我们在使用Windows XP操作系统的时候,用着用着系统就变慢了,一看“任务管理器”才发现CPU占用达到100%。这是怎么回事情呢?遇到病毒了,硬件有问题,还是系统设置有问题,在本文中笔者将从硬件,软件和病毒三个方面来讲解系统资源占用率为什么会达到100%。
经常出现CPU占用100%的情况,主要问题可能发生在下面的某些方面:
CPU占用率高的九种可能
1、防杀毒软件造成故障
由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式:基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
2、驱动没有经过认证,造成CPU资源占用100%
大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。 处理方式:尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本。
3、病毒、木马造成
大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。解决办法:用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。
4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键,改为手动。
5、开始->;运行->;msconfig->;启动,关闭不必要的启动项,重启。
6、查看“svchost”进程。
svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。
7、查看网络连接。主要是网卡。
8、查看网络连接
当安装了Windows XP的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配 CPU资源来为这些连接提供服务。当负荷过重的时候,CPU占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源。
要解决此问题,我们可以通过修改注册表来解决:在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver ]分支,在右侧窗口中新建一个名为“maxworkitems”的DWORD值。然后双击该值,在打开的窗口中键入下列数值并保存退出:
如果计算机有512MB以上的内存,键入“1024”;如果计算机内存小于512 MB,键入“256”。
9、看看是不是Windows XP使用鼠标右键引起CPU占用100%
前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用,我们来看看是怎么回事?
征兆:
在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下面所列问题:
任何文件的拷贝操作在那个时间将有可能停止相应
网络连接速度将显著性的降低
所有的流输入/输出操作例如使用Windows Media Player听音乐将有可能是音乐失真成因:
当你在资源管理器里面右键点击一个文件或目录的时候,当快捷菜单显示的时候,CPU占用率将增加到100%,当你关闭快捷菜单的时候才返回正常水平。
解决方法:
方法一:关闭“为菜单和工具提示使用过渡效果”
1、点击“开始”--“控制面板”
2、在“控制面板”里面双击“显示”
3、在“显示”属性里面点击“外观”标签页
4、在“外观”标签页里面点击“效果”
5、在“效果”对话框里面,清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。//本文引用自www.45it.com电脑软硬件应用网
方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。
CPU占用100%解决办法
一般情况下CPU占了100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了。
当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要CPU正常了那就没问题;如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去google或者baidu搜。有时只结束是没用的,在xp下我们可以结合msconfig里的启动项,把一些不用的项给关掉。在2000下可以去下个winpatrol来用。
一些常用的软件,比如浏览器占用了很搞的CPU,那幺就要升级该软件或者干脆用别的同类软件代替,有时软件和系统会有点不兼容,当然我们可以试下xp系统下给我们的那个兼容项,右键点该.exe文件选兼容性。
svchost.exe有时是比较头痛的,当你看到你的某个svchost.exe占用很大CPU时你可以去下个aports或者fport来检查其对应的程序路径,也就是什幺东西在掉用这个svchost.exe,如果不是c:\Windows\system32(xp)或c:\winnt\system32(2000)下的,那就可疑。升级杀毒软件杀毒吧。
右击文件导致100%的CPU占用我们也会遇到,有时点右键停顿可能就是这个问题了。官方的解释:先点左键选中,再右键(不是很理解)。非官方:通过在桌面点右键-属性-外观-效果,取消”为菜单和工具提示使用下列过度效果(U)“来解决。还有某些杀毒软件对文件的监控也会有所影响,可以关闭杀毒软件的文件监控;还有就是对网页,插件,邮件的监控也是同样的道理。
一些驱动程序有时也可能出现这样的现象,最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当的升级驱动,不过记得最新的不是最好的。
CPU降温软件,由于软件在运行时会利用所以的CPU空闲时间来进行降温,但Windows不能分辨普通的CPU占用和降温软件的降温指令之间的区别,因此CPU始终显示100%,这个就不必担心了,不影响正常的系统运行。
在处理较大的word文件时由于word的拼写和语法检查会使得CPU累,只要打开word的工具-选项-拼写和语法把”检查拼写和检查语法“勾去掉。
单击avi视频文件后CPU占用率高是因为系统要先扫描该文件,并检查文件所有部分,并建立索引;解决办法:右击保存视频文件的文件夹-属性-常规-高级,去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾。
CPU占用100%案例分析
1、dllhost进程造成CPU使用率占用100%
特征:服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。
直接原因:
有一个或多个ACCESS数据库在多次读写过程中损坏,微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其它线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。//本文引用自www.45it.com电脑软硬件应用网
解决办法:
安装“一流信息监控拦截系统”,使用其中的“首席文件检查官IIS健康检查官”软件,
启用”查找死锁模块”,设置:
--wblock=yes
监控的目录,请指定您的主机的文件所在目录:
--wblockdir=d:\test
监控生成的日志的文件保存位置在安装目录的log目录中,文件名为:logblock.htm
停止IIS,再启动“首席文件检查官IIS健康检查官”,再启动IIS,“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。
过了一段时间后,当问题出来时,例如CPU会再次一直处100%的水平,可以停止IIS,检查logblock.htm所记录的最后的十个文件,注意,最有问题的往往是计数器类的ACCESS文件,例如:”**COUNT.MDB”,”**COUNT.ASP”,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动IIS,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。
找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决了。
2、svchost.exe造成CPU使用率占用100%
在win.ini文件中,在[Windows]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒,与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞,通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。
当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年,如果是,受感染的服务器也会重新启动。当Windows NT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe,受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节,VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时,VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来。值得一提的是,该网络蠕虫程序除了文件explorer.exe外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。
”程序的文件名,再在整个注册表中搜索即可。
我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。//本文引用自www.45it.com电脑软硬件应用网
svchost.exe到底是做什幺用的呢?
