hack58.net/" target="_blank" >Windows</A> XP等操作系统环境下正常运行。运行时会自动连接www.hotmail.com网站，如果无法连接到此网站，则病毒会休眠几分钟，然后修改注册表将自己加入注册表自启动项，病毒会释放出四个病毒体和一个有漏洞的病毒邮件并通过邮件系统向外乱发邮件，病毒还会释放出FUNLOVE病毒感染局域网计算机，最后病毒还会杀掉已知的几十家反病毒软件，使这些反病毒软件失效。</P>
/ J* E# f3 ^/ D, u) {. k+ _" n" M<P>　　<B>病毒特征</B></P>
<P>　　如果用户发现计算机中有这些特征，则很有可能中了此病毒。</P>
<P>　　·病毒运行后会自动连接www.hotmail.com网站。 <BR>　　·病毒会释放出Bride.exe，Msconfig.exe，Regedit.exe三个文件到系统目录；释放出：Help.eml， Explorer.exe文件到桌面。<BR>　　·病毒会在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<a href="http://www.hack58.net/" target="_blank" >Windows</A>\CurrentVersion\Run项中加入病毒Regedit.exe的路径。<BR>　　·病毒运行时会释放出一个FUNLOVE病毒并将之执行，而FUNLOVE病毒会在计算机中大量繁殖，造成系统变慢，网络阻塞。<BR>　　·病毒会寻找计算机中的邮件地址，然后按照地址向外大量发送标题为：&lt;被感染的计算机机名&gt;（例：如果用户的计算机名为：张冬， 则病毒邮件的标题为：张冬）的病毒邮件。<BR>　　·病毒还会杀掉几十家国外著名的反病毒软件。</P>
<P>　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了Bride(Worm.bride)病毒，请用户立刻用手中的杀毒软件进行清除。</P>
1 ^0 P% [' R* m7 }: `' p; q0 O4 ]<P>　　<B>2、使系统变慢的阿芙伦病毒</B></P>
/ d. ~  V7 u" ~' U& `<P>　　病毒类型：<a href="http://www.yesky.com/SoftChannel/72348998979026944/20040211/1767341.shtml" target="_blank" ><FONT color=blue>蠕虫</FONT></A>病毒 <BR>　　发作时间：随机<BR>　　传播方式：网络/文件 <BR>　　感染对象：网络 <BR>　　警惕程度：★★★★</P>
<P>　　<B>病毒介绍：</B></P>
% Z0 L; R  }0 t+ p+ c0 X! W<P>　　此病毒可以在<a href="http://www.hack58.net/" target="_blank" >Windows</A> 9X、<a href="http://www.hack58.net/" target="_blank" >Windows</A> NT、<a href="http://www.hack58.net/" target="_blank" >Windows</A> 2000、<a href="http://www.hack58.net/" target="_blank" >Windows</A> XP等操作系统环境下正常运行。病毒运行时将自己复到到TEMP、SYSTEM、RECYCLED目录下，并随机生成文件名。该病毒运行后，会使消耗大量的系统资源，使系统明显变慢，并且杀掉一些正在运行的反病毒软件，建立四个线程在局域网中疯狂传播。</P>
/ c" B, V" I7 p7 u  G. I<P>　　<B>病毒特征</B></P>
  ^, v, M4 T9 c8 ^% n9 g<P>　　如果用户发现计算机中有这些特征，则很有可能中了此病毒：</P>
<P>　　·病毒运行时会将自己复到到TEMP、SYSTEM、RECYCLED目录下，文件名随机<BR>　　·病毒运行时会使系统明显变慢<BR>　　·病毒会杀掉一些正在运行的反病毒软件<BR>　　·病毒会修改注册表的自启动项进行自启动<BR>　　·病毒会建立四个线程在局域网中传播</P>
<P>　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“阿芙伦（Worm.Avron）”病毒，由于此病毒没有固定的病毒文件名，所以，最好还是选用杀毒软件进行清除。</P>
; j; n* |- |5 w<P>　<B>3、恶性蠕虫<a href="http://soft.yesky.com/SoftChannel/72348998979026944/20040509/1795072.shtml" target="_blank" ><FONT color=blue>震荡波</FONT></A></B> </P>
" |! H& f* m; c$ n$ C  r<p>
<P>　　病毒名称: Worm.Sasser<BR>　　中文名称: 震荡波<BR>　　病毒别名: W32/Sasser.worm [Mcafee]<BR>　　病毒类型: 蠕虫<BR>　　受影响系统:WinNT/Win2000/WinXP/Win2003</P>
<P>　　<B>病毒感染症状:</B></P>
<P>　　·莫名其妙地死机或重新启动计算机；<BR>　　·系统速度极慢，cpu占用100%；<BR>　　·网络变慢；<BR>　　·最重要的是，任务管理器里有一个叫"avserve.exe"的进程在运行！ </P>
