5、病毒、木马、间谍软件造成CPU使用率占用100%0 B* b3 W( [% S7 m

/ U2 q( ]4 \% }" Y- C出现CPU占用率100% 的故障经常是因为病毒木马造成的，比如震荡波病毒。应该首先更新病毒库，对电脑进行全机扫描。接着，在使用反间谍软件Ad—Aware，检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%，这个往往是中毒的表现。6 ]( N  t- l! I( A  X- J5 ^

' u( W- H9 ~6 M- c0 Q; u4 }" ?svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的，其中一些会把可执行程序指向svchost.exe，由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性，使它更容易成为了一些病毒木马的宿主。" [9 w4 p+ ^6 Q; T
( M, N/ O8 ?7 r
6、 explorer.exe进程造成CPU使用率占用100%
# b: U2 p7 z. `: b+ }' I$ m5 ?2 `7 Y& ?6 D* Q* ?' _* y
在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。2 d0 b0 t. f3 Z/ t$ k

+ N/ m2 x; a* Z4 C$ s, a5 R在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run”下的
  O( e9 s# w, d& p3 j) D& V# x* _& N
Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER\Software\Microsoft\Windows \CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\ CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。7 Y! X' n, Q( d) U" `: ?% c
% P$ ^7 L4 d+ Z+ y
7、超线程导致CPU使用率占用100%8 H- [) h! H0 i9 n
2 ^& i' n4 v# X2 F: k
这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突，可以通过卸载天网并安装其它防火墙解决，也可以通过在BIOS中关闭超线程功能解决。4 W0 Z1 g( [  T0 D  u/ `
9 g+ X/ v; w4 y+ T
8、AVI视频文件造成CPU使用率占用100%% I. ], u. n, X

/ B7 E' t1 R4 q- d( L在Windows XP中，单击一个较大的AVI视频文件后，可能会出现系统假死现象，并且造成exploere.exe进程的使用率100%，这是因为系统要先扫描该文件，并检查文件所有部分，建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决方法:右键单击保存视频文件的文件夹，选择”属性— >常规—>高级“，去掉”为了快速搜索，允许索引服务编制该文件夹的索引“前面复选框的对钩即可。3 K8 X$ ?0 ?7 K/ b# m8 N4 G
, h$ a: t' a8 h& |
9、杀毒软件CPU使用率占用100%& [+ X3 _/ u3 l

7 M2 C4 ?6 \: I% j* q, c5 s现在的杀毒软件一般都加入了，对网页、邮件、个人隐私的即时监空功能，这样无疑会加大系统的负担。比如:在玩游戏的时候，会非常缓慢。关闭该杀毒软件是解决得最直接办法。' k) O* ?. b6 b) r

, |0 h1 H. a  t1 d- s10、处理较大的Word文件时CPU使用率过高. r( p" {, _. Y3 e

& m7 H+ x" T7 L2 {0 p+ k上述问题一般还会造成电脑假死，这些都是因为WORD的拼写和语法检查造成的，只要打开WORD的“工具—选项”，进入“拼写和语法”选项卡，将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。
" Q; {8 ~$ M. M& @) |& T
* o* ^9 d  d" M" {# e; G11、网络连接导致CPU使用率占用100%
" d9 S' t; R4 V* T& ]
0 |+ Q; H: l2 L$ a. _2 E% K4 d当你的Windows2000/xp作为服务器时，收到来自端口445上的连接请求后，系统将分配内存和少量CPU资源来为这些连接提供服务，当负荷过重，就会出现上述情况。要解决这个问题可以通过修改注册表来解决，打开注册表，找到HKEY—LOCAL—MACHNE\SYSTEM\ CurrentControlSet\Services\lanmanserver，在右面新建一个名为"；maxworkitems"；的DWORD 值.然后双击该值，如果你的电脑有512以上内存，就设置为"；1024"；，如果小于512，就设置为256.
$ v7 L8 ]0 c+ g- ?0 H3 i0 [( a$ A# M# {6 v. I
一些不完善的驱动程序也可以造成CPU使用率过高
6 b* U" N7 Z, |( b0 \/ _& X6 h2 A7 q1 M
经常使用待机功能，也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降，系统启动速度变慢，也会使是系统在运行一些大型软件和游戏时CPU使用率100%，产生停顿。

进程占用CPU 100%时可能中的病毒
0 L. \. l# [" e2 Y2 ?9 m6 y% X* jsystem Idle Process
0 K; W( D6 s6 y9 B
4 |  C2 Z# |) t) V0 U进程文件: [system process] or [system process]0 |( i3 @# G, f" S

# [9 P& V" Y- l3 M0 v" Q进程名称: Windows内存处理系统进程
5 c# `4 W% |- C2 i: Z* W1 I" M
" p* F' P2 |4 V, m9 j# e7 ?描 述: Windows页面内存管理进程，拥有0级优先。7 w: T7 b3 k$ _& a8 `

6 _& ^9 m+ s$ }4 C* a; _介 绍:该进程作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。* }/ x0 c6 V4 s+ a4 ]

