Windows任务管理器不能使用的解决办法

      前几天公司服务器中了病毒(Windows2003),用杀毒软件杀过了,但仍然有后台程序在不停的尝试运行(因为我安装了奇虎360,他会报告一个危险的后台程序运行,让我确认),并且我按 Ctrl+Alt+Del 过后,选择“任务服务器”后看到一下这个窗口,马上就被关闭了。

      在网上查了许多文章都是说这是一种病毒产生的,但他们介绍的方法都没有直接解决我的问题。但他们提供的方法却非常有效。我想今后遇到要检查和终止一些后台程序的时候此方法会仍然有效,所以将我的处理过程重复一遍,供大家参考。 
      不能使用任务管理器,但我们还可以使用cmd的方式来查看后台,方法如下:
      开始--运行,在 打开(O) 后面输入 cmd,确定,进入 cmd 操作窗口,在窗口里面输入 tasklist 回车,就可以看到正在运行的所有后台程序了。

Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.

C:\Documents and Settings\Administrator>tasklist

映像名称                       PID 会话名              会话#       内存使用
========================= ======== ================ =========== ============
System Idle Process              0 Console                    0         28 K
System                           4 Console                    0        316 K
smss.exe                       300 Console                    0        200 K
csrss.exe                      348 Console                    0      9,068 K
winlogon.exe                   372 Console                    0      3,428 K
services.exe                   420 Console                    0      2,092 K
lsass.exe                      432 Console                    0      2,784 K
svchost.exe                    640 Console                    0      1,052 K
svchost.exe                    704 Console                    0      1,436 K
svchost.exe                    784 Console                    0      2,424 K
svchost.exe                    820 Console                    0      2,372 K
svchost.exe                    836 Console                    0     13,444 K
ccSetMgr.exe                   892 Console                    0        352 K
ccEvtMgr.exe                   920 Console                    0        336 K
spoolsv.exe                   1144 Console                    0        880 K
svchost.exe                   1232 Console                    0      1,888 K
CDAC11BA.EXE                  1260 Console                    0        200 K
DefWatch.exe                  1284 Console                    0        200 K
svchost.exe                   1312 Console                    0      2,056 K
EWDDNSService.exe             1336 Console                    0      1,744 K
EWMGRCenter.exe               1364 Console                    0      4,408 K
EWSessionServer.exe           1396 Console                    0      6,816 K
EWebsWebServer.exe            1452 Console                    0        200 K
EWebsWebServer.exe            1600 Console                    0        228 K
sqlservr.exe                  1612 Console                    0    364,136 K
svchost.exe                   2040 Console                    0      1,168 K
PhCore.exe                    2080 Console                    0      2,564 K
62QNYKR9B.exe                 2120 Console                    0      3,524 K
svchost.exe                   2172 Console                    0        200 K
Rtvscan.exe                   2256 Console                    0      5,652 K
U8SMSSrv.exe                  2348 Console                    0        200 K
ServerNT.EXE                  2392 Console                    0      6,468 K
svchost.exe                   2544 Console                    0      2,384 K
svchost.exe                   2572 Console                    0      3,436 K
svchost.exe                   2580 Console                    0      1,988 K
svchost.exe                   2592 Console                    0      3,184 K
EWLicenseService.exe          2640 Console                    0      3,776 K
AlertService.exe              2740 Console                    0      1,260 K
sqlagent.exe                  2928 Console                    0      1,532 K
svchost.exe                   2968 Console                    0        380 K
wmiprvse.exe                  3964 Console                    0        584 K
explorer.exe                  3236 Console                    0     12,944 K
ccApp.exe                     3028 Console                    0      1,528 K
VPTray.exe                    3520 Console                    0      1,640 K
360tray.exe                   2328 Console                    0      3,112 K
ctfmon.exe                    2436 Console                    0      2,416 K
UfSvrMgr.exe                  3408 Console                    0      1,864 K
sqlmangr.exe                  3432 Console                    0      1,836 K
GomezPEER.exe                 2496 Console                    0      3,488 K
java.exe                      2312 Console                    0     54,828 K
conime.exe                     632 Console                    0      1,964 K
svchost.exe                   5660 Console                    0      2,192 K
62QNYKR9B.exe                 6876 Console                    0        636 K
svchost.exe                  10344 Console                    0      3,768 K
notepad.exe                  11024 Console                    0      5,600 K
cmd.exe                       3600 Console                    0      1,856 K
tasklist.exe                 11184 Console                    0      4,120 K
wmiprvse.exe                 11340 Console                    0      5,548 K

C:\Documents and Settings\Administrator>

      然后一项一项的检查,看那些后台程序不是一个正常的程序,如果不知道,可以在搜索引擎(例如google、baidu)上查看他们的说明,你就可以认识你的所有程序了。例如,上面的“62QNYKR9B.exe”就是一个在搜索引擎上看不到的新玩意儿,多半就是一个怪东西。 
      先终止它:在上面的窗口里接着输入taskkill /f /im 62QNYKR9B.exe,回车就可以了。

      接着打开注册表,搜索62QNYKR9B,然后将这些项全部删除。过程如下:

      开始--运行,在 打开(O) 后面输入 regedit,确定,编辑--查找(F)--查找目标:62QNYKR9B,选择“查找下一个”,(不断重复)将所有搜索出来的项都删除(注意,这是注册表,除非你非常确定该项该删除,否则不可乱删,以免计算机系统瘫痪)。

