lovedjsn

BBS上有咯名字“Hpid”
呵呵有个三方工具可以查到隐藏PID 但试了好几种方法都提取不了内容
现在只能用强删的方法了

@echo off
echo   本意用于读取隐藏进程PID，NTSD结束进程
echo   但现因无法提取PID,无奈采用强删方法,现用三方工具驱动级可删任何文件
echo   2011.12.6.
pause
::定义当前用户TEMP路径
set "temp=C:%HOMEPATH%\Local Settings\Temp\"
::定义三方工具
set "xt=xt.exe del /f"
::删除EY??.exe文件 ,确认活动中进程名
del /f /s /q "%temp%"ey??.exe>nul
::读取活动中进程路径，使用三方工具删除文件
for %%i in ("%temp%"ey??.exe) do echo %%i&&%xt% %%i
pause>NUL
复制代码

没找到可以加我QQ：87100854

bluewing009

回复 4# lovedjsn

爪机中……
    请百度unlocker这个工具比较有名，主页似乎是……http://ccollomb.free.fr/unlocker/

能不能吧你那个隐藏进程名的东东发给我？

lovedjsn

回复 2# bluewing009


    是被调用，你可以提供一下unlocker（三方工具）的命令行下载地址？BBS逛了没找到这个工具

ntsd是可以结束这个进程的，前提是要有PID。因进程名为隐藏NTSD直接取进程名无法结束。所以要转一个圈取PID才行~~~！

lovedjsn

是被调用，试了一下通过NTSD PID可以结束这个进程，你可以提供一下unlocker（三方工具）的命令行下载地址？BBS逛了没找到这个工具

bluewing009

我大概明白你的目的了，
我先说一下我的想法……
1.temp里删不掉的exe并非在运行状态，比如被调用，权限锁定等
2.ntsd支持进程名，不一定非要PID
3.NTSD仍然属于应用程序，权限不高
4.隐藏进程即使找出来NTSD不一定能结束
5.tasklist也好，wmic也好，对于API拦截也没辙（比如以前的灰鸽子），找不到你的隐藏进程
6.建议你参考unlocker（三方工具）的命令行