前几天公司服务器中了病毒(Windows2003),用杀毒软件杀过了,但仍然有后台程序在不停的尝试运行(因为我安装了奇虎360,他会报告一个危险的后台程序运行,让我确认),并且我按 Ctrl+Alt+Del 过后,选择“任务服务器”后看到一下这个窗口,马上就被关闭了。
在网上查了许多文章都是说这是一种病毒产生的,但他们介绍的方法都没有直接解决我的问题。但他们提供的方法却非常有效。我想今后遇到要检查和终止一些后台程序的时候此方法会仍然有效,所以将我的处理过程重复一遍,供大家参考。
不能使用任务管理器,但我们还可以使用cmd的方式来查看后台,方法如下:
开始--运行,在 打开(O) 后面输入 cmd,确定,进入 cmd 操作窗口,在窗口里面输入 tasklist 回车,就可以看到正在运行的所有后台程序了。
Microsoft Windows [版本 5.2.3790] (C) 版权所有 1985-2003 Microsoft Corp. C:\Documents and Settings\Administrator>tasklist 映像名称 PID 会话名 会话# 内存使用 ========================= ======== ================ =========== ============ System Idle Process 0 Console 0 28 K System 4 Console 0 316 K smss.exe 300 Console 0 200 K csrss.exe 348 Console 0 9,068 K winlogon.exe 372 Console 0 3,428 K services.exe 420 Console 0 2,092 K lsass.exe 432 Console 0 2,784 K svchost.exe 640 Console 0 1,052 K svchost.exe 704 Console 0 1,436 K svchost.exe 784 Console 0 2,424 K svchost.exe 820 Console 0 2,372 K svchost.exe 836 Console 0 13,444 K ccSetMgr.exe 892 Console 0 352 K ccEvtMgr.exe 920 Console 0 336 K spoolsv.exe 1144 Console 0 880 K svchost.exe 1232 Console 0 1,888 K CDAC11BA.EXE 1260 Console 0 200 K DefWatch.exe 1284 Console 0 200 K svchost.exe 1312 Console 0 2,056 K EWDDNSService.exe 1336 Console 0 1,744 K EWMGRCenter.exe 1364 Console 0 4,408 K EWSessionServer.exe 1396 Console 0 6,816 K EWebsWebServer.exe 1452 Console 0 200 K EWebsWebServer.exe 1600 Console 0 228 K sqlservr.exe 1612 Console 0 364,136 K svchost.exe 2040 Console 0 1,168 K PhCore.exe 2080 Console 0 2,564 K 62QNYKR9B.exe 2120 Console 0 3,524 K svchost.exe 2172 Console 0 200 K Rtvscan.exe 2256 Console 0 5,652 K U8SMSSrv.exe 2348 Console 0 200 K ServerNT.EXE 2392 Console 0 6,468 K svchost.exe 2544 Console 0 2,384 K svchost.exe 2572 Console 0 3,436 K svchost.exe 2580 Console 0 1,988 K svchost.exe 2592 Console 0 3,184 K EWLicenseService.exe 2640 Console 0 3,776 K AlertService.exe 2740 Console 0 1,260 K sqlagent.exe 2928 Console 0 1,532 K svchost.exe 2968 Console 0 380 K wmiprvse.exe 3964 Console 0 584 K explorer.exe 3236 Console 0 12,944 K ccApp.exe 3028 Console 0 1,528 K VPTray.exe 3520 Console 0 1,640 K 360tray.exe 2328 Console 0 3,112 K ctfmon.exe 2436 Console 0 2,416 K UfSvrMgr.exe 3408 Console 0 1,864 K sqlmangr.exe 3432 Console 0 1,836 K GomezPEER.exe 2496 Console 0 3,488 K java.exe 2312 Console 0 54,828 K conime.exe 632 Console 0 1,964 K svchost.exe 5660 Console 0 2,192 K 62QNYKR9B.exe 6876 Console 0 636 K svchost.exe 10344 Console 0 3,768 K notepad.exe 11024 Console 0 5,600 K cmd.exe 3600 Console 0 1,856 K tasklist.exe 11184 Console 0 4,120 K wmiprvse.exe 11340 Console 0 5,548 K C:\Documents and Settings\Administrator>
然后一项一项的检查,看那些后台程序不是一个正常的程序,如果不知道,可以在搜索引擎(例如google、baidu)上查看他们的说明,你就可以认识你的所有程序了。例如,上面的“62QNYKR9B.exe”就是一个在搜索引擎上看不到的新玩意儿,多半就是一个怪东西。
先终止它:在上面的窗口里接着输入taskkill /f /im 62QNYKR9B.exe,回车就可以了。
接着打开注册表,搜索62QNYKR9B,然后将这些项全部删除。过程如下:
开始--运行,在 打开(O) 后面输入 regedit,确定,编辑--查找(F)--查找目标:62QNYKR9B,选择“查找下一个”,(不断重复)将所有搜索出来的项都删除(注意,这是注册表,除非你非常确定该项该删除,否则不可乱删,以免计算机系统瘫痪)。