      在删除注册表相关项的过程中,我发现了原来62QNYKR9B.exe躲藏在“C:\Program Files\WWCKWVCKK630\62QNYKR9B.exe”这里,在资源管理器中,只能看到这个文件夹,不能看到下面的文件,将“隐藏受保护的操作系统文件(推荐)”前面的勾去掉(在浏览器的 工具--文件夹选项--查看里),并选上(打勾)“显示所有文件和文件夹”,就可以看到了,这是一个隐藏文件。在诺顿下没有发现有毒,卡巴也没有发现,但被avast看见了(服务器上没有装这个)。将这个文件及文件夹都删除。

      这样再重新启动计算机,刚才的怪玩意儿(62QNYKR9B.exe)就没有再出现,而且Windows任务管理器也可以使用了,一切都正常了。

      我觉得这个方法不仅可以解决任务管理器不能使用的问题,也可以删除其他的不易发现的启动选项(要注意确认是否是应该删除的部分,不清楚可以在Google或baidu这样的搜索引擎中一项一项的查清楚再进行,删除注册表中的任何项都要非常小心,否则很容易使计算机瘫痪)。

      上面的tasklist还可以帮助我们做进一步的检查,有些病毒喜欢将自己变成与windows的正常项一样的参与启动,让你分辨不出来,以上面的svchost.exe为例,这些启动项出现过多次,对于这些项就可以使用 tasklist  命令来进一步检查了。同样是在cmd窗口里,输入 tasklist /svc 然后回车,如果与使用 tasklist 回车发现的是否一样多,如果不一样,那么就有病毒伪装。那么我们可以在C盘搜索(注意要将隐藏文件和系统文件都搜索进去)一下svchost.exe看到底有几个,非system32目录下的svchost.exe一定是病毒,将其余的删除即可。

Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.

C:\Documents and Settings\Administrator>tasklist /svc

映像名称                       PID 服务
========================= ======== ============================================
System Idle Process              0 暂缺
System                           4 暂缺
smss.exe                       300 暂缺
csrss.exe                      348 暂缺
winlogon.exe                   372 暂缺
services.exe                   420 Eventlog, PlugPlay
lsass.exe                      432 NtLmSsp, PolicyAgent, ProtectedStorage,
                                   SamSs
svchost.exe                    640 DcomLaunch
svchost.exe                    708 RpcSs
svchost.exe                    780 Dhcp, Dnscache
svchost.exe                    816 LmHosts, WinHttpAutoProxySvc
svchost.exe                    832 AeLookupSvc, CryptSvc, dmserver,
                                   EventSystem, helpsvc, lanmanserver,
                                   lanmanworkstation, Netman, Nla, RasMan,
                                   Schedule, seclogon, SENS, ShellHWDetection,
                                   TrkWks, winmgmt, wuauserv, WZCSVC
ccSetMgr.exe                   888 ccSetMgr
ccEvtMgr.exe                   920 ccEvtMgr
spoolsv.exe                   1144 Spooler
CDAC11BA.EXE                  1244 C-DillaCdaC11BA
DefWatch.exe                  1268 DefWatch
EWDDNSService.exe             1320 EWebsDDNSService
EWMGRCenter.exe               1344 EWEBSManagerCenter
EWSessionServer.exe           1372 EWEBSSessionServer
EWebsWebServer.exe            1412 EWEBSWebServer
sqlservr.exe                  1560 MSSQLSERVER
EWebsWebServer.exe            1568 暂缺
svchost.exe                   1900 multidriver
PhCore.exe                    1948 Peanuthull5Core
svchost.exe                   1992 RemoteRegistry
Rtvscan.exe                   2044 Symantec AntiVirus
U8SMSSrv.exe                  2208 U8SmsSrv
ServerNT.EXE                  2236 UFNet
svchost.exe                   2360 暂缺
EWLicenseService.exe          2412 EWEBSLicenseService
AlertService.exe              2456 UFALERTSERVICE
sqlagent.exe                  2660 SQLSERVERAGENT
svchost.exe                   2744 TapiSrv
explorer.exe                  3208 暂缺
ccApp.exe                     3304 暂缺
VPTray.exe                    3320 暂缺
360tray.exe                   3328 暂缺
ctfmon.exe                    3348 暂缺
UfSvrMgr.exe                  3364 暂缺
sqlmangr.exe                  3392 暂缺
java.exe                      3496 暂缺
wmiprvse.exe                  3836 暂缺
wmiprvse.exe                  4052 暂缺
notepad.exe                   3872 暂缺
cmd.exe                       3184 暂缺
conime.exe                     200 暂缺
tasklist.exe                  2392 暂缺

C:\Documents and Settings\Administrator>

**********************************************************************

      如果你使用上面的方法不能解决(上面主要针对的是任务管理器被病毒禁用),可以试试下面的方法:

方法一:修改注册表。打开注册表,展开到

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

找到"DisableTaskmgr"把dword值设置为00000000

方法二: 打开记事本,把下面的内容保存成.reg文件,然后双击导入恢复。

REGEDIT4 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:00000000 

(最后一行留一空行)

方法三:利用组策略

      开始/运行/gpedit.msc, 在用户配置-管理模板-系统-CTRL+ALT+DELE选项,在左边找到“删除任务管理器”双击打开,设置为未配置,或者禁用。


66.67%(2)

33.33%(1)

发表评论

*