扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
3.救治:
权限限制法:
如果用户无权访问该注册表项了,它也就无法修改这些东西了。打开注册表编辑器,进入
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options ,选中该项,右键→权限→高级,将administrator 和 system用户的权限调低即可(这里只要把写入操作给取消就行了)。(图3)
图3
快刀斩乱麻法 :
打开注册表编辑器,进入把HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 项,直接删掉 Image File Execution Options 项即可解决问题。 (图4)
图4
案例三:毒霸被Kill
1.症状:金山毒霸的进程被结束,桌面下的毒霸图标变灰或者消失,实时监控实效。系统启动后提示:“运行环境不完整,可能发生文件损坏,建议重新安装金山毒霸或在线升级!”
2.金山毒霸2008以前的版本,对于自身进程的保护做得很差,运用命令就可以轻易地结束其进程,停止其服务。
taskkill /f /im kav32.exe
ntsd -c q -p #
提示:kav32为毒霸的进程名,#为毒霸进程的PID
3.救治:
升级法:把金山毒霸升级到2008。经测试,不能结束进程。(图5)
图5
文件法:如果你不想升级,那就把taskkill、ntsd命令改名或者删除。
二、“救命啊!我要被Kill了!”
无知不是罪,但不知却很可怕。敌人进入你的电脑你却浑然不知!总是在几天之后才发现,杀软早就悄无声息地被人干掉了,机子里充满了病毒。是呀,网上充满了各种木马、病毒加花加壳加草的方法,躲过杀软的监控,成功运行后,杀软便成了刀俎鱼肉,第一个被人干掉,不经意间你可能才会发现杀软的图标早就不见了,但是也晚了。那么杀软才被干掉的一瞬间,能不能让它喊一声救命再死呢?让我们好第一时间拯救它!
1.脚本文件法:
打开记事本,输入下面脚本代码(下面代码以瑞星为例):
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\" &strComputer &" ootcimv2")
Set colMonitoredProcesses = objWMIService. _
ExecNotificationQuery("select * from __instancedeletionevent " _
& "within 1 where TargetInstance isa "Win32_Process"")
i = 0
Do While i = 0
Set objLatestProcess = colMonitoredProcesses.NextEvent
If objLatestProcess.TargetInstance.Name = "RavMon.exe" Then
Wscript.Echo "注意:瑞星杀毒软件已经被关闭!!! 进程名:" &objLatestProcess.TargetInstance.name
end if
将第十行中的RavMon.exe替换成自己所使用的杀毒软件进程名,一定要注意大小写,第十一行中的中文字也可以自己写。然后依次单击“文件”→“另存为”,将其保存为*.vbs文件,双击运行即可开始对杀毒软件的监视,最好放到Windows启动文件夹中(C:Documents and SettingsAll Users「开始」菜单\程序启动),这样每次开机都会自动对杀毒软件进行监视,如果想要停止监控只要结束wscript.exe进程即可。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。