8 _# V; q2 k# l6 g( l% |9 }$ \Spoolsv.exe8 @  [$ ^/ X$ Q* U- l

& `6 E1 U) o& \9 k1 \% E+ @进程文件: spoolsv or Spoolsv.exe* y$ T6 k  }. ^0 M6 Y9 [

  e7 U- T  @0 h2 O1 w; ?进程名称: Printer Spooler Service
+ f2 t$ T" `; o- |0 Q
2 l0 f( N' P! S描 述: Windows打印任务控制程序，用以打印机就绪。$ F9 e0 O' G$ G. o. O

& Y- r1 G% P' Z" z  E9 B介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
- c9 U5 a/ @+ e+ b
2 A! I( k7 A. ^Spoolsv.exe→打印任务控制程序，一般会先加载以供列表机打印前的准备工作) }6 f; A9 j7 D2 E1 a* h% J
$ c* m! B: Z, M
Spoolsv.exe，如果常增高，有可能是病毒感染所致
, G7 S" }* D. U) C/ P  b6 V
) a" X/ v1 m  W( M; a  m) l目前常见的是:
  y9 b7 F0 W) `: g( h; [7 h. \* K+ K  c: d
Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)& e) h7 t, l  g! i* D* V

- U  A: }. E9 N$ z6 `# g2 ~  O危害程度:中
( B( i# m  S; J  Q
: ]- f0 l7 b. e9 X% w8 N: I4 d受影响的系统: Windows 2000， Windows XP， Windows Server 2003
4 B+ p& y3 F+ e5 k3 F2 ]1 z  R% |* z  ]+ R
未受影响的系统: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux，. a6 u. F$ a% g

3 P" |# n  R; E4 F病毒危害:' |. o* o. A3 W2 C- ^7 y  q# r- ]  {
: x$ q* u/ U) D+ C+ V
1. 生成病毒文件
! t! F( n. b: M4 Q5 X2 V  w5 {6 U" ]/ w2 _/ G8 v' r. F7 _
2. 插入正常系统文件中2 V6 t/ b; m" v  L5 C9 e
& b* M9 u' w, o0 z" w9 \4 o  x# h
3. 修改系统注册表
& ]" M. w: ~0 w! W+ @$ O, _! U1 {- Q2 q, A" {3 v- w) b: U
4. 可被黑客远程控制
0 N* ^+ ^. [$ D  U& @4 N; K9 U0 `& Y
5. 躲避反病毒软件的查杀8 B2 N7 p: e$ m4 k  ]
7 f1 X' v) ?' P9 p
简单的后门木马，发作会删除自身程序，但将自身程序套入可执行程序内(如:exe)，并与计算机的通口(TCP端口138)挂钩，监控计算机的信息、密码，甚至是键盘操作，作为回传的信息，并不时驱动端口，以等候传进的命令，由于该木马不能判别何者是正确的端口，所以负责输出的列表机也是其驱动对象，以致Spoolsv.exe的使用异常频繁......
5 J# C  y+ r# P# d& c
1 z5 ?" ~, Y  f1 E$ Y( l  DBackdoor.Win32.Plutor
, u( |% _, L, C+ j4 D- Q, c
& P/ o' T' B' Z" V% l5 {破坏方法:感染PE文件的后门程序3 ?$ [* t' V6 z8 f8 e, o6 o7 a
0 X, B) a& R4 ]! v2 G, v3 V
病毒采用VC编写。
, o- }$ v- p0 ]3 ]9 H# u! n4 g% v  q
病毒运行后有以下行为:
; @3 V2 r' Y; _5 t3 A! \; H! ]% f$ R1 l$ O% @8 c: W
1、将病毒文件复制到%WINDIR%目录下，文件名为"；Spoolsv.exe"；，并该病毒文件运行。"；Spoolsv.exe"；文件运行后释放文件名为"；mscheck.exe"；的文件到%SYSDIR%目录下，该文件的主要功能是每次激活时运行"；Spoolsv.exe"；文件。如果所运行的文件是感染了正常文件的病毒文件，病毒将会把该文件恢复并将其运行。3 I" ~1 S; f  v1 A* v
# Q! h1 S7 `2 w% P6 b
2、修改注册表以下键值:' r8 ~9 T& l: i' e
& @3 o8 z( q; R7 b
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run/ D( |8 b) }+ g% i6 [1 b

2 x. P. I' y! f1 D增加数据项:"；Microsoft Script Checker"； 数据为:"；MSCHECK.EXE /START"；
- s" _. Q4 ]  u0 v/ K  D& S1 z" _% X5 v! B9 [7 _3 N# d
修改该项注册表使"；MSCHECK.EXE"；文件每次系统激活时都将被运行，而"；MSCHECK.EXE"；用于运行"；Spoolsv.exe"；文件，从而达到病毒自激活的目的。
1 r% _: _) ~: }" `% h7 G! B/ T" N8 N2 z" N- O7 S. D) M( y
3、创建一个线程用于感染C盘下的PE文件，但是文件路径中包含"；winnt"；、"；Windows"；字符串的文件不感染。另外，该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单，将正常文件的前0x16000个字节替换为病毒文件中的数据，并将原来 0x16000个字节的数删除