批处理如何获取指定路径下的程序的进程PID并将其结束

qq866286

获取指定制定路径下的进程PID并结束，查阅不少了资料没实现，因为有个病毒名字叫svchost总是在临时目录下运行，用taskkill结束连系统的一并都结束了

有没有办法就是获取到%temp%目录下的svchost进程的PID，然后用taskkill /T /F 直接结束掉进程树呢？求解  VBS也行··

DiamondbacK

假设要杀的程序路径是

1. "D:\Program Files (x86)\vim\vim74\gvim.exe"

复制代码

获取其 processId 的方法：

1. 
   
2. for /f %%I in ('
   
3.   wmic process where ^
   
4.     "commandLine like '"D:\\Program Files (x86^)\\vim\\vim74\\gvim.exe" %%'" ^
   
5.     get processId ^| findstr "^[0-9]"
   
6. ') do echo=processId=%%I
   

复制代码

其中路径里的 `)` 要用 `^` 针对 cmd 转义，`\` 和 `"` 要用 `\` 针对 wmic 转义。

CrLf

与其杀进程，不如在 %temp% 下新建 svchost.exe 文件夹阻止病毒生成

我来了

借楼主的贴子问个没解决的问题：

假设 文件的完整路径是用户指定的（且文件名不可知）
   c:\用户指定.exe
那PID又如何对号入座呢？

happy886rr

回复 4# 我来了
一样的方法吧，就是遍历那个路径的文件，逐个查询 pid

qq866286

回复 2# DiamondbacK


    这个貌似不行！那个病毒是这样的！
temp目录/随机名/随机名/svchost.exe
然后svchost进程还会启动其他子进程
所以必须结束进程树才行！还希望大侠给个完整的解决方案

pcl_test

1. @for /f "delims=" %%a in ('mshta VBScript:Execute("CreateObject(""Scripting.Filesystemobject"").GetStandardStream(1).Write(CreateObject(""Shell.Application"").NameSpace(""%temp%"").Self.Path)"^)(close^)') do set "tmpfolder=%%a"
   
2. for /f "delims=" %%a in ('wmic process where "ExecutablePath like '%tmpfolder:\=\\%%%' and Name='svchost.exe'" get ProcessId /value 2^>nul^|find "="') do set "%%a"
   
3. taskkill /t /f /pid %ProcessId% 2>nul||echo;Not Found
   
4. pause

复制代码

qq866286

回复 7# pcl_test


    经测试 在win7x64下无效。不知道是哪错了

pcl_test

回复 8# qq866286


提示或 显示什么

CrLf

回复 7# pcl_test


    其实这里的 %temp% 已经被解释了...
by the way，如果变量 temp 不存在，ExpandEnvironmentStrings 会输出为 %temp%，改用 Environment.Item 可在 temp 不存在时结束 for /f

1. (new ActiveXObject('WScript.Shell')).Environment('process').Item('temp')

复制代码

当然更好的是用 GetSpecialFolder：

1. (new ActiveXObject('Scripting.FileSystemObject')).GetSpecialFolder(2)

复制代码

pcl_test

回复 10# CrLf

嗯，少了转义

我来了

回复 11# pcl_test


    我恨转义这东西，少个 符号 就会决定成败，就会痛苦的折腾半天

xxpinqz

中毒了，不是应该先考虑杀毒吗~