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?
svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。
svchost.exe是病毒这种说法是任何产生的呢?
因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。
如何才能辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?
svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示一个独立的svchost.exe组。
微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了svchost.exe进程的相关情况。总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。
3、Services.exe造成CPU使用率占用100%
症状
在基于 Windows 2000 的计算机上,Services.exe 中的 CPU 使用率可能间歇性地达到100 %,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。
解决方案
Service Pack 信息
要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack
修复程序信息
Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此,如果这个问题没有对您造成严重的影响,Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。
要立即解决此问题,请与“Microsoft 产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表,请访问 Microsoft Web 站点:
注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用。
下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。
状态
Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。//本文引用自www.45it.com电脑软硬件应用网
4、正常软件造成CPU使用率占用100%
首先,如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。接着,依次取消可疑选项前面的对钩,然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。
如果是使用电脑途中出项这类问题,可以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC),进入”进程“选项卡,看”CPU“栏,从里面找到占用资源较高的程序(其中SYSTEM IDLE PROCESS是属于正常,它的值一般都很高,它的作用是告诉当前你可用的CPU资源是多少,所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后,可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换,问题即可得到解决。
5、病毒、木马、间谍软件造成CPU使用率占用100%
出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描 。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。
svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。
6、explorer.exe进程造成CPU使用率占用100%
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的
Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
7、超线程导致CPU使用率占用100%
这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中关闭超线程功能解决。
8、AVI视频文件造成CPU使用率占用100%
在Windows XP中,单击一个较大的AVI视频文件后,可能会出现系统假死现象,并且造成exploere.exe进程的使用率100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决方法:右键单击保存视频文件的文件夹,选择”属性—>常规—>高级“,去掉”为了快速搜索,允许索引服务编制该文件夹的索引“前面复选框的对钩即可。
9、杀毒软件CPU使用率占用100%
现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。
10、处理较大的Word文件时CPU使用率过高
上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。
11、网络连接导致CPU使用率占用100%
当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEY—LOCAL—MACHNE\SYSTEM\CurrentControlSet\Services\lanmanserver,在右面新建一个名为";maxworkitems";的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为";1024";,如果小于512,就设置为256.//本文引用自www.45it.com电脑软硬件应用网
一些不完善的驱动程序也可以造成CPU使用率过高
经常使用待机功能,也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降,系统启动速度变慢,也会使是系统在运行一些大型软件和游戏时CPU使用率100%,产生停顿。
进程占用CPU 100%时可能中的病毒
system Idle Process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
Spoolsv.exe
进程文件: spoolsv or Spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
Spoolsv.exe,如果常增高,有可能是病毒感染所致
目前常见的是:
Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
危害程度:中
受影响的系统: Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux,
病毒危害:
1. 生成病毒文件
2. 插入正常系统文件中
3. 修改系统注册表
4. 可被黑客远程控制
5. 躲避反病毒软件的查杀
简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使用异常频繁......
Backdoor.Win32.Plutor
破坏方法:感染PE文件的后门程序
病毒采用VC编写。
病毒运行后有以下行为:
1、将病毒文件复制到%WINDIR%目录下,文件名为";Spoolsv.exe";,并该病毒文件运行。";Spoolsv.exe";文件运行后释放文件名为";mscheck.exe";的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行";Spoolsv.exe";文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。
2、修改注册表以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:";Microsoft Script Checker"; 数据为:";MSCHECK.EXE /START";
修改该项注册表使";MSCHECK.EXE";文件每次系统激活时都将被运行,而";MSCHECK.EXE";用于运行";Spoolsv.exe";文件,从而达到病毒自激活的目的。
3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含";winnt";、";Windows";字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。
4、试图与局域网内名为";admin";的邮槽联系,创建名为";client";的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务:
显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。
那些病毒会造成CPU占有率过高
震荡波蠕虫
利用微软操作系统的LSASS缓冲区溢出漏洞进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性,病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。
如果中了这种病毒可采用下面的四种方法进行清除。
1、断网打补丁
如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
2、清除内存中的病毒进程
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。
3、删除病毒文件
病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为<;随机字符串>;_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。
4、删除注册表键值
该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%Windows%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器,找到该病毒键值,然后直接删除。
bride病毒
此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行,病毒运行时会释放出一个FUNLOVE病毒并将之执行,而FUNLOVE病毒会在计算机中大量繁殖,造成系统变慢,网络阻塞。
病毒清除方法
此病毒可以用趋势、诺顿、瑞星、金山和江民等杀毒软件进行清除。
小知识:系统进程
一款好的防火墙并不能发现所有病毒;一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单——手工杀毒。而要论到手工杀毒,就不能不提到系统进程了。
进程、病毒?
书上说:“进程为应用程序的运行实例,是应用程序的一次动态执行。”看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那幺及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。
如何打开系统进程列表?
