高校问答李约瑟之问:电脑数码进程问题,请高手支招
来源:百度文库 编辑:高校问答 时间:2024/04/28 14:54:54
WinAppService.exe进程的CPU占用率一直高居99%占着不放,只能强行终止.而且每次重启的时候又会自动启动这个进程.第一感觉好象是中了病毒了,但是KV2006全盘查杀了一遍没有发现病毒.于是上网搜索,终于找到了这个WinAppService.exe的老底,原来是个木马程序:
1、注册NT服务 WinService ,类型:自动。关联文件:%system%\WinAppService.exe
注册表位置:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE] "NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE\0000]
"Service"="WinService"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="WinService"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE\0000\Control]
"*NewlyCreated*"=dword:00000000
说明:(1)不能直接删除。(2)右键点 LEGACY_WINSERVICE,“权限”,勾选“完全控制”,确定。再点它即可删除。
2、添加自动启动项目
位置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="F:\\WINDOWS\\system32\\spoolsv\\spoolsv.exe -printer"HKLU\Software\Microsoft\Wspoolsv C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
"CdnCtr"="F:\Program Files\CNNIC\Cdn\cdnup.exe"
3、删除文件:
(1)F:\WINDOWS\system32\spoolsv\spoolsv.exe “广州傲讯浏览器辅助工具”
(2)F:\Program Files\CNNIC\Cdn\cdnup.exe
(3)F:\WINDOWS\system32\WinAppService.exe