任務管理器被病毒禁用解決方法

最近這段時間，QQ病毒又出來新品種了，就是任務管理器被禁用了，使你知道中了QQ病毒也沒有辦法關掉病毒程序，一開始作者把病毒修改的系統資料庫改回來，但發現修改完儲存好的系統資料庫後駐留記憶體的病毒又将其修改了，怎麼辦呢？..........

于是便随便找了個求助貼，把殺軟關了，把那個病毒源程式下載下傳來了.dir一下,把WINDOWS和system32目錄下的.exe和.dll檔案輸出到文本.然後就運作那個病毒了.

很顯然.任務管理器被禁用了.打開QQ會自動向外發資訊(這個我早就知道了.嘻嘻.我當然不會傻到跟人家去聊Q.)其實經過分析.這其實還是個木馬.會将一些病毒制造者感興趣的東東通過E-mail發到他的郵箱.

這麼做的目的無非是想讓人家無法終止病毒程序.

然後就到系統資料庫裡去解鎖.他卻沒有禁用系統資料庫.開始心想.這SB,居然不禁用系統資料庫?明明可以改回來嘛!

找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies

把DisableTaskMgr直接删除了.

重新加載一遍WINDOWS外殼程式.卻發現一個問題....任務管理器還是打不開.再次打開系統資料庫.發現DisableTaskMgr的鍵值依然存在.郁悶了.怪不得他不禁用系統資料庫.

其實應該想到了.這應該是記憶體中駐留的病毒程式搞的鬼.一旦他檢測到你對系統資料庫所做的修改.他會自動改回來的.

好吧.看到底是哪一個病毒程式..運作病毒程式之前為了保險,我是先對系統檔案資訊做了一個大概的備份的.然後再dir一下WINDOWS和system32目錄下面的exe和dll檔案.依舊輸出到文本.用fc.exe比對了一下...發現确實多了一個svohost.exe,其實他就是想與svchost.exe這個系統檔案混淆.隻差一個字母.不仔細還真發現不了.

接下來開始解決.

1.打開CMD.輸入指令tasklist回車檢視一下..果然發現了這個程序:svohost.exe(雖然他禁用了任務管理器,但在CMD下用tasklist指令還是可以檢視到程序資訊的)

2.關了他.輸入指令taskkill /f /im svohost.exe

提示成功.

3.搜尋svohost.exe這個檔案(把搜尋隐藏檔案也勾上)搜尋到後删除!似乎有兩個.一個是完全大寫的.一個是完全小寫的.事實上還有一個程式叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常程序lsass.exe.

4.本以為沒問題了.後來還發現一個問題.他還修改了系統資料庫的一處,使檔案夾選項中對隐藏檔案的設定始終為"不顯示隐藏檔案"，這麼做的主要目的在于讓你在WINDOWS環境下找不到被設定隐藏屬性的病毒源檔案.但這裡還有幾種手段可以找到他.1.用WINDOWS的搜尋.隻要在進階選項裡把"搜尋隐藏的檔案和檔案夾"勾上就可以找到了.2.在指令提示符裡用dir /a指令也可以檢視到.麻煩一點罷了.由于WINDOWS和SYSTEM32目錄下檔案太多.用dir指令的時候.最好再加一個參數.dir /a /p這樣會更好.

我們到系統資料庫裡去把他改回正常狀态.

v打開系統資料庫.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL這個鍵.看右邊.找到一個CheckedValue的值.我注意到這個該死的病毒居然把他改成了字元串值.如果你不小心的話.也許會認為改了也沒用.把這個值删除.重建一個DWORD的值為CheckedValue.把他的值設為1.

基本搞定了.一開始我隻是想弄明白他是怎樣一個原理.其實.相信大家也應該看出來了.如果你的防毒軟體病毒庫夠新的話.都能把病毒源程式殺掉的.你所需要做的隻是修複系統資料庫中的相關項.這裡也提供了一個DIY解決問題的思路.也許病毒源檔案并不一樣.大家按照實際情況.按照上面的方法操作.

友情提示一下:在QQ上發過來的檔案.不經過确認可不要随意亂點.沒準一不小心就中招了.

PS：一些不得不說的話：我發現有很多人誤會我的意思了`

這篇文章隻是想告訴大家一種方法。我發現有很多網友卻依葫蘆畫瓢，去電腦裡搜尋svohost.exe和lsasa.exe，其實病毒有很多種，源檔案也是千變萬化的，不能認死理，重要的是方法。隻要有病毒運作，那麼一定是有病毒程序的`我想現在還不多見隐藏程序的病毒吧~仔細觀察，總能發現源檔案的~也許是跟系統檔案名稱一樣但路徑不同~例如在不同路徑下有的svchost.exe,rundll32.exe等~

對于一般的網友而言，最好是用強力的防毒軟體來殺。

至于手動清除的話。我們也有很多方式可以查的~一般的病毒，都會設定為自啟動~那麼，大家可以到系統資料庫裡一些可以啟動的地方去找一找。如RUN，SHELL等~相關文章大家可以上網去找一找，有些病毒會注冊服務，以服務的形式啟動~大家可以打開services.msc來檢視。

很多病毒喜歡僞照服務程序。這裡我以查程序中的svchost.exe有無可疑為例~

在CMD裡輸入指令：tasklist /svc回車~可以看到svchost.exe的程序代表的服務。

大家可以看到，有四個svchost.exe，那麼，我們在tasklist下面看是幾個呢？

也是四個~證明這四個svchost.exe都是正常的（服務态加載的病毒除外）

如果在上面那幅圖出現了5個svchost.exe呢？這意味着。那個多餘的svchost.exe肯定是有問題的。那麼我們可以在C槽搜尋一下svchost.exe看到底有幾個，非system32目錄下的svchost.exe一定是病毒~

大家可以先把所有的應用程式，一些認識的除系統程序外的背景程式通通都關了，縮小查找的範圍，這需要的就是經驗。

其實WINDOWS提供了很多的小工具幫你解決問題，如系統資訊查詢工具,msconfig,servicse.msc,tasklist.exe等等小工具，隻要用好了這些小工具，我想将病毒除去也不是什麼太大的難事！

還是建議大家能安裝一個好一點的殺軟。如果嫌麻煩的話，但我認為，能自己親手把病毒幹掉。是一件很值得快樂的事情

推薦大家使用longhorn的任務管理器！longhorn的任務管理器可以在程序中直接點右鍵選擇打開該應用程式所在的檔案夾，這對于查病毒是非常有用的~對于禁用了任務管理器的使用者可以使用第三方的任務管理器，如WINDOWS優化大師自帶的程序管理就不錯，可以直接看到應用程式的路徑，節省了大把的時間.