背景:服务器中挖矿病毒,导致任务管理器以及计划任务无法正常打开
现象1:任务管理器无法打开
可以先用SFC (System File Checker)命令对任务管理器进行检查先,看是否损坏:
sfc /verifyfile=C:\Windows\System32\Taskmgr.exe ## 使用完整路径验证文件完整性,但是不执行修复操作。
sfc /scanfile=C:\Windows\System32\Taskmgr.exe ## 扫描参考文件的完整性,并在发现问题时进行修复(需要指定完整路径)。
sfc /scannow:立即扫描所有受保护系统文件的完整性,并尽可能进行修复。
sfc /scanonce:在下一次引导时,扫描所有保护的系统文件的完整性,并尽可能进行修正。
sfc /scanboot:扫描所有受保护的系统文件的完整性,并尽可能进行修正。
sfc /purgecache:清除文件缓存并立即扫描所有受保护的系统文件。(这是为了在系统磁盘空间不足时释放磁盘空间。)
sfc /verifyonly:立即扫描所有受保护系统文件的完整性,不执行任何修复操作。
sfc /scanfile:扫描参考文件的完整性,并在发现问题时进行修复(需要指定完整路径)。
sfc /verifyfile:使用完整路径验证文件完整性,但是不执行修复操作。
如果没有错误,可能是被第三方程序修改注册表导致,若要修复错误,需要删除注册表的指定值,步骤操作:
-
右键单击"开始"菜单,单击"运行"(WinKey + R)
-
输入regedit,回车
-
转到以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
- 右键,然后选择删除“taskmgr.exe”
- 退出注册表编辑器
- 再打开任务管理器应该就可以了
如何手动禁用任务管理器?
通过注册表,找到 下面的路径
计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改DisableTaskMgr的值为1,则禁用任务管理器;0即为启动任务管理器
注:默认情况下,没有System项以及DisableTaskMgr,手动创建即可
新建System项
新建DisableTaskMgr
修改数值数据:
禁用之后通过鼠标和命令行使用任务管理器时会置灰及提示已禁用
现象2:计划任务无法打开
排查过程中发现windows的计划任务无法正常打开
1,使用快捷键Win+R打开“运行”对话框。
2,输入regedit,点击“确定”,打开“注册表编辑器”。
3,在“\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns”下找到FX:{***},可能有几项,只要是AssemblyName对应的数据为TaskScheduler的都删了。
4,如果担心误删,可以右键导出保存,需要的时候可以直接双击文件恢复。
“FX:{c7b8fb06-bfe1-4c2e-9217-7a69a95bbac4}”
“FX:{c7b8fb07-bfe1-4c2e-9217-7a69a95bbac4}”
5,然后重启即可。