求助，可以用winxp自带的功能禁止某进程运行吗

CountryCat

中个广告流氓，自动在%system/system32下生成3个.exe文件 进程中互相保护 用各种反流氓软件 从service，注册表等各方面禁止，发现还是，杀掉进程可以，但是一旦启动explorer.exe 就必定出来 怀疑已经感染了explorer.exe  用process explorer 可以杀掉进程 但是仍然不能阻止其重新启动 问下有没有办法不用第三方软件 就用winxp自带的功能 禁止某进程运行？

Cityrat

:mask: 不懂

近几日看到某mage，怀念下

澹台灭明

icesword可以卸载explorer.exe进程中的模块文件的
卸载了再删除呢
或者挂在别的系统下删除
你这个情况应该不止三个病毒文件的，
Documents and Settings目录下的用户文件目录下的local settings目录下的temp目录清空下
C:\\WINDOWS\\Debug
C:\\WINDOWS\\SYSTEM32
C:\\Program Files\\Internet Explorer
这些目录下也看看有没有可疑文件，以文件创建时间过滤下
找个工具把注册表文件关联和隐藏文件显示修复下
各个分区看下有否自动运行适配文件的存在
这是去年的应对方式
今年的病毒手段又变化了

kumat

1、用WinPE启动（比如红叶，DDWorks，等等），直接删除相关文件，修改相应注册表；
2、cmd下用  taskkill /f /im explorer.exe 停掉explorer，然后用delete命令删除相关文件，用regedit删除相关注册表；
3、改用Linux

1能够对付绝大多数的木马和流氓软件（比如Yahoo助手），2只能对付一般的，3最好了呵呵

CountryCat

原帖由 澹台灭明 于 2007-6-14 10:55 发表
icesword可以卸载explorer.exe进程中的模块文件的
卸载了再删除呢
或者挂在别的系统下删除
你这个情况应该不止三个病毒文件的，
Documents and Settings目录下的用户文件目录下的local settings目录下的temp目录清空下 ...

已经确定该病毒注册为驱动级了 但是用sreg从驱动,服务,注册表三方面一齐下手 都日不掉这个东西

还有那3个.exe都可以正常删除掉,不会显示被系统使用,但是就算删除,过一段时间也会自己生成

[ 本帖最后由 CountryCat 于 2007-6-14 19:40 编辑 ]

VanPersie

unlocker 能日掉那个sys么

Rosetta

如果是NTFS文件系统的话, 可以干掉这三个文件的所有权限....

abc9878

饿，windows运行程序后程序文件本身可被改名（不用任何工具），然后他会恢复文件对吧………………找到回复的文件，然后用记事本打开，删除里面所有的东西，保存，3个EXE都这样后，重启。因为EXE文件已被你损坏，病毒本身不知道你改名后的文件名，所以无法运行，后面的就不用我教了吧。

abc9878

改名后的文件重启前不可删除，因为还在运行中。

CountryCat

试过了 不管用伪造还是破坏.exe的方法 病毒都会覆盖为全新的.exe 不管你是否+h +s +r

Observer

icesword不是可以限制指定名称进程的启动,只要这些个进程名字不变应该不会限制不住吧
印象中似乎还有一款软件也有同样功能

电风扇

把那个.exe文件的名字做关键词在败毒里搜，说不定能找到完美的解决方法。

已经找过了的话就当我没说过:vampire: :vampire:

abc9878

还有改注册表也可以

………………从一个恶意软件上学来的

妈的，网吧没法开REGEDIT.EXE，草