要通过进程列表查看系统是否染毒,必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开方法,但能够显示的能力却因(系统)不同,有所差异:
1.Windows 98 /Me系统
打开系统进程的方式很简单,快捷键“Ctrl+Alt+Delete”(如图1),这个窗口大家应该比较熟悉,使用Windows系统的用户都知道用这个方法来关闭程序,不过它同样用于显示系统进程,只是Windows 98系统较初级,对进程的显示局限于名称,且里面所显示的还有打开的文件及目录名,查看时易混淆。Windows Me的进程打开方式和Windows 98相同。
Windows 9x系统打开的进程列表混乱且不完全,显然不便于查看系统的具体进程状况,所以建议使用一些工具程序来为Windows 9x系统显示进程,如“Windows优化大师”,在“优化大师”的“系统安全优化”项内打开“进程管理”,在图2所示的“Windows 进程管理”窗口内,可以详细查看当前计算机所运行的所有进程,及具体程序所在的位置,这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。
2.Windows 2000/ XP/2003系统
Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同,只是三键后打开的是“Windows 任务管理器”窗口,需要选择里面的“进程”项。Windows 2000系统只显示具体进程的全名,占用的内存量;Windows XP、Windows 2003系统相比Windows 2000会显示该进程归属于那个用户下,如操作系统所必须的基础程序,会在后面的“用户名”内显示为“SYSTEM”,由用户另外开启的程序则用户名为当前的系统登录用户名。
经进程发现病毒
在介绍具体的查毒和杀毒前,笔者先回答开篇提出的两个问题。为什幺杀毒软件并不能全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。 回到原来话题上!通过进程如何发现和杀掉病毒呢?由前面的知识介绍可知,Windows 9X和Windows 2000系统只能显示进程的名称,这对判断该进程是否是病毒还不够,如果要准确的断定病毒,最好使用前面介绍的“Windows优化大师”来查看进程程序的源路径,如果是“C:\Windows\system”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和Windows 2003系统,进程后会有“用户名”的显示,病毒是不可能获得“SYSTEM”权限的,所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒,可以立即“杀掉”。这里介绍两个技巧:
1.发现可疑进程后,利用Windows的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法,譬如由路径“C:\Program Files\3721\assistse.exe”知道该程序是3721的进程,是合法的。
2.在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到googl.com或baidu.com这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。
确定了该进程是病毒,首先应该杀掉该进程,对于Windows 9x系统,选中该进程后,点击下面的“结束任务”按钮,Windows 2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可,完成后最好在进行一次杀毒,这样就万无一失了。
一次利用进程杀毒的具体过程是这样的:“通过进程名及路径判断是否病毒——杀掉进程——删除病毒程序”,为了让读者更好的判断进程,在这里补充一些Windows的进程资料给大家:
进程名描述
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
Spoolsv.exe 将文件加载到内存中以便迟后打印。
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)→remoteregister
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护资源管理器。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。
微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。
以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。
如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了svchost.exe进程的相关情况。总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。
[查看全文]
[查看全文]关于重发《打造“双重”激活(“OEM激活”和“联网激活”)的Windows 7旗舰版》的说明
2010年01月21日 星期四 06:01
[升级] 盗版Windows:XP系统SP2升级SP3完美方案(补充SP3系统优点)
[url=" target=_blank]我要投稿[/url] 参与评论 进入论坛 2008-12-5 来源:chnren 作者:lfx6624708 41027
鉴于目前有些BT的游戏要求XP系统一定是SP3版本的才能运行,比如:《兄弟连-地狱之路》、比如目前最火的《侠盗猎车4》(官方配置要求:SP3),很多人一定很头疼~~想升级至SP3,但是苦于没有绿色版的安装程序,用盗版系统直接去升级干脆系统就被封了;若换系统则面临着系统全部重做,积累的很多资料和游戏又没了着落~现在我给大家发布一个盗版XPSP2系统升级SP3的方案,如下:
敬告:1、本升级方案切实、可行,请各位拟采纳本方案升级的用户请在升级前备份好原系统,(GHOST备份或其他)以备不测!
2、本升级方案仅仅针对WindowsSP2系统升级SP3系统,其他版本一律不支持,看清楚再升级,望慎重!
3、依照本方案进行升级,事前请关闭所有防火墙(包括系统自带的)、杀毒软件,在安装期间不能开启任何程序或甚至网页,一句话:你就看着它别动!
声明:1、本升级方案非任何官方或者组织发布,本人原创,本方案可能会出现软件兼容问题、游戏兼容问题、系统工具兼容问题等等(虽然本人经过6个月的使用,没有发现任何兼容问题),敬各位用户斟酌使用;
2、如若有用户使用该方案而产生了任何系统不良反应,请自查使用该方案的方法和步骤是否正确,或者进行了其他不良操作。
3、本人对可能出现的用户使用该方案造成系统崩溃(尽管可能性微乎其微),不承担任何责任,请各位选择使用。
一、错误使用SP2升级SP3系统后造成的不良反应:
盗版用户直接使用微软官方的SP2更新SP3升级包,安装之后,登陆桌面的时候就出现一个对话框:“一个问题阻止Windows正常检查此机器的许可证。错误代码:0x80070002”登陆不了桌面。这一错误会导致系统随机出现重启,停止号 浏览器自锁 。
原因分析:因为当前的操作系统没有得到微软认证最新的Service Pack 3补丁包。
二、 MS51-002是微软最新WindowsXP service pack 3(sp3)。如果你用的不是正版,装完后开机会进不了系统,同时提示产品激活出错。
原因分析:出现这个问题是因为系统本身不是正版的,所以需要一个处理这个认证问题的文件:oembios.bin
三、~盗版WINDOWS SP2升级至SP3方案~~
1、确保你的系统盘(通常C盘)空间大于5G;
2、从微软官方下载正版SP2升级SP3系统的升级补丁:
地址:
或者:
3、首先查看在你的系统目录C:\Windows\System32下有没有oembios.bin这个文件,如果有,请从C盘复制出来备用;如果没有那么:
下载地址:http://www.rayfile.com/files/9865ffeb-c214-11dd-bac6-0019d11a795f/
4、 运行微软官方SP3更新补丁(即WindowsXP-KB936929-SP3-x86-CHS),安装完毕后务必不要选择立即重启电脑,先退出,然后把备份(或你下载)的oembios.bin复制到C:\Windows\System32文件夹下,然后重启即可。
(在此如果选择了立即重启,那重启后按F8从安全模式里把oembios.bin复制到C:\Windows\System32也可,不过很麻烦。进入安全模式:在重新启动电脑时,连续按F8键直至出现引导界面!