在删除注册表相关项的过程中,我发现了原来62QNYKR9B.exe躲藏在“C:\Program Files\WWCKWVCKK630\62QNYKR9B.exe”这里,在资源管理器中,只能看到这个文件夹,不能看到下面的文件,将“隐藏受保护的操作系统文件(推荐)”前面的勾去掉(在浏览器的 工具--文件夹选项--查看里),并选上(打勾)“显示所有文件和文件夹”,就可以看到了,这是一个隐藏文件。在诺顿下没有发现有毒,卡巴也没有发现,但被avast看见了(服务器上没有装这个)。将这个文件及文件夹都删除。
这样再重新启动计算机,刚才的怪玩意儿(62QNYKR9B.exe)就没有再出现,而且Windows任务管理器也可以使用了,一切都正常了。
我觉得这个方法不仅可以解决任务管理器不能使用的问题,也可以删除其他的不易发现的启动选项(要注意确认是否是应该删除的部分,不清楚可以在Google或baidu这样的搜索引擎中一项一项的查清楚再进行,删除注册表中的任何项都要非常小心,否则很容易使计算机瘫痪)。
上面的tasklist还可以帮助我们做进一步的检查,有些病毒喜欢将自己变成与windows的正常项一样的参与启动,让你分辨不出来,以上面的svchost.exe为例,这些启动项出现过多次,对于这些项就可以使用 tasklist 命令来进一步检查了。同样是在cmd窗口里,输入 tasklist /svc 然后回车,如果与使用 tasklist 回车发现的是否一样多,如果不一样,那么就有病毒伪装。那么我们可以在C盘搜索(注意要将隐藏文件和系统文件都搜索进去)一下svchost.exe看到底有几个,非system32目录下的svchost.exe一定是病毒,将其余的删除即可。
Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.
C:\Documents and Settings\Administrator>tasklist /svc
映像名称 PID 服务
========================= ======== ============================================
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 300 暂缺
csrss.exe 348 暂缺
winlogon.exe 372 暂缺
services.exe 420 Eventlog, PlugPlay
lsass.exe 432 NtLmSsp, PolicyAgent, ProtectedStorage,
SamSs
svchost.exe 640 DcomLaunch
svchost.exe 708 RpcSs
svchost.exe 780 Dhcp, Dnscache
svchost.exe 816 LmHosts, WinHttpAutoProxySvc
svchost.exe 832 AeLookupSvc, CryptSvc, dmserver,
EventSystem, helpsvc, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
Schedule, seclogon, SENS, ShellHWDetection,
TrkWks, winmgmt, wuauserv, WZCSVC
ccSetMgr.exe 888 ccSetMgr
ccEvtMgr.exe 920 ccEvtMgr
spoolsv.exe 1144 Spooler
CDAC11BA.EXE 1244 C-DillaCdaC11BA
DefWatch.exe 1268 DefWatch
EWDDNSService.exe 1320 EWebsDDNSService
EWMGRCenter.exe 1344 EWEBSManagerCenter
EWSessionServer.exe 1372 EWEBSSessionServer
EWebsWebServer.exe 1412 EWEBSWebServer
sqlservr.exe 1560 MSSQLSERVER
EWebsWebServer.exe 1568 暂缺
svchost.exe 1900 multidriver
PhCore.exe 1948 Peanuthull5Core
svchost.exe 1992 RemoteRegistry
Rtvscan.exe 2044 Symantec AntiVirus
U8SMSSrv.exe 2208 U8SmsSrv
ServerNT.EXE 2236 UFNet
svchost.exe 2360 暂缺
EWLicenseService.exe 2412 EWEBSLicenseService
AlertService.exe 2456 UFALERTSERVICE
sqlagent.exe 2660 SQLSERVERAGENT
svchost.exe 2744 TapiSrv
explorer.exe 3208 暂缺
ccApp.exe 3304 暂缺
VPTray.exe 3320 暂缺
360tray.exe 3328 暂缺
ctfmon.exe 3348 暂缺
UfSvrMgr.exe 3364 暂缺
sqlmangr.exe 3392 暂缺
java.exe 3496 暂缺
wmiprvse.exe 3836 暂缺
wmiprvse.exe 4052 暂缺
notepad.exe 3872 暂缺
cmd.exe 3184 暂缺
conime.exe 200 暂缺
tasklist.exe 2392 暂缺
C:\Documents and Settings\Administrator>
**********************************************************************
如果你使用上面的方法不能解决(上面主要针对的是任务管理器被病毒禁用),可以试试下面的方法:
方法一:修改注册表。打开注册表,展开到
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
找到"DisableTaskmgr"把dword值设置为00000000
方法二: 打开记事本,把下面的内容保存成.reg文件,然后双击导入恢复。
REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskmgr"=dword:00000000
(最后一行留一空行)
方法三:利用组策略
开始/运行/gpedit.msc, 在用户配置-管理模板-系统-CTRL+ALT+DELE选项,在左边找到“删除任务管理器”双击打开,设置为未配置,或者禁用。
最新评论
By DKLJSAJKFL
By DKLJSAJKFL
By rishi513
By rishi083
By leanbiome supplement
By leanbiome website