先说说“regsvr32.exe”,这个应用程序是Microsoft Windows 注册服务程序,主要用来注册(反注册)动态链接库(DLL)及activex(OCX),因此部分PE程序要在Windows系统下正常运行就需要它。说到这里,大家应该会明白它的作用了,也就能理解某些木马病毒或别的什么软件会调用它了。由于某些木马的恶意注册和某些程序代码的不完善,往往会在调用它时出现问题。
其次说说造成regsvr32占CPU高的几个原因,我在上面说过,这个只是我看了些日志后的经验之谈,有很多其它原因在这里就不去详细讨论了。
一是安装了“番茄花园”的GHO操作系统,在对部分日志进行对比后发现,这个系统在用户安装时会私自安装一个“smService”服务,就是这个服务造成了regsvr32不断运行的原因;
二是安装了拨号软件CHINANET(星空极速),这个软件中的几个DLL一直调用regsvr32,且使用一般方式不能找到这些文件,以下是它搞鬼的几个文件:
Program Files\ChinaNet\SysPlug\b5018a45-21a0-463b-a5cb-20371d93d91b\SecurityUpdate.dll
Program Files\ChinaNet\SysPlug\b5018a45-21a0-463b-a5cb-20371d93d91b\SingleUpdate\vnetltnins.dll
DOCUME~1\用户名\LOCALS~1\Temp\.ltnins39\setup.dll
三是木马恶意注册,这个情况比较复杂,要根据具体情况判断。
最后说说解决的办法:
1、相对于“番茄花园”,在开始-运行中输入services.msc打开服务,找到smService,将其停止,并将其启动类型设置为“已禁用”,重启系统应该会解决问题。
2、相对于CHINANET,这个没有好的办法,只能将其卸载,换用别的拨号软件,比如RASPPPOE等。
3、相对于木马病毒,这个由于情况比较复杂,在排除上述两个问题外,只能通过工具查看regscr32进程下的调用了,如果自己不知道怎么做,可以按照论坛的要求(见置顶)使用SREng(见置顶)扫描日志贴上来,让斑竹为你分析并提出解决办法。
我也CTRL+C一回