5、如果上述方法操作正确,那么恭喜你安装成功。
四、其他问题
在进行了上述操作后,会出现一个很棘手的问题:盗版用户成功升级SP3系统后,桌面的主题界面会无法更改,即使你重新安装主题界面,也会发现无法更改,而只能使用Windows的原始主题,关于这一点,不用在强调了吧??因为你是盗版偷转正的,微软很狡猾。
解决办法:
1、重新启动电脑一直按F8进入安全模式里 C:\Windows\System32 找到 uxtheme.dll,将其改名,比如改为uxtheme.dll.bak—— (注意备份未改名的该文件)
2、将破解的uxtheme.dll文件复制到C:\Windows\System32里。
破解的uxtheme.dll下载地址(内含EvID4226Patch和uxtheme.dll):
http://www.rayfile.com/files/4167753a-c215-11dd-acd6-0019d11a795f/
3、双击EvID4226Patch,键入YES确认;
4、重启系统后删除被改名的uxtheme.dll.bak 这时就可以显示主题界面了。
OK,写了很长时间,大家酌情使用。
windows XP SP3 新功能特性:
·黑洞路由侦测
·网络访问保护(NAP)
·安全选项界面更详尽
·增强的管理员安全和服务策略入口
·内核模式加密模块
·Windows产品激活模式改变:
支持蓝牙网络设备
包含“Windows XP 网络诊断”组件(IE的“工具”菜单中)
包含远程桌面连接 6.1 客户端
包含“网络访问保护”客户端
包含“Windows Imaging Component”
包含“Microsoft 管理控制台 3.0 ”
包含“Microsoft Core XML Services 6.0”
包含“Windows Installer 3.1 v2 ”
包含“后台智能传输服务 (BITS) 2.5”
包含“对等名称解析协议(PNRP) 2.1”
包含“Wi-Fi Protected Access 2”
主要就以上这些,还有修正了很多BUG!
Windows XP SP3提供了新的内核模式加密模块,可以让内核驱动和服务更为稳固。而测试版至少包含了1073个补丁,包含了很全的安全更新,让XP的安全性大大提高。
节省资源,稳定性、兼容性更强
XP之所以生命力这么长久,和它自身的资源耗用低和对软硬件良好的支持是分不开的。加入SP3的XP,对软硬件的支持更广泛,这点也是目前硬件驱动程序支持不完善、软件兼容性不好、多数游戏性能落后的Vista目前所不能比的。
加强吸收Vista优势
引入Vista特征
此次的XP SP3还引入了一些Vista和Windows Server 2008的一些特征,如内核安全改良、网络接入保护模块和策略等。让XP的实力又上一层,虽然还缺乏了Vista的一些漂亮外衣,但是从功能上比较,Vista的优势已经很少了。
[查看全文]
[原创] 【新手必读】启动盘讨论区基础知识小全
| 了方便大家解决启动(光)盘制作中的一些常见问题,特开此帖。老毛桃会不断将一些启动(光)盘制作中的基本知识、技能等方面的文章添加到此帖。以便查询和使用。 帖子中部分内容是老毛桃自己整理,也有不少是直接引用了部分精华帖子和其它论坛中的相关帖子,仅供大家学习和查询使用,因此具体作者名称请恕老毛桃无法一一注明。 一、WINNT.SIF 详解 最近有不少会员发帖求助 Windows 安装中的一些问题,其实有些问题是由于应答文件 WINNT.SIF 中的设置不妥造成的,老毛桃今天整理一下资料,将 Winnt.SIF 的详细说明帖一下。有需要的朋友不妨看看。 其实,WINNT.SIF 还有其他的一些参数,不过有一些不常用,就略去了。
复制代码 |
[下载] 大地U盘PE+装机人员DOS维护工具
| 很多时候在系统不能启动的情况下又要把硬盘里面的数据保存下来那么我们在这提供一个很好的工具那就是PE系统 相信大家对PE系统也有所了解,但很多人还是不知道能够用最简单的方法安装在U盘里以便日后更好的在维护电脑方面发挥。 现在我就教大家如何把PE系统安装在U盘里。 首先下载大地PE维护工具并解压 运行GHOST32
2010-2-7 13:29
2010-2-7 13:29
2010-2-7 13:29
2010-2-7 13:29
2010-2-7 13:29
2010-2-7 13:29
2010-2-7 13:29
2010-2-7 13:29
2010-2-7 13:29
2010-2-7 13:29 迅雷下载地址:thunder://QUFodHRwOi8vYmJzLmhpMjIwLmNvbS90b29sL2RhZGlfcGVkb3MucmFyWlo= 快车下载地址:Flashget://W0ZMQVNIR0VUXWh0dHA6Ly9iYnMuaGkyMjAuY29tL3Rvb2wvZGFkaV9wZWRvcy5yYXJbRkxBU0hHRVRd&1926 旋风下载地址:qqdl://aHR0cDovL2Jicy5oaTIyMC5jb20vdG9vbC9kYWRpX3BlZG9zLnJhcg== 请注意:制作前如果U盘或移动硬盘有资料的话请备份好,安装的同时资料会全部自动删除 |
