機房電腦任務管理器被禁，網絡不通

一、問題：

我們機關的網絡是兩個VLAN，剛剛解決了辦公室所在區域受ARP攻擊的問題，機房也跟着出了問題。上課基本上所有的時間都放在了給學生修複本地聯接，還不管用的狀态中。煩的要命！想看哪個電腦有病毒，調用任務管理器看程序出了什麼問題沒有，卻無法調用，原來是任務管理器也被禁用了！

二、解決：

任務管理器被禁用還好解決，如果隻是想要看程序的話可以在“開始-運作”輸入“CMD”。然後輸入“TASKLIST”，居然沒有一個可疑程序！

“TISKLIST的使用格式為：

 TASKLIST [/S system [/U username [/P [password]]]]

         [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]

 參數清單:

 /S     system           指定連接配接到的遠端系統。

/U     [domain\]user    指定使用哪個使用者執行這個指令。

/P     [password]       為指定的使用者指定密碼。

/M     [module]         列出調用指定的 DLL 子產品的所有程序。

                         如果沒有指定子產品名，顯示每個程序加載的所有子產品。

/SVC                    顯示每個程序中的服務。

/V                      指定要顯示詳述資訊。

/FI    filter           顯示一系列符合篩選器指定的程序。

/FO    format           指定輸出格式，有效值: "TABLE"、"LIST"、"CSV"。

/NH                     指定欄标頭不應該在輸出中顯示。

                           隻對 "TABLE" 和 "CSV" 格式有效。

1、      使用“Tasklist”指令檢視本機程序

 運作“指令提示符”程式，在提示符視窗中輸入：“tasklist”指令，這樣就顯示本機的所有程序。本機的顯示結果由五部分組成：圖像名（程序名）、PID、會話名、會話＃、記憶體使用。

2、      檢視遠端系統的程序

 在指令提示符下輸：

   “tasklist  /s  218.22.123.26  /u  jtdd  /p  12345678”（不包括引号）

其中/s參數後的“218.22.123.26”指要檢視的遠端系統的IP位址，/u後的“jtdd”指tasklist指令使用的使用者帳号，它是遠端系統上的一個合法帳号，/p後的“12345678”指jtdd帳号的密碼，。

  這樣，通過上面的指令，我們就可以檢視到遠端系統的程序了。

 小提示：使用tasklist指令檢視遠端系統的程序時，需要遠端機器的RPC 伺服器的支援，否則，該指令就不能正常使用。

3、      檢視系統程序提供的服務

 tasklist指令不但可以檢視系統程序，而且還可以檢視每個程序提供的服務。

 如檢視本機的程序“SVCHOST.EXE”提供的服務，在指令提示符下輸入：

 “tasklist  /svc”指令即可，你會驚奇的發現，有四個“SVCHOST.EXE”程序，原來有二十幾項服務使用這個程序，對于遠端系統來說，檢視系統服務也很簡單，使用” tasklist  /s  218.22.123.26  /u  jtdd  /p  12345678  /svc”指令，就可以檢視IP位址為“218.22.123.26”的遠端系統程序所提供的服務。

4、      檢視調用DLL子產品檔案的程序清單

例如，我們要檢視本地系統中哪些程序調用了“shell32.dll” DLL子產品檔案。

在指令提示符下輸入：

  tasklist  /m  shell32.dll

這時系統将顯示調用程序清單。

  5、      使用篩選器查找指定的程序

“TASKLIST   /FI    "USERNAME ne NT AUTHORITY\SYSTEM"     /FI "STATUS eq running“  這樣就列出了系統中正在運作的非“SYSTEM“狀态的所有程序。

 其中“/FI“為篩選器參數，” ne“和”eq“為關系運算符”不相等“和”相等“。

補充：

 談到“Tasklist”指令，我們就不得不提它得孿生兄弟“taskkill”指令，顧名思義，它是用來殺死程序的。

  如要殺死本機的“notepad.exe”程序。

首先，使用Tasklist查找它的PID,系統顯示本機“notepad.exe”程序的PID值為“1132“，然後運作“taskkill  /pid 1132”即可,或則運作” taskkill  /IM  notepad.exe“也可，

其中” /pid “參數後面跟要終止程序的PID值，“/IM“參數後面為程序的圖像名。”

不管那麼多，先把被禁用的任務管理器恢複再說。在運作裡輸入“GPEDIT。MSC”，調出組政策編輯器。在“組政策”中依次展開 “本地計算機政策/使用者配置/管理模闆/系統/Ctrl+Alt+Del 選項 ”在該清單中打開 删除“任務管理器” 的屬性。在 删除“任務管理器” 屬性中的“設定”頁籤中點選“已禁用”或“未配置”單選項，确定。如圖：

任務管理器可以使用了，但是仍然沒有什麼可疑的程序。這個網絡不通怎麼辦呢？硬體沒有什麼問題，前一天還好好的。沒辦法，試着在教師機上裝一個ANTI ARP SNIFFER，居然可以檢測到ARP攻擊，而且不止一台。但是效果不好。浏覽ANTI的最新版本，居然已經更新到了4.0的防火牆版本，而且增加了防止本機對别人攻擊的功能。那麼我把所有機房電腦的機器上安裝這個防火牆，就可以解決問題了吧！

把不能上網問題和網友交流之後給提了一個建議：

進入系統資料庫(regedit),

HLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WINSOCK

HLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WINSOCK2

為了安全,我們不要删除這兩項,把它們重命一下名就行了.

然後打開本地連接配接,把TCP/IP協定删除,重新開機一下電腦,打開本地連接配接,把TCP/IP協定再重新安裝一下,就OK了