山寨机中的战斗机！	程序优化工程师到底对IT界有没有贡献

w2k ad server ,系统速度很慢! 给100分！！！

楼主UN_78（木木）2002-05-22 14:38:28 在 Windows专区 / Windows NT/2000/XP/2003 提问

我在p4 1.5G,内存256 ，硬盘20G,8G的机器上安装了ad server, 但运行速度很慢，在不运行任何软件的时候进程：winlogon 占用 CPU:80 内存：8000K

Q请问各位高手这是怎么回事！

一定给分！
问题点数：100、回复次数：16Top

1 楼ntadmin（）回复于 2002-05-22 15:29:14 得分 30

网络蠕虫程序I-Worm/Welyah 的清除

--------------------------------------------------------------------------------

搜狐IT 　2001-12-28 18:00:13

　　网络蠕虫程序：I-Worm/Welyah, 该病毒使用的是Visual B编写的，该网络蠕虫程序与其他的网络蠕虫一样，是通过利用微软的Outlook邮件客户端程序的漏洞来传播的。
　　
　　我们知道微软的OUTLOOK邮件客户端程序*.wab和*.mbx程序文件中存放着一些电子邮件地址信息，另外的邮件程序还有以下的一些文件扩展名称：EML、DBX、XLS、XLT、MDB等。该网络蠕虫程序正是通过搜索这些文件来获得传播该网络蠕虫程序自身的电子邮件程序，而且该网络蠕虫不使用OUTLOOK
　　
　　程序设置的SMTP（发送邮件服务器）来发送邮件，而是使用自身的SMTP引擎来发送EMAIL带病毒信件。
　　
　　 SMTP的邮件地址是210.177.111.***, 域名是mail.*****speed.com.hk。含有病毒的邮件的附件是一个TXT纯文本文件，扩展名称还含有pif。
　　
　　当该网络蠕虫被自动执行后，它将自身拷贝到WINDOWS的目录下，文件名
　　
　　称是Winlogon.exe,并且修改系统的注册表项目，使得每次系统启动时，该网络蠕虫程序都会被执行。修改的注册表的键值是：
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Winlogon]除了文件Winlogon.exe外，它还会在当前目录下释放文件EMAIL.TXT以及EMAILINFO.TXT文件，这两个文件的内容是：EMAIL.TXT文件是病毒程序本身；
　　
　　 EMAILINFO.TXT文件是邮件感染的地址列表。
　　
　　该网络蠕虫利用的微软的MIME漏洞是http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
　　
　　在IE5.01、IE5.5以及IE6下的补丁程序分别是如下的下载地址http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
　　
　　 http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
　　
　　 http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
　　
　　该网络蠕虫有变种，该网络蠕虫程序还有破坏性，驻留内存，发送带病毒邮件直接通过SMTP命令来发送，通过的是电子邮件来发送：含有病毒的信件的
　　
　　格式如下：信件的主题是:Welcome to Yahoo!Mail信件的内容是：Welcome to Yahoo!Mail信件的附件文件名称是：README.TXT______________.PIF
　　
　　值得一提的是，这个网络蠕虫程序的附件文件名称README.TXT______________.PIF
　　
　　比较有特点是这个附件的两个扩展名称TXT和PIF之间的空格长达125个空格，
　　
　　一般的用户会误认为没有PIF这个扩展名称。该网络蠕虫程序的破坏性表现在会
　　
　　随机删除当前目录下的文件。由于网络蠕虫将该病毒文件存放在WINDOWS的目录下，因此会随机删除WINDOWS下的系统文件，病毒修改的注册表键值如下：
　　
　　 (1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　
　　删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE
　　
　　 (2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　
　　删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE
　　
　　 (3)HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
　　
　　删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE
　　
　　内置的EXE文件不会在MICROSOFT OUTLOOK中看出来，附件的文件的类型是：
　　
　　 audio/x-wav(声音文件),如果您不打补丁的话，当使用OE打开邮件时候，通常默认的应用程序Windows Media Player(媒体播放器)会自动将该文件打开。该网络蠕虫程序使用一个FTP服务器ftphd.pchome.com.tw并且使用内置的用户名称或者密码，

希望能对你有帮助
Top

2 楼acura（Forever(持之以恒!)）回复于 2002-05-22 15:34:00 得分 5

你是不是开了很多服务啊，用任务管理器看看哪些东西占用的系统资源多，如果没用的话，就在服务把它关掉Top

3 楼WnEunfn（捡来的ID）回复于 2002-05-22 15:52:11 得分 5

在2000 AD Server中系统资源被大量占用比较正常，你如果怀疑有病毒，也可以杀毒先！建议你将一些不必要的服务停掉，并将一些不必要的自启动程序项取消……并作一些优化，以释放资源……

Top

4 楼scgqq（轻骑兵）回复于 2002-05-22 16:20:47 得分 5

我现在用的机器和你的一摸一样，不过我的winlogin连1%都不到，内存3180k
我的机器还装了.net和exchange和sql server，一定不慢，我觉得你是中了蠕虫病毒了，查查毒吧！Top

5 楼qiang312（小强）回复于 2002-05-22 17:14:41 得分 5

先查毒,再关掉不用的协议和不用的服务.
如果你的分区不是ntfs建议用dos杀毒盘启动后杀毒Top

6 楼UN_78（木木）回复于 2002-05-23 18:28:30 得分 0

多谢大家，不过我用金山毒霸杀了毒，没有发现任何病毒，我在试试看！Top

7 楼rivershan（阿门）回复于 2002-05-23 18:44:42 得分 5

换别的~杀毒~Top

8 楼jinbo22（鸽子）回复于 2002-05-23 19:44:26 得分 5

建议下一个诺顿最新病毒库
在查毒Top

9 楼setcdq9801（蓝鸽@我是你.net）回复于 2002-05-23 21:17:05 得分 5

升级杀毒软件
或换杀毒软件再杀！Top

10 楼linyk（bluetide）回复于 2002-05-23 22:24:23 得分 5

重启后用F8试试安全模式加网络。Top

11 楼luyingchuan（天涯独行不倦客）回复于 2002-05-23 23:42:59 得分 5

请把你不需要的服务停掉，这样就好多了，不要动不动就怀疑病毒什么的，也没有那么恐怖的嘛！怎么停服务不用我再说了，大家多是高手我就不班门弄斧了。Top

12 楼morcy（morcy）回复于 2002-05-23 23:56:20 得分 5

p4的机器和win2000ad有仇，很多机器都不行的Top

13 楼tyx（山外青山）回复于 2002-05-24 14:46:34 得分 5

用升级病毒库的杀毒软件杀过后如果仍有次问题,那可能就是系统问题,看看事件日志中怎么说(关于winlogon的).Top

14 楼ntadmin（）回复于 2002-05-24 15:08:45 得分 5

如确信不是蠕虫的话，看看服务里有没有可疑的服务Top

15 楼leiyang（leiyang）回复于 2002-05-24 16:41:27 得分 5

win2000 server是慢的,我的也是.Top

16 楼zhuyuantan（水铜鼓）回复于 2002-05-24 17:17:30 得分 5

不是吧,你这么高档的机子都说慢啊?

我同学的 128M 内存 , 566 的 cpu 跑 win200 advance server 都挺顺畅的
(而且是完全安装,全部系统服务都启动了)

可是并没有发生什么不愉快的事情!!Top