| 2月12日凌晨1点消息,针对Windows 7逐渐增多的盗版现象,微软全球官方博客透露,将在北京时间2月17日发布最新的激活技术更新文件,安装该更新的Windows 7将能够自动识别用户所使用的电脑系统是否为盗版。如果是盗版,系统将提示用户,并把桌面换为黑色。微软方面表示,这一补丁可以识别目前已有的70多种系统破解方式,市面上出现的Windows 7盗版方式将失效。 针对Windows 7逐渐增多的盗版现象,微软全球官方博客透 露,将在北京时间2月17日发布最新的激活技术更新文件,安装该更新的Windows 7将能够自动识别用户所使用的电脑系统是否为盗版。如果是盗版,系统将提示用户,并把桌面换为黑色。微软方面表示,这一补丁可以识别目前已有的70多种系 统破解方式,市面上出现的Windows 7盗版方式将失效。 这一更新文件将在北京时间2月17日正式上线,据了解,该系统将首先被发布在微软官方博客上,之后的2月底将被放入Windows updates(自带自动更新程序)的列表当中。其中,针对中国用户,放入自动更新列表的时间定在今年夏季。 更新可查出70多种盗版方式 Windows 7在去年10月22日的正式发布,这之后微软称这款操作系统受到前所未有的追捧。据微软公开数据显示,截至12月底,Windows 7用户已经超过6000万。微软方面表示,Windows 7大受欢迎也让盗版现象泛滥,目前市场上已经出现了70多种破解Windows 7激活技术的方法。 “有的通过修改注册时间,有的通过设置关掉激活程序,我们监测出了各种破解的方法。”微软中国Windows 7商用市场总监包嘉峰介绍,这个更新包已经覆盖了已知的破解方式。 据他介绍,通过对“Windows激活技术”的更新,电脑安装后会自动重新检测激活技术的运行状况,在修复激活技术的同时判别系统是否为正版。 微软全球正版Windows部门总经理Joe Williams表示:“如果验证后确认是盗版,用户将收到及时提醒,以及通过何种途径获得正版。” 将随新盗版方式出现而更新 这是微软首次在发布一款Windows系统后推出“Windows 激活技术”的更新文件。据了解,微软将随着检测出的新盗版方式而不断更新这一技术。 微软相关人士表示,这就像是电脑病毒制造者和杀毒软件商,一方面杀毒软件商提供已知病毒的查杀方法,一方面制造者在制造新的病毒。而微软将不断更新激活技术,使新的盗版方式失效。 将成为“重要更新”之一 中国地区夏季最晚发布 微软官方博客表示,2月17日将把这一更新包放在微软官方网站上,用户可自己下载升级,而在2月底,这项更新将成为一项Windows Update中的“重要更新”。不过,在中国市场,这项更新程序成为“重要更新”的时间将从今年夏季开始。 这将是微软反盗版的另一次高潮,不过这次微软的推进方式相对柔和了很多。 使用Windows的用户都知道,Windows Update程序是一项Windows系统自带的系统升级软件,用户可以设置自动安装最新的系统补丁,或选择让系统在安装前提示用户。这也就是说,盗版用户可以选择不安装这项“重要更新”。 “中国地区是唯一不与全球同步的市场,而且时间上还没有最后确定,只能说在第三季的夏季左右。”微软中国消费与在线市场部总经理韦青说到。 韦青表示,这一方面是因为中国市场非常重要,另一方面是因为中国市场需要更多的时间教育消费者,希望他们能通过得知自己的系统是盗版而购买正版软件。 微软中国将同时加大宣传力度 或用降价方式鼓励正版 韦青表示,微软中国在年后将展开一系列活动推行正版,其中包括对这次更新的宣传,以及在价格上进行调整以鼓励消费者购买正版。 “正版用户除了可以避免各类盗版的恶意代码之外,还可以下载使用包括免费杀毒软件Windows Security Essentials之类的程序。”韦青表示,微软为正版用户提供了很多独有的应用,这样能使用户更安全。 但这些信息在中国市场的知晓程度并不能让微软满意,这也是微软将加大宣传活动的初衷。 除了宣传之外,包嘉峰表示,微软中国也在讨论一些实际的方式鼓励正版。“我们曾设想过让那些主动更新检测是否盗版的用户享受一些价格方面的优惠,但具体的方案并没有确定。” |
雨浪飘零教程 Windows XP 集成安装光盘制作完全教程
第一章 制作集成SP2的Windows XP 安装光盘
本章讲述如何制作一张集成SP2的Windows XP安装光盘。
1 所需工具:
(1) XP安装光盘
(2) XP SP2
(3) Cdimage
(4) IsoBuster
(5) VMware(或Virtual PC)
2 集成:
先把XP安装盘内的所有内容拷贝到硬盘的一个目录里,比如d:\xpcd\winxp。
用winrar解压SP2包,或者在“开始/运行”里输入“d:\xpsp2.exe /x”把它解压到硬盘,比如d:\xpcd\sp2。然后输入“d:\xpcd\sp2\i386\updte.exe -s:\xpcd\winxp”进行集成。
其实sp2已经具备了sp2包直接集成的功能,并不需要先解压了。你可以用 “d:\xpsp2.exe -s:\xpcd\winxp”命令直接集成。
3 提取引导文件:
把安装光盘放进光驱,打开IsoBuster,选中光盘所在光驱盘符,在“bootimage.img”点击右键,选择“抽取bootimage.img”并保存为文件,假设放到d:\xpcd目录下。
当然你也可以用现成的光盘引导文件,比如bootsect.bin等,这些都可以在网上找到,效果是相同的。
4 制作光盘ISO:
