我就是大懒虫

谢谢随风回帖
病毒路径是之前测试得知的，在进程管理器里面无法直接结束病毒进程，所以知道路径也无法直接删除文件，何况文件被隐藏，并且系统隐藏显示设置被锁定。
另外，做此批处理的一个目的是，批量简单的处理此病毒，而不是单台机器手动处理 ，举个例子：
c:
attrib /s  -s -h -r  lsass.exe    //去除文件属性
pskill lsass.exe                      //结束病毒进程（问题出在这里，这么写的话，结束的不仅仅是病毒进程，因为没有指明路径，把系统进程也结束了）
del /s lsass.exe                    //删除病毒文件

另外我知道好像不能直接结束指定路径的进程，那么换种思路。获取指定进程的pid是不成问题的，在获取的pid的同时获取进程的路径也不成问题，MT.EXE可以做到。但是获取之后如何比较两个进程路径的不同，然后提取病毒文件所在路径的进程的pid，再用PSKILL去结束此PID就ok了，那么思路如下
C:
attrib /s  -s -h -r  lsass.exe //去除文件属性
MT -pllist >l.txt                    //获取所有进程信息，包括路径和PID写入l.txt
????????                          //将l.txt中进程名为lsass.exe并且路径为%windir%\system32\com的pid提取到一个ｐ．ｔｘｔ文件
Pskill pid                            //用ｐｓｋｉｌｌ结束ｐ．ｔｘｔ　中的pid


随风看看这样是否可行，指导一下，谢谢

随风

怎样才是 符合病毒路径呢？  若是知道病毒路径，你直接删除它不就可以了么？
我想你那个系统的进程路径应该是绝对的吧，
不知道wmic可不可以通过进程名来获取路径。。。

[ 本帖最后由 随风 于 2008-3-25 16:49 编辑 ]