9 w6 Y( G" _* l- f, I# [0 i<P>　　<B>破坏方式：</B></P>
4 i  `& n) w+ |8 a& t( T" r, U<P>　　·利用<a href="http://www.hack58.net/" target="_blank" >WINDOWS</A>平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。<BR>　　·和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器<BR>下载特定文件并运行，来达到感染的目的。<BR>　　·文件名为：avserve.exe</P>
( {% J+ h* o  g<P>　　<B>解决方案:</B></P>
5 E2 e- b  ]+ f; k- q6 R9 @8 v<P>　　·请到以下网址下载<a href="http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx" target="_blank" >补丁</A>升级您的操作系统，免受攻击<BR>　　·请打开个人<a href="http://www.yesky.com/SoftChannel/72348981799157760/20030611/1706856.shtml" target="_blank" ><FONT color=blue>防火墙</FONT></A>屏蔽端口：445、5554和9996，防止名为avserve.exe的程序访问网络<BR>　　·手工解决方案：</P>
<P>　　首先，若系统为WinMe/WinXP，则请先关闭系统还原功能；</P>
<P>　　步骤一，使用进程程序管理器结束病毒进程</P>
<P>　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“<a href="http://www.hack58.net/" target="_blank" >Windows</A>任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“<a href="http://www.hack58.net/" target="_blank" >Windows</A>任务管理器”；</P>
<P>　　步骤二，查找并删除病毒程序</P>
<P>　　通过“我的电脑”或“资源管理器”进入<a href="http://www.yesky.com/SoftChannel/72348973209223168/20040114/1762075.shtml" target="_blank" ><FONT color=blue>系统安装</FONT></A>目录（Winnt或<a href="http://www.hack58.net/" target="_blank" >windows</A>)，找到文件“avser ve.exe”，将它删除;然后进入系统目录(Winnt\system32或<a href="http://www.hack58.net/" target="_blank" >windows</A>\system32)，找　　到文件"*_up.exe"， 将它们删除；</P>
: }6 N/ z# C& A: D) X<P>　　步骤三，清除病毒在注册表里添加的项</P>
/ r( V& I9 K- R<P>　　打开注册表编辑器: 点击开始——&gt;运行， 输入REGEDIT， 按Enter；</P>
( ~) \$ Y* a- g/ W$ j! \<P>　　在左边的面板中， 双击（按箭头顺序查找，找到后双击）：</P>
* M. ^3 G+ g& c+ w<P>　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\<a href="http://www.hack58.net/" target="_blank" >Windows</A>\CurrentVersion\Run</P>
+ \. t; v; T8 p5 B- t" s4 ~- A<P>　　在右边的面板中， 找到并删除如下项目："avserve.exe" = %SystemRoot%\avserve.exe </P>
0 E' `1 x# v! J9 s# `0 }- U: ]; t<P>　　关闭注册表编辑器。</P>
<P><FONT face=宋体> </FONT></P>
<p>
<P><FONT color=#ff0000><B>第二部份 系统加速</B></FONT> </P>
<p>
<P>　　<FONT color=#0000ff><B>一、<a href="http://www.hack58.net/" target="_blank" >Windows</A> 98</B></FONT></P>
<P>　　<B>1、不要加载太多随机启动程序</B></P>
4 v* l/ b7 _4 T; Q  @8 V<P>　　不要在开机时载入太多不必要的随机启动程序。选择“开始→程序→附件→系统工具→系统信息→系统信息对话框”，然后，选择“工具→系统配置实用程序→启动”，只需要internat.exe前打上钩，其他项都可以不需要，选中后确定重起即可。</P>
<P>　　<B>2、转换系统文件格式</B></P>
<P>　　将硬盘由FAT16转为FAT32。</P>
% J# d# B) N& I<P>　　<B>3、不要轻易使用背景</B></P>
<P>　　不要使用ActiveDesktop，否则系统运行速度会因此减慢(右击屏幕→寻显示器属性→Web标签→将其中关于“活动桌面”和“频道”的选项全部取消)。</P>
<P>　　<B>4、设置虚拟内存</B></P>