把cdimage.exe放到d:\xpcd目录下,在运行里输入“cdimage –lWinXPSP2 -t08/10/2004,00:00:00 -h -m -n –bd:\xpcd\bootimage.img CD d:\winxpsp2.ISO”,将会弹出一个正在制作ISO文件进程的Dos窗口,结束后,你就可以在你的d盘下看到你制作的光盘镜像文件了。
你可以直接刻盘,如果不放心的话,可以用DAEMON Tools等虚拟光驱加载它,看是否正常,还可以用VMware Workstation虚拟计算机来测试它是否能够引导,更可以安装它看是否完美。
第二章 制作多合一的Windows XP SP2安装光盘
本章讲述如何制作一张多个版本共同存在的Windows XP SP2安装光盘。也就是现在流行的多合一的安装光盘。这里我们以制作oem和vlk二合一版本为例来讲解,为了方便制作和讲解,建立统一目录,假设为d:\xpcd\winxp,此目录为光盘根目录。
1 所需工具:
(1) 多个版本的XP安装光盘,这里我们以二合一为例来讲。
(2) XP SP2
(3) Cdimage
(4) IsoBuster
(5) UltraEdit
(6) Xxcopy
(7) Winimage
2 准备工作:
a) 要下载Windows XP的启动软盘,它的作用是让光盘在启动时能够模拟软盘启动,做到一个软盘对应一个安装文件。大家放心,这里的启动软盘并不是Win98启动软盘,而是Windows XP专用的启动盘,它带有NTFS、SCSI、RAID等驱动,所以完全可以识别NTFS分区。
下载地址:(这个是PRO版的,只能用在PRO的安装盘上,)
http://www.microsoft.com/downloa ... 5-BCB7-4FED408EA73F
下载后用是个安装文件,不过不要安装,除非你有软驱(有软驱也很麻烦),直接以能干Winrar进行解压,解压后会有8个文件,其中6各是软盘镜像。如下图:
b) 用Winimage把其中的cdboot几个文件解压到同一个目录中,假设为d:\xpcd\root。
C) 把两张安装光盘里的内容分别拷贝到d:\xpcd\winxp下的两个目录内,假设为d:\xpcd\winxp\oem、d:\xpcd\winxp\vlk。
3 集成SP2:
用 “d:\xpsp2.exe -s:d:\xpcd\winxp\oem”和“d:\xpsp2.exe -s:d:\xpcd\winxp\vlk”命令分别队两个版本安装文件集成SP2。
4 替换启动盘组文件:
把d:\xpcd\root下面的文件用d:\xpcd\winxp\oem\i386目录下面的文件替换,即把启动软盘组中的文件也替换为集成SP2后的文件。注意:一定不要替换system32中的文件,否则无法安装。
要替换这一大堆文件比较繁琐,可以用xxcopy来做:把下载到的xxcopy放到d:\xpcd下,执行命令“xxcopy d:\xpcd\winxp\oem\i386 d:\win2k\root\ /U /E /YY”。Xxcopy的作用就是可以复制目标目录下的相同文件到原始文件夹。经过这样替换后,root目录下的文件都已经和i386目录下的文件一样了。
5 复制文件
复制2份root文件夹到d:\xpcd\winxp目录,一个改名为oemx,一个vlkx,分别和oem版和vlk版的安装文件对应。
6 修改setupldr.bin:
用Ultraedit打开d:\xpcd\winxp\oemx\setupldr.bin,用ASCII方式搜索替换“i386”为“OEMX”,总共有4个地方。注意,这里的oemx一定要是大写的,因为刻录成光盘后,这些文件夹和文件都会自动转换为大写的,如果在这里是小写的话,到时就会提示找不到NTDETECT文件了。因为这个文件是告诉安装程序从哪里启动。
用同样方法把d:\xpcd\winxp\vlkx\setupldr.bin中的i386替换为VLKX。
7 修改txtsetup.sif:
用Ultraedit打开d:\xpcd\winxp\oemx\txtsetup.sif,搜索替换“SetupSourcePath = "\"”为“SetupSourcePath = "\oem"”;用Ultraedit打开d:\xpcd\winxp\vlkx\txtsetup.sif,搜索替换“SetupSourcePath = "\"”为“SetupSourcePath = "\vlk"”。这个文件时告诉安装程序从哪里复制安装文件。
8 修改光盘引导文件:
用第一章里的方法提取光盘引导文件,复制两份,分别命名为oemxp.bin和vlkxp.bin。用Ultraedit打开oemxp.bin,搜索替换i386为OEMX;用Ultraedit打开vlkxp.bin,搜索替换i386为VLKX。都只有一处。
9 制作启动菜单:
制作启动菜单的方法和工具有很多种,推荐使用现在最流行的图形化启动菜单制作工具easyboot。
把oemxp.bin和vlkxp.bin复制到d:\xpcd\winxp\ezboot目录中(这个文件夹是easyboot所带的存放引导文件的文件夹)。
在菜单命令行里分别对应oemxp.bin和vlkxp.bin,就可以分别引导oem版的XP和vlk版的XP了。Easyboot的使用方法请参考软件帮助,如果疑问比较多的话,我再专门开贴讲解。
10 制作ISO:
