原贴网址:http://www.cnblogs.com/leipei2352/archive/2013/02/05/2892482.html
注:最后面的一小部分是本文查找这篇文章时的一些情况说明
以下分隔后面为原贴内容
-------------------------------------------------------------------------------------------------
卸载程序,结果没卸载干净---程序的安装目录中还剩下一个dll文件。想删,结果系统提示说dll文件被某个进程占用了,不让删。
先前碰到这种做法,我都是直接使用unlocker先unlock一下,然后删的。不过公司的电脑,不让随便安装软件,于是只能想其他办法了。
在网上找了半天,终于给找到查看dll被某个进程调用的方法了。
在命令行下使用 tasklist /m dll文件名 就能查找了。原来tasklist还有这作用啊。于是又去翻tasklist的使用说明。以下就是找到的应用举例,具体的tasklist参数和含义,直接使用tasklist /?看就行了。
------------------------------------------------------------------------------华丽的分割线------------------------------------------------------------------------------------------------------------
应用实例
1.查看本机进程
在"命令提示符"中输入Tasklist命令即可显示本机的所有进程(图1)。本机的显示结果由5部分组成:图像名(进程名)、PID、会话名、会话#和内存使用。
2.查看远程系统的进程
在命令提示符下输入"Tasklist /s 218.22.123.26 /u jtdd /p 12345678"(不包括引号)即可查看到IP地址为218.22.123.26的远程系统的进程。其中/s参数后的"218.22.123.26"指要查看的远程系统的IP地址,/u后的"jtdd"指Tasklist命令使用的用户账号,它必须是远程系统上的一个合法账号,/p后的"12345678"指jtdd账号的密码。
注意:使用Tasklist命令查看远程系统的进程时,需要远程机器的RPC服务的支持,否则,该命令不能正常使用。
3.查看系统进程提供的服务
Tasklist命令不但可以查看系统进程,而且还可以查看每个进程提供的服务。如查看本机进程SVCHOST.EXE提供的服务,在命令提示符下输入"Tasklist /svc"命令即可(图3)。你会惊奇地发现,有4个SVCHOST.EXE进程,而总共有二十几项服务使用这个进程。
对于远程系统来说,查看系统服务也很简单,使用"Tasklist /s 218.22.123.26 /u jtdd /p 12345678 /svc"命令,就可以查看IP地址为218.22.123.26的远程系统进程所提供的服务。
4.查看调用DLL模块文件的进程列表
要查看本地系统中哪些进程调用了shell32.dll模块文件,只需在命令提示符下输入"Tasklist /m shell32.dll"即可显示这些进程的列表。
5.使用筛选器查找指定的进程
在命令提示符下输入"TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running",就可以列出系统中正在运行的非SYSTEM状态的所有进程。其中"/FI"为筛选器参数,"ne"和"eq"为关系运算符"不相等"和"相等"。
综合应用之结束进程
一、Tasklist
谈到"Tasklist"命令,我们就不得不提到它的孪生兄弟"Taskill"命令,顾名思义,它是用来关掉进程的。
要关掉本机的notepad.exe进程,有两种方法:
1、先使用Tasklist查找它的PID,假设系统显示本机notepad.exe(notepad.exe是个病毒性程序,很难删除,一般在C:/windows/system32下)进程的PID值为1132,然后运行"Taskkill /pid 1132"命令即可。其中"/pid"参数后面是要终止进程的PID值。
2、直接运行"taskkill /IM notepad.exe"命令,其中"/IM"参数后面为进程的图像名。
二、NTSD
系统debug级的ntsd,很多进程Tasklist是杀不了的,但是用ntsd就可以,基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉,不过有些rootkit级别的超级木马就无能为力了,不过幸好这类木马还是很少的。