<P>　　自己设定虚拟内存为机器内存的3倍，例如：有32M的内存就设虚拟内存为96M，且最大值和最小值都一样(此设定可通过“控制面板→系统→性能→虚拟内存”来设置)。</P>
$ B6 e( t8 k1 e  X. Z/ @<P>　　<B>5、一些<a href="http://www.yesky.com/SoftChannel/72348973209223168/20031108/1743053.shtml" target="_blank" ><FONT color=blue>优化</FONT></A>设置</B></P>
<P>　　a、到控制面板中，选择“系统→性能→<a href="http://www.yesky.com/SoftChannel/72350068425883648/20030619/1708883.shtml" target="_blank" ><FONT color=blue>文件系统</FONT></A>”。将硬盘标签的“计算机主要用途”改为网络服务器，“预读式优化"调到全速。</P>
! g" d! S) }' n<P>　　b、将“软盘”标签中“每次启动就搜寻新的软驱”取消。</P>
<P>　　c、CD-ROM中的“追加高速缓存”调至最大，访问方式选四倍速或更快的CD-ROM。</P>
<P>　　<B>6、定期对系统进行整理</B></P>
7 y- P  D% Q7 H/ h2 q' F<P>　　定期使用下列工具：磁盘扫描、磁盘清理、碎片整理、系统文件检查器(ASD)、Dr?Watson等。</P>
<P><FONT color=#0000ff><B>二、<a href="http://www.hack58.net/" target="_blank" >Windows</A> 2000</B></FONT> </P>
3 l, J" K. K! i* w% Q<p>
3 d' ], W( _# L: U, C" W/ q9 O<P>　　<B>1、升级文件系统</B></P>
<P>　　a、如果你所用的操作系统是win 9x与win 2000双重启动的话，建议文件系统格式都用FAT32格式，这样一来可以节省硬盘空间，二来也可以9x与2000之间能实行资源共享。 </P>
' G0 z& q, ?, N( e: ~<P>　　提醒：要实现这样的双重启动，最好是先在纯DOS环境下安装完9x在C区，再在9x中或者用win 2000启动盘启动在DOS环境下安装2000在另一个区内，并且此区起码要有800M的空间以上 </P>
2 j0 v! z% T3 A* u9 Q1 P<P>　　b、如果阁下只使用win 2000的话，建议将文件系统格式转化为NTFS格式，这样一来可节省硬盘空间，二来稳定性和运转速度更高，并且此文件系统格式有很好的纠错性；但这样一来，DOS和win 9x系统就不能在这文件系统格式中运行，这也是上面所说做双启动最好要用FAT32格式才能保证资源共享的原因。而且，某些应用程序也不能在此文件系统格式中运行，大多是DOS下的游戏类。 </P>
+ S& n% X  J9 T4 e+ `( }<P>　　提醒：在win 2000下将文件系统升级为NTFS格式的方法是，点击“开始-程序-附件”选中“命令提示符”，然后在打开的提示符窗口输入"convert drive_letter:/fs:ntfs"，其中的"drive"是你所要升级的硬盘分区符号，如C区；还需要说明的是，升级文件系统，不会破坏所升级硬盘分区里的文件，无需要备份。 </P>
<P align=center><IMG src="http://ww.hack58.com/Article/UploadPic/2005-7/200571275020212.jpg" align=center></P>
<P>　　· 再运行“添加-删除程序”，就会看见多出了个“添加/删除 <a href="http://www.hack58.net/" target="_blank" >Windows</A> 组件”的选项； </P>
<P>　　b、打开“文件夹选项”，在“查看”标签里选中“显示所有文件和文件夹”，此时在你安装win 2000下的区盘根目录下会出现Autoexec.bat和Config.sys两个文件，事实上这两个文件里面根本没有任何内容，可以将它们安全删除。 </P>
2 z3 M2 T* k& w' f' ~. I& P<P>　　c、右击“我的电脑”，选中“管理”，在点“服务和应用程序”下的“服务”选项，会看见win 2000上加载的各个程序组见，其中有许多是关于局域网设置或其它一些功能的，你完全可以将你不使用的程序禁用； </P>
<P>　　如：Alertr，如果你不是处于局域网中，完全可以它设置为禁用；还有Fax Service，不发传真的设置成禁用；Print Spooler，没有打印机的设置成制用；Uninterruptible power Supply，没有UPS的也设置成禁用，这些加载程序你自己可以根据自己实际情况进行设置。 </P>
2 U$ K: K- A7 f* O<P>　　各个加载程序后面都有说明，以及运行状态；选中了要禁用的程序，右击它，选“属性”，然后单击停止，并将“启动类型”设置为“手动”或者“已禁用”就行了 </P>
<P>　　d、关掉调试器Dr. Watson； </P>
& q$ s, l% H% ^( N* T; U<P>　　运行drwtsn32，把除了“转储全部线程上下文”之外的全都去掉。否则一旦有程序出错，硬盘会响很久，而且会占用很多空间。如果你以前遇到过这种情况，请查找user.dmp文件并删掉，可能会省掉几十兆的空间。这是出错程序的现场，对我们没用。另外蓝屏时出现的memory.dmp也可删掉。可在我的电脑/属性中关掉BSOD时的DUMP。</P>