把cdimage.exe放到d:\xpcd目录下,在运行里输入“cdimage –lWinXP_SP2_2in1 -t08/10/2004,00:00:00 -h -m -n –bd:\xpcd\loader.bin CD d:\winxp_sp2_2in1.ISO”,将会弹出一个正在制作ISO文件进程的Dos窗口,结束后,你就可以在你的d盘下看到你制作的光盘镜像文件了。
你可以直接刻盘,如果不放心的话,可以用DAEMON Tools等虚拟光驱加载它,看是否正常,还可以用VMware Workstation虚拟计算机来测试它是否能够引导,更可以安装它看是否完美。
如果你要集成更多的xp版本的话,记本制作方法是一样的,你所需要改变的就是增加原装文件相对应的引导文件,例如启动盘组、引导文件等。
第三章 制作无人值守安装光盘
前面两章我们学习了怎样制作集成SP的安装光盘,这张盘是一张很“干净”的安装盘。其实我们还可以对这张盘做更深的加工。主要目的:
1 集成零散的补丁
2 无人值守安装
3 替换某些破解文件
这一章我不想再写了,因为已经有一个很好的教程了,呵呵,偷懒一下,引用最完整的无人值守安装光盘的制作教学网站:http://www.cctips.com/Unattended/xp/index.htm
http://www.yesky.com/SoftChannel ... 30918/1729780.shtml
第四章 集成各种补丁和软件
因为SP2刚刚出来,目前还没有可用的关键更新,所以我就暂时以SP1时代的补丁为例例进行说明。
1 传统的集成方法
是采用微软的方法,即利用批处理来完成补丁程序的调用,再利用CMDLINES.TXT或者Winnt.sif中RunOnceE功能来实现补丁和其他程序的自动安装。系统安装时会寻找CMDLINES.TXT中的内容,并依次执行其中的内容。我们只要在“[Commands]”后面的每行中加入我们需要运行的程序或者批处理文件就可以实现自动安装。
方法:把所有需要安装的补丁(包括Directx9.0b、MediaPlayer9.0等)放到光盘“$OEM$\$1\INSTALL”目录下,再编写一个或多个批处理来让他们依次执行安装。在安装过程中,安装程序会先把“$1”目录下所有文件都拷贝到硬盘系统盘下,然后再执行CMDLINES.TXT或者Winnt.sif中的RunOnceE行来执行文件。
这种方法界面单一且不好看,是黑咕隆咚的很难看的DOS窗口。现在已经很少有人采用这种方法了。
2 Xpinstall
Xpinstall是澳大利亚一位网友写的一个安装程序,它可以自动执行脚本,并用漂亮的界面代替DOS窗口。另外它还支持XML脚本,我们只需要在一个脚本文件里编写所有的执行命令。如果你要制作全自动集成安装光盘的话,它使你最好的选择。XPINSTALL最新版本是4.3版,你可以到
Xpinstall主文件有2个,还有一个文件夹,只要把XPINSTALL.EXE和XPINSTALL.XML这两个文件和IMAGES文件夹拷贝到“$OEM$\$1\INSTALL”目录下,并把所要安装的补丁和程序也拷贝到“$OEM$\$1\INSTALL”目录下。
剩下的事情就是编写XPINSTALL.XML了。你所需要修改的就是像“”这一段的内容,其中“file name='Applying Microsoft Jscript...”这一句是安装过程中显示在安装届面上的当前正在安装的补丁或者程序的名称;“#SYSTEMDRIVE#\INSTALL\Hotfixes\js56nchs.exe”这一处使指定所要执行文件的位置和名字;“arguments='/Q:A /R:N”这个是当前补丁或者程序的静默安装参数。
在这些行里修改所有的补丁和程序,把多余的行删除掉,然在后再CMDLINES.TXT或者Winnt.sif中的RunOnceE行指定运行xpinstall.exe就可以了。
其实XPINSTALL.XML里还有很多地方可以修改,比如开头的这一段,你可以在这里指定安装窗口显示名称、窗口位置、每次显示的数量等。这些你就自己去琢磨去吧,多玩玩这些对你有好处,呵呵。
- *本站禁止HTML标签噢* Windows Update</hidewindow>
- <show total='6' after='2' />
- <font face='Tahoma' antialias='true' small='8' large='14' />
- <window width='440' position='8' fixmain='0' />
- *本站禁止HTML标签噢* Standalone</windowmode>
复制代码
第五章 如何在集成SP1的XP基础上制作完美VLK SP2版
很多朋友希望能够在VLK版原盘的基础上集成sp2,以保证集成后的完美。其实完美不完美只是你的心理作用,因为集成sp2后,被替换的文件是相同的,也就是说你在原版的基础上集成出来的安装文件和在sp1基础上集成出来的安装文件,在效果上是一样的,唯一不同的只是在sp1基础上集成出来的有很多sp1时代留下的无用文件。有丰富集成SP经验的朋友都会知道的。
看到大家都在寻找VLK原版的安装盘,能找到固然是好事,找不到也不必那么费事,你要做的,就是删除那些SP1时代遗留的无用文件而已。我可以保证这样做出来的SP2安装盘和你在原盘基础上做出来的几乎是一模一样!