1、利用进程的PID结束进程
命令格式:ntsd -c q -p pid
命令范例: ntsd -c q -p 1332 (结束explorer.exe进程)
2、利用进程名结束进程
命令格式:ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)
-------------------------------------------------------------------------------------------------
以下的为本文补充的文章搜索情况
今天(2016.9.21)突然发现一个svn目录出问题了,无法提交,重新checkout还是无法提交,只好把原文件放到svn服务器的另外一个目录才整好了。出问题的情况是,在提交时uuid不对,直接更新时提示auth失败,我重新checkout后修改再提交,提示没有权限。实际情况是,我没有保存密码,所以每次查看或者提交或者更新时都应该要输入用户名和密码才行,但是唯独这个目录,我在checkout时不需要输入用户名和密码(根本就没有给我输入,就是直接checkout出来了,正常情况 是要先给我个输入的地方,输入之后才checkout动作)也能checkout成功,所以在提交时也没有给我输入,自然就认证失败。没搞清楚是啥情况,只好放弃这个目录
其实这个问题和今天的这篇文章关系不大,但它是引子。调试程序,通过debugview查看打印,发现好多如下的打印:
[4276] ==不需要清理 XMD==
[4276] 服务器端指定的范围是:15, 我们的范围是:4
这玩意一会儿打印10来条,一会儿打印10来条,实在是影响我的程序调试,而且我电脑本来就慢得要死,查看其进程id,竟然是ie!然后就查看ie的加载项,发现了一个KisIEProtecter64.dll,标明是kingsoft公司的插件,复制信息查看其位置,发现在 C:\ProgramData\Kingsoft\Kisaas\ComPlugins 目录中,再一看,有两个:KisIEProtecter.dll、KisIEProtecter64.dll,上网上搜索,发现如下几个网址:
【已确认】这是企业版QQ搞的鬼么?:http://bbs.kafan.cn/thread-2037039-1-1.html
狗日的百度搜索+金山毒霸+腾讯企业QQ :http://www.tuicool.com/articles/EjUz2y6
右键菜单多了个“百度一下”,竟然是金山搞鬼!:http://tieba.baidu.com/p/4234309687
kisieprotecter64.dll 怎么 删:http://zhidao.baidu.com/link?url=hHozZuutkOgz2f2Q-RPUNkR0cHINoaXj3YAIcKQe6xWHg4NJwOyVTfprBpAa5xQ0bQuYTZYLhodVU_dk99brZneH4Z6ulxnVuzx7DDG--3m
才发现这个东西是个流氓,我直接删除它,结果这个目录中的好几个文件都删除不掉,去任务管理器里关闭了两个程序后,除了KisIEProtecter64.dll,其它都删除掉了。然后去搜索“如何查看dll被哪个进程依赖”,就搜到了上面的文章。结果一查看傻眼了,发现是explorer.exe占用了该文件!
然后在管理器中结束了explorer之后,所有的资源管理器也都没有了,这文件也还是没法删除,然后在刚刚输入tasklist的cmd窗口中重启explorer,然后再打开 C:\ProgramData\Kingsoft 目录,然后一举把整个 kisaas目录 以及kis目录全部删除掉,然后新建了两个文件分别为kisaas和kis,这样防止程序再创建这两个目录。
这样估计以后就不会再受这个流氓骚扰了,但是有个问题,这个肯定是一个什么服务,但是在服务里也看不到,所以还得清除注册表中的内容,通过搜索 KisIEProtecter64 ,把相关的项删除掉。我只把和KisIEProtecter64直接相关的项删除掉,没有再进一步搜索其它的项了,所以估计清理的不干净。
再查看右键菜单,果然发现“百度一下”项不存在了。
我有些奇怪的是,这kingsoft、baidu、qq咋就这么搞到一起去了?这个dll文件是在kingsoft目录里,而且也显示的是beijing kingsoft公司的,但是发现它又是qq提供的服务,而右键菜单中又显示的是百度一下,真是纠缠不清,关系复杂,越理越乱,但总之,就是流氓,从来没有通知过我安装了这些软件,竟然还是企业qq始作俑者!
通过以上的操作,电脑目前没有什么异常,等明天重新启动看看情况是否有什么异常,如果没有什么异常那就很好了