任务管理器被病毒禁用解决方法 - 【网吧网管技术大杂烩】 - 我是网管论坛

ybbhps

学徒网管

UID 553187
精华 0
积分 3
帖子 153
MST币 88 点
BST币 3 点赚取
阅读权限 60
注册 2007-7-31
状态离线

#1

大中小

[ 使用道具 ]

发表于 2007-8-21 17:01 [ 资料 ] [ 博客 ] [ 短消息 ] [ 加为好友 ]

爱琴思邮件系统iGENUS V5.0

任务管理器被病毒禁用解决方法

本帖发表在我是网管论坛，帖子地址：http://bbs.54master.com/187576,1,1

   最近这段时间，QQ病毒又出来新品种了，就是任务管理器被禁用了，使你知道中了QQ病毒也没有办法关掉病毒进程，一开始作者把病毒修改的注册表改回来，但发现修改完保存好的注册表后驻留内存的病毒又将其修改了，怎么办呢？..........

   于是便随便找了个求助贴，把杀软关了，把那个病毒源程序下载来了.dir一下,把WINDOWS和system32目录下的.exe和.dll文件输出到文本.然后就运行那个病毒了.

      很显然.任务管理器被禁用了.打开QQ会自动向外发信息(这个我早就知道了.嘻嘻.我当然不会傻到跟人家去聊Q.)其实经过分析.这其实还是个木马.会将一些病毒制造者感兴趣的东东通过E-mail发到他的邮箱.
这么做的目的无非是想让人家无法终止病毒进程.

      然后就到注册表里去解锁.他却没有禁用注册表.开始心想.这SB,居然不禁用注册表?明明可以改回来嘛!
找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
把DisableTaskMgr直接删除了.
重新加载一遍WINDOWS外壳程序.却发现一个问题....任务管理器还是打不开.再次打开注册表.发现DisableTaskMgr的键值依然存在.郁闷了.怪不得他不禁用注册表.

      其实应该想到了.这应该是内存中驻留的病毒程序搞的鬼.一旦他检测到你对注册表所做的修改.他会自动改回来的.

      好吧.看到底是哪一个病毒程序..运行病毒程序之前为了保险,我是先对系统文件信息做了一个大概的备份的.然后再dir一下WINDOWS和system32目录下面的exe和dll文件.依旧输出到文本.用fc.exe比对了一下...发现确实多了一个svohost.exe,其实他就是想与svchost.exe这个系统文件混淆.只差一个字母.不仔细还真发现不了.

接下来开始解决.

1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)

2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.

3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.

4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件"，这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.

我们到注册表里去把他改回正常状态.

v打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
基本搞定了.一开始我只是想弄明白他是怎样一个原理.其实.相信大家也应该看出来了.如果你的杀毒软件病毒库够新的话.都能把病毒源程序杀掉的.你所需要做的只是修复注册表中的相关项.这里也提供了一个DIY解决问题的思路.也许病毒源文件并不一样.大家按照实际情况.按照上面的方法操作.

友情提示一下:在QQ上发过来的文件.不经过确认可不要随意乱点.没准一不小心就中招了.

PS：一些不得不说的话：我发现有很多人误会我的意思了`
这篇文章只是想告诉大家一种方法。我发现有很多网友却依葫芦画瓢，去电脑里搜索svohost.exe和lsasa.exe，其实病毒有很多种，源文件也是千变万化的，不能认死理，重要的是方法。只要有病毒运行，那么一定是有病毒进程的`我想现在还不多见隐藏进程的病毒吧~仔细观察，总能发现源文件的~也许是跟系统文件名称一样但路径不同~例如在不同路径下有的svchost.exe,rundll32.exe等~
对于一般的网友而言，最好是用强力的杀毒软件来杀。

   至于手动清除的话。我们也有很多方式可以查的~一般的病毒，都会设置为自启动~那么，大家可以到注册表里一些可以启动的地方去找一找。如RUN，SHELL等~相关文章大家可以上网去找一找，有些病毒会注册服务，以服务的形式启动~大家可以打开services.msc来查看。
很多病毒喜欢伪照服务进程。这里我以查进程中的svchost.exe有无可疑为例~
在CMD里输入命令：tasklist /svc回车~可以看到svchost.exe的进程代表的服务。
大家可以看到，有四个svchost.exe，那么，我们在tasklist下面看是几个呢？
也是四个~证明这四个svchost.exe都是正常的（服务态加载的病毒除外）
如果在上面那幅图出现了5个svchost.exe呢？这意味着。那个多余的svchost.exe肯定是有问题的。那么我们可以在C盘搜索一下svchost.exe看到底有几个，非system32目录下的svchost.exe一定是病毒~
大家可以先把所有的应用程序，一些认识的除系统进程外的后台程序通通都关了，缩小查找的范围，这需要的就是经验。

      其实WINDOWS提供了很多的小工具帮你解决问题，如系统信息查询工具,msconfig,servicse.msc,tasklist.exe等等小工具，只要用好了这些小工具，我想将病毒除去也不是什么太大的难事！
还是建议大家能安装一个好一点的杀软。如果嫌麻烦的话，但我认为，能自己亲手把病毒干掉。是一件很值得快乐的事情

   推荐大家使用longhorn的任务管理器！longhorn的任务管理器可以在进程中直接点右键选择打开该应用程序所在的文件夹，这对于查病毒是非常有用的~对于禁用了任务管理器的用户可以使用第三方的任务管理器，如WINDOWS优化大师自带的进程管理就不错，可以直接看到应用程序的路径，节省了大把的时间。

[ 点这里复制网址，推荐给你QQ/MSN上的好友们! ]

本帖最近评分记录