方法壹:修改註冊表。打開註冊表,展開到:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
找到"DisableTaskmgr"把dword值設置為00000000
方法二:
打開記事本,把下面的內容保存成.reg文件,然後雙擊導入恢復。
REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableTaskmgr"=dword:00000000
(最後壹行留壹空行)
方法三:利用組策略:
開始/運行/gpedit.msc,
在用戶配置-管理模板-系統-CTRL+ALT+DELE選項,在左邊找到“刪除任務管理器”
雙擊打開,設置為未配置,或者禁用。
方法四:利用小軟件:
把下面的文件,解壓後點擊“任務管理器可用”,即可解決!!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
或者:
任務管理器被病毒禁用解決方法
任務管理器被病毒禁用解決方法
最近這段時間,QQ病毒又出來新品種了,就是任務管理器被禁用了,使妳知道中了QQ病毒也沒有辦法關掉病毒進程,壹開始作者把病毒修改的註冊表改回來,但發現修改完保存好的註冊表後駐留內存的病毒又將其修改了,怎麽辦呢?..........
作者:妖妖靈
偶爾回論壇看看~發現N多人都中了QQ病毒~同情ING`~
於是便隨便找了個求助貼,把殺軟關了,把那個病毒源程序下載來了.dir壹下,把WINDOWS和system32目錄下的.exe和.dll文件輸出到文本.然後就運行那個病毒了.
很顯然.任務管理器被禁用了.打開QQ會自動向外發信息(這個我早就知道了.嘻嘻.我當然不會傻到跟人家去聊Q.)其實經過分析.這其實還是個木馬.會將壹些病毒制造者感興趣的東東通過E-mail發到他的郵箱.
這麽做的目的無非是想讓人家無法終止病毒進程.
然後就到註冊表裏去解鎖.他卻沒有禁用註冊表.開始心想.這SB,居然不禁用註冊表?明明可以改回來嘛!
找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
把DisableTaskMgr直接刪除了.
重新加載壹遍WINDOWS外殼程序.卻發現壹個問題....任務管理器還是打不開.再次打開註冊表.發現DisableTaskMgr的鍵值依然存在.郁悶了.怪不得他不禁用註冊表.
其實應該想到了.這應該是內存中駐留的病毒程序搞的鬼.壹旦他檢測到妳對註冊表所做的修改.他會自動改回來的.
好吧.看到底是哪壹個病毒程序..運行病毒程序之前為了保險,我是先對系統文件信息做了壹個大概的備份的.然後再dir壹下WINDOWS和system32目錄下面的exe和dll文件.依舊輸出到文本.用fc.exe比對了壹下...發現確實多了壹個svohost.exe,其實他就是想與svchost.exe這個系統文件混淆.只差壹個字母.不仔細還真發現不了.
接下來開始解決.
1.打開CMD.輸入命令tasklist回車查看壹下..果然發現了這個進程:svohost.exe(雖然他禁用了任務管理器,但在CMD下用tasklist命令還是可以查看到進程信息的)
2.關了他.輸入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe這個文件(把搜索隱藏文件也勾上)搜索到後刪除!似乎有兩個.壹個是完全大寫的.壹個是完全小寫的.事實上還有壹個程序叫lsasa.exe的也得刪除.他模仿的是WINDOWS的正常進程lsass.exe.
4.本以為沒問題了.後來還發現壹個問題.他還修改了註冊表的壹處,使文件夾選項中對隱藏文件的設置始終為"不顯示隱藏文件",這麽做的主要目的在於讓妳在WINDOWS環境下找不到被設定隱藏屬性的病毒源文件.但這裏還有幾種手段可以找到他.1.用WINDOWS的搜索.只要在高級選項裏把"搜索隱藏的文件和文件夾"勾上就可以找到了.2.在命令提示符裏用dir /a命令也可以查看到.麻煩壹點罷了.由於WINDOWS和SYSTEM32目錄下文件太多.用dir命令的時候.最好再加壹個參數.dir /a /p這樣會更好.
我們到註冊表裏去把他改回正常狀態.
打開註冊表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL這個鍵.看右邊.找到壹個CheckedValue的值.我註意到這個該死的病毒居然把他改成了字符串值.如果妳不小心的話.也許會認為改了也沒用.把這個值刪除.重建壹個DWORD的值為CheckedValue.把他的值設為1.
基本搞定了.壹開始我只是想弄明白他是怎樣壹個原理.其實.相信大家也應該看出來了.如果妳的殺毒軟件病毒庫夠新的話.都能把病毒源程序殺掉的.妳所需要做的只是修復註冊表中的相關項.這裏也提供了壹個DIY解決問題的思路.也許病毒源文件並不壹樣.大家按照實際情況.按照上面的方法操作.
友情提示壹下:在QQ上發過來的文件.不經過確認可不要隨意亂點.沒準壹不小心就中招了.
PS:壹些不得不說的話:我發現有很多人誤會我的意思了`
這個貼子~其實我只是想告訴大家壹種方法。我發現有很多網友卻依葫蘆畫瓢,去電腦裏搜索svohost.exe和lsasa.exe,其實病毒有很多種,源文件也是千變萬化的,不能認死理,重要的是方法。只要有病毒運行,那麽壹定是有病毒進程的`我想現在還不多見隱藏進程的病毒吧~仔細觀察,總能發現源文件的~也許是跟系統文件名稱壹樣但路徑不同~例如在不同路徑下有的svchost.exe,rundll32.exe等~
對於壹般的網友而言,最好是用強力的殺毒軟件來殺。
至於手動清除的話。我們也有很多方式可以查的~壹般的病毒,都會設置為自啟動~那麽,大家可以到註冊表裏壹些可以啟動的地方去找壹找。如RUN,SHELL等~相關文章大家可以上網去找壹找,有些病毒會註冊服務,以服務的形式啟動~大家可以打開services.msc來查看。
很多病毒喜歡偽照服務進程。這裏我以查進程中的svchost.exe有無可疑為例~
在CMD裏輸入命令:tasklist /svc回車~可以看到svchost.exe的進程代表的服務。下圖是我的:
大家可以看到,有四個svchost.exe,那麽,我們在tasklist下面看是幾個呢?
也是四個~證明這四個svchost.exe都是正常的(服務態加載的病毒除外)
如果在上面那幅圖出現了5個svchost.exe呢?這意味著。那個多余的svchost.exe肯定是有問題的。那麽我們可以在C盤搜索壹下svchost.exe看到底有幾個,非system32目錄下的svchost.exe壹定是病毒~
大家可以先把所有的應用程序,壹些認識的除系統進程外的後臺程序通通都關了,縮小查找的範圍,這需要的就是經驗。
其實WINDOWS提供了很多的小工具幫妳解決問題,如系統信息查詢工具,msconfig,servicse.msc,tasklist.exe等等小工具,只要用好了這些小工具,我想將病毒除去也不是什麽太大的難事!
還是建議大家能安裝壹個好壹點的殺軟。如果嫌麻煩的話,但我認為,能自己親手把病毒幹掉。是壹件很值得快樂的事情
推薦大家使用longhorn的任務管理器!longhorn的任務管理器可以在進程中直接點右鍵選擇打開該應用程序所在的文件夾,這對於查病毒是非常有用的~對於禁用了任務管理器的用戶可以使用第三方的任務管理器,如WINDOWS優化大師自帶的進程管理就不錯,可以直接看到應用程序的路徑,節省了大把的時間
自己先選個用~~~~~~~覺得哪個好。。就用哪個!!10