下面我就讲一下如何在集成SP1的VLK版基础上制作完美的VLK SP2集成版。当然,如果有原版的VLK的话就不在讨论之列了。(问题在于你真的能找到吗?呵呵)
1、准备:
未集成sp1的任何版本的XP安装盘(其实只要i386目录就可以)
集成SP1的VLK版XP安装盘
中文SP2 RTM 2180
BEYONDCOMPARE2(比较文件和目录的工具)
2、集成:
a 分别复制原版的XP安装盘和集成SP1的VLK安装盘的所有文件到硬盘目录
b 解压SP2包
c 分别集成SP2到两个安装盘里
3、比较:
打开BEYONDCOMPARE2,选择比较目录,分别指定两个版本安装盘的i386目录,确认后打开,这时你会看到软件的两边分别显示的是这两个目录内的文件。
选择菜单 “查看--显示过滤器--仅不匹配”,这时你会看到只在SP1版vlk这边保留了一部分文件。这些文件是sp1时代留下的文件,属于多余文件,直接删除即可。究竟是多少个文件,我已经删除了我做盘时的文件,现在也懒得去验证了。不放心的话你可以把他们移动到一个文件夹,以便恢复。
这时你再看看i386目录,因该是2766或者2767个文件(一个winnt.sif的差异),而且体积比未删除文件之前小了二十几M。删除根目录下的win51ip.sp1、SPNOTES.HTM连个文件。
现在这张盘和你在原版基础上集成SP的光盘基本没有任何区别了!
你可以安装测试一下,看看你的系统盘WINDOWS目录下的setuperr.log文件是否有报错信息,如果没有的话,恭喜你,你已经有了一张完美的集成SP2的VLK版XP安装光盘了!!!
第六章 个性化安装
本章的内容都是为了对安装过程和安装后进行一些个性化设置。
1 美化安装背景画面
其实这个就是对WINNTBBA.DLL和WINNTBBU.DLL两个文件进行改造。
1) 修改WINNTBBA.DLL和WINNTBBB.DLL
A 从安装盘中I386目录提取WINNTBBA.DLL和WINNTBBU.DLL到硬盘。
B 用编辑DLL文件资源的工具软件如:RESOURCE HACKER或者Exescope等工具打开WINNTBBA.DLL和WINNTBBU.DLL文件在这里你可以看到这里分别是安装时的图片,图标,文字,版权信息等。
C 找到---位图---103,把里面的图片导出,然后用图像处理软件对其进行编辑、处理。或者直接用其他的图片替换此图片,但必须保证其格式相同。
D 保存文件,然后将WINNTBBU.DLL放回安装目录。OK!
2 oem信息
oem的设置我就以联想的安装盘为例来讲解。要设置系统属性里的oem信息是很简单的,只要在“$OEM$\$$\SYSTEM32”文件夹里放置OEMLOGO.BMP和OEMINFO.INI文件即可。 OEMLOGO.BMP是一张170X120左右的BMP文件,太大的话会超出显示范围而显示不完全,太小的话也不是很好看。OEMINFO.INI的内容有固定格式,如下面所示,你所要做的,就是修改其中的文字。如果需要增加内容,只要多加几行“LineN=”就可以了。
[Version]Microsoft Windows Whistler Edition
WinVer=5.01
[General]
Manufacturer=联想(北京)有限公司
Model=联想系列电脑
[Support Information]
Line1="为保护您的每一分投资,联想(北京)有限公司"
Line2="向您提供一系列的服务与支持,当您遇到硬件故"
3 高级oem信息
如果想做的高级些,比如在开始菜单中的支持中心和IE导航栏等。看下面这段:
Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\CLSID\{2559a1f6-21d7-11d4-bdaf-00c04f60b9f0}]
@="欢迎使用联想电脑"
"InfoTip"="联想电脑支持信息"
[HKEY_CLASSES_ROOT\CLSID\{2559a1f6-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon]
@="OemLinkIcon.ico" (图标文件)
[HKEY_CLASSES_ROOT\CLSID\{2559a1f6-21d7-11d4-bdaf-00c04f60b9f0}\Instance\InitPropertyBag]
"Command"="联想电脑支持信息"
"Param1"="sysdm.cpl" (打开的程序,这里的sysdm.cpl表示打开的是系统属性)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartPanel\ShowOEMLink]
"NoOEMLinkInstalled"=dword:00000000 (告诉系统,打开OEM信息,否则所有的信息都无法显示的)
上面这段是一段注册表信息,它的作用就是在开始菜单的运行下面增加一条“联想电脑支持信息”的菜单,你只需要修改其中红色地方就可以了。另外你还需要制作一个名字叫OemLinkIcon.ico的图标文件放置到光盘“$OEM$\$$\SYSTEM32”目录下,其实这个目录的作用就是把此目录下的所有文件拷贝到系统的“WINDOWS\SYSTEM32”目录下。这个图标会在“联想电脑支持信息”菜单前面显示出来。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6096E38F-5AC1-4391-8EC4-75DFA92FB32F}][查看全文]"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
"ButtonText"="联想"
"Exec"="http://www.lenovo.com"
"HotIcon"="%windir%\\system32\\oemlinkicon.ico"
"Icon"="%windir%\\system32\\oemlinkicon.ico"