为啥会有个kill进程？还杀不掉？

Posted 2023-04-28

参考技术A 分类: 电脑/网络 >> 反病毒
问题描述:

我的电脑现在打开任务管理器之后总有个叫kill的任务在运行，图标是个excel文档的样子。电脑速度奇慢不说，很多程序，比如瑞星，木马助手都用不了了，而且我连跑跑卡丁车都玩不成了。并且注册表也被修改，不能看到隐藏文件。（除非在地址栏里打了路径名）

现在重装了系统，但是没有用，ms其他盘上的文件也被感染了。用升过级的木马助手在硬盘中能搜出个叫tel.exe.xls（好像是）

请问各位高手，怎么做才能把这个kill彻底杀掉呢？

我们宿舍的电脑好像都有中招的趋势。*_*

解析:

老兄:

你中的这种病毒很厉害啊.不过不是没有办法清除的.肯定是你经常用优盘吧 .以后注意哦.这种病毒靠优盘传染的

请你我把的方法看清楚.呵呵

tel.xls.exe的查杀方法！很恶心的一个病毒，总算搞定了

最初的症状为：右键点击盘符，多出来一个AUTO的选项。打开盘符时（如C盘），会自动新建一个窗口来打开。看不到隐藏文件，在文件夹选项中设置成显示隐藏文件后，会自动改为不显示隐藏文件。任务管理器中可以看到excel的任务在运行。U盘双击打不开，得右键打开。

这个病毒通过U盘等移动存储传播，大家去打印的时候注意一些。

查杀方法

1.删除驻留的病毒程序：打开"任务管理器"，找到tel.xls.exe和SocksA.exe进程（也可能没有），把它们

结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除，使用

killbox选择重启删除，或进入安全模式删除。

2.禁用移动设备的自动运行功能（目的在于避免重新被U盘感染）：把下面的代码保存为

noautorun.reg，导入注册表即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

3.恢复显示所有的文件项：打开regedit，找到

HKEY_LOCAL_MACHINE\Sofare\Microsoft\windows\CurrentVersion\explorer\

Advanced\Folder\Hidden\SHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如

果不是则删掉 CheckedValue，然后单击右键"新建" - "Dword值"，并命名为CheckedValue

，然后修改它的键值为1。

4.删除病毒文件：打开"文件夹选项" - "查看"，选择"显示所有文件和文件夹"，并把"隐藏

受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开"，删除各个非系统盘根

目录下的autorun.inf和tel.xls.exe文件。

5 用msconfig把启动项目里的SocksA.exe删掉

6.重新启动计算机。

还有一种方法:

手动删除“tel.xls.exe病毒”方法：

[病毒名字类似，症状如下：

无法显示隐藏文件、系统变慢、CPU经常100％、打开硬盘分区时提示用什么程序打开、硬盘分区右键有Auto字样等等.....]

！！！注意！！！

在以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键—>打开

一、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在应用程序里面查找类似kill等你不认识 [任务栏不显示] 的任务，右键—>转到进程，找到类似 [SVOHOST.exe]（但不是SVCHOST，相差一个字母）的进程，右键—>结束进程树

二、显示出被隐藏的系统文件

开始—>运行—>regedit

HKEY_LOCAL_MACHINE\Sofare\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的 [DWORD] 值CheckedValue删除掉，新建了一个无效的字符串值 [REG_SZ] CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹—>工具栏—>工具—>文件夹选项，将 系统文件隐藏文件 和 文件后缀名 设置为显示，

三、删除病毒

在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有 autorun.inf 和 tel.xls.exe 两个文件，将其删除。U盘同样，下面的系统里面有说U盘的，看完再说！

四、删除病毒的自动运行项

开始—>运行—>msconfig—>启动—>，删除类似sacksa.exe之类的不认识的项，保留项为[杀毒程序、ctfmon、摄像头、防火墙]

或者打开注册表运行—>regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

删除类似C:\WINDOWS\system32\SVOHOST.exe 的项

五、删除遗留文件

C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除

SVOHOST.exe[注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒]

session.exe、sacaka.exe、以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意

重启电脑后，基本可以了。

关于杀毒软件说一下，病毒库一定要更新，设置一定要自己慢慢调，不要安装了就什么也不做了

杀毒软件不是万能的，这种病毒它也没有办法啊，还是要手动搞定。其实大多数病毒的清除方法差不多，研究一下这个病毒别的病毒就差不多了，无非就是写注册表启动项、系统钩子、守护进程、系统目录、类似文件名迷惑

关于系统安全说一些

Window XP 开始－》运行

msconfig 设置启动项

regedit 修改注册表，注册表的权限设置可以自己改一下，挺有用的。NTFS文件系统的权限设置也可以好好看看，普通用户就不用看了。

gpedit.msc 可以设置IP策略等很多系统选项，仔细研究一下吧。这里举例关闭系统的自动播放吧，就是这个病毒的效果了，哈哈。计算机配置|用户配置－>管理模块－>系统－>关闭自动播放－>所有驱动器－>已启用。如果闲麻烦，以后插入U盘的时候按住Shift，那么这个设备就不会自动启动了，然后右键－>打开就可以了。其实自动播放本来是挺好的功能，但是被利用了就危害大家！

services.msc 系统服务，这个很重要，相关的文章很多，我就不多说了，问baidu

Good Luck！

如何查找僵尸进程并Kill之，杀不掉的要查看父进程并杀之

转自：如何查找僵尸进程并Kill之，杀不掉的要查看父进程并杀之

 

用ps和grep命令寻找僵尸进程
#ps -A -ostat,ppid,pid,cmd | grep -e ‘^[Zz]‘
命令注解：
-A 参数列出所有进程
-o 自定义输出字段 我们设定显示字段为 stat（状态）, ppid（进程父id）, pid(进程id)，cmd（命令）这四个参数
因为状态为 z或者Z的进程为僵尸进程，所以我们使用grep抓取stat状态为zZ进程
运行结果参考如下
Z 12334 12339 /path/cmd
这时，我们可以使用 kill -HUP 12339来杀掉这个僵尸进程
运行后，可以再次运行ps -A -ostat,ppid,pid,cmd | grep -e ‘^[Zz]‘来确认是否已经将僵尸进程杀死
如果kill 子进程的无效，可以尝试kill 其父进程来解决问题，例如上面例子父进程pid是 12334，那么我们就运行
#kill -HUP 12334
来解决问题

 

一般可以用top命令发现动态进程表

#top

其中zombie是僵尸进程

 

转自：如何查找僵尸进程并Kill之，杀不掉的要查看父进程并杀之