《解除任务管理器被禁》由会员分享,可在线阅读,更多相关《解除任务管理器被禁(3页珍藏版)》请在金锄头文库上搜索。
1、解除任务管理管理器被禁止方法一:修改注册表。打开注册表,展开到: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem 找到“DisableTaskmgr“把 dword 值设置为 00000000 方法二: 打开记事本,把下面的内容保存成.reg 文件,然后双击导入恢复。 REGEDIT4 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem “DisableTaskmgr“=dword:00000000 (最后一行留一空
2、行) 方法三:利用组策略: 开始/运行/gpedit.msc, 在用户配置-管理模板-系统-CTRL+ALT+DELE 选项,在左边找到“删除任务管理器” 双击打开,设置为未配置,或者禁用。 方法四:利用小软件: 把下面的文件,解压后点击“任务管理器可用”,即可解决! 或者: 任务管理器被病毒禁用解决方法 任务管理器被病毒禁用解决方法 最近这段时间,QQ 病毒又出来新品种了,就是任务管理器被禁用了,使你知道中了 QQ 病毒也没有办法关掉病毒进程,一开始作者把病毒修改的注册表改回来,但发现修改完保存好的注册表后驻留内存的病毒又将其修改了,怎么办呢?. 作者:妖妖灵 偶尔回论坛看看发现 N 多人都
3、中了 QQ 病毒同情 ING 于是便随便找了个求助贴,把杀软关了,把那个病毒源程序下载来了.dir 一下,把 WINDOWS 和 system32 目录下的.exe 和.dll 文件输出到文本.然后就运行那个病毒了. 很显然.任务管理器被禁用了.打开 QQ 会自动向外发信息(这个我早就知道了.嘻嘻.我当然不会傻到跟人家去聊 Q.)其实经过分析.这其实还是个木马.会将一些病毒制造者感兴趣的东东通过 E-mail 发到他的邮箱. 这么做的目的无非是想让人家无法终止病毒进程. 然后就到注册表里去解锁.他却没有禁用注册表.开始心想.这 SB,居然不禁用注册表?明明可以改回来嘛! 解除任务管理管理器被禁
4、止找到 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies 把 DisableTaskMgr 直接删除了. 重新加载一遍 WINDOWS 外壳程序.却发现一个问题.任务管理器还是打不开.再次打开注册表.发现 DisableTaskMgr的键值依然存在.郁闷了.怪不得他不禁用注册表. 其实应该想到了.这应该是内存中驻留的病毒程序搞的鬼.一旦他检测到你对注册表所做的修改.他会自动改回来的. 好吧.看到底是哪一个病毒程序.运行病毒程序之前为了保险,我是先对系统文件信息做了一个大概的备份的.然后再 dir一下 WINDOWS
5、和 system32 目录下面的 exe 和 dll 文件.依旧输出到文本.用 fc.exe 比对了一下.发现确实多了一个svohost.exe,其实他就是想与 svchost.exe 这个系统文件混淆.只差一个字母.不仔细还真发现不了. 接下来开始解决. 1.打开 CMD.输入命令 tasklist 回车查看一下.果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在 CMD 下用 tasklist 命令还是可以查看到进程信息的) 2.关了他.输入命令 taskkill /f /im svohost.exe 提示成功. 3.搜索 svohost.exe 这个文件(把搜索隐藏
6、文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫 lsasa.exe 的也得删除.他模仿的是 WINDOWS 的正常进程 lsass.exe. 4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为“不显示隐藏文件“,这么做的主要目的在于让你在 WINDOWS 环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用 WINDOWS 的搜索.只要在高级选项里把“搜索隐藏的文件和文件夹“勾上就可以找到了.2.在命令提示符里用 dir /a 命令也可以查看到.麻烦一点罢了.由于 WIND
7、OWS 和 SYSTEM32 目录下文件太多.用 dir 命令的时候.最好再加一个参数.dir /a /p 这样会更好. 我们到注册表里去把他改回正常状态. 打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个 CheckedValue 的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个 DWORD 的值为 CheckedValue.把他的值设为 1. 基本搞定了
8、.一开始我只是想弄明白他是怎样一个原理.其实.相信大家也应该看出来了.如果你的杀毒软件病毒库够新的话.都能把病毒源程序杀掉的.你所需要做的只是修复注册表中的相关项.这里也提供了一个 DIY 解决问题的思路.也许病毒源文件并不一样.大家按照实际情况.按照上面的方法操作. 友情提示一下:在 QQ 上发过来的文件.不经过确认可不要随意乱点.没准一不小心就中招了. PS:一些不得不说的话:我发现有很多人误会我的意思了 这个贴子其实我只是想告诉大家一种方法。我发现有很多网友却依葫芦画瓢,去电脑里搜索 svohost.exe 和lsasa.exe,其实病毒有很多种,源文件也是千变万化的,不能认死理,重要的
9、是方法。只要有病毒运行,那么一定是有病毒进程的我想现在还不多见隐藏进程的病毒吧仔细观察,总能发现源文件的也许是跟系统文件名称一样但路径不同例如在不同路径下有的 svchost.exe,rundll32.exe 等 解除任务管理管理器被禁止对于一般的网友而言,最好是用强力的杀毒软件来杀。 至于手动清除的话。我们也有很多方式可以查的一般的病毒,都会设置为自启动那么,大家可以到注册表里一些可以启动的地方去找一找。如 RUN,SHELL 等相关文章大家可以上网去找一找,有些病毒会注册服务,以服务的形式启动大家可以打开 services.msc 来查看。 很多病毒喜欢伪照服务进程。这里我以查进程中的 s
10、vchost.exe 有无可疑为例 在 CMD 里输入命令:tasklist /svc 回车可以看到 svchost.exe 的进程代表的服务。下图是我的: 大家可以看到,有四个 svchost.exe,那么,我们在 tasklist 下面看是几个呢? 也是四个证明这四个 svchost.exe 都是正常的(服务态加载的病毒除外) 如果在上面那幅图出现了 5 个 svchost.exe 呢?这意味着。那个多余的 svchost.exe 肯定是有问题的。那么我们可以在C 盘搜索一下 svchost.exe 看到底有几个,非 system32 目录下的 svchost.exe 一定是病毒 大家可以
11、先把所有的应用程序,一些认识的除系统进程外的后台程序通通都关了,缩小查找的范围,这需要的就是经验。 其实 WINDOWS 提供了很多的小工具帮你解决问题,如系统信息查询工具,msconfig,servicse.msc,tasklist.exe 等等小工具,只要用好了这些小工具,我想将病毒除去也不是什么太大的难事! 还是建议大家能安装一个好一点的杀软。如果嫌麻烦的话,但我认为,能自己亲手把病毒干掉。是一件很值得快乐的事情 推荐大家使用 longhorn 的任务管理器!longhorn 的任务管理器可以在进程中直接点右键选择打开该应用程序所在的文件夹,这对于查病毒是非常有用的对于禁用了任务管理器的用户可以使用第三方的任务管理器,如 WINDOWS 优化大师自带的进程管理就不错,可以直接看到应用程序的路径,节省了大把的时间 自己先选个用觉得哪个好。 。就用哪个!
