PCDVD數位科技討論區 - 工作管理員無法開啟

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 疑難雜症區 (https://www.pcdvd.com.tw/forumdisplay.php?f=34)

- - 工作管理員無法開啟 (https://www.pcdvd.com.tw/showthread.php?t=815195)

工作管理員無法開啟

1. [Ctrl-Alt-Del]按下去後,[工作管理員]可點擊,但點擊後沒[工作管理員]畫面
2. 工作列右鍵會出現[工作管理員]可點擊,但點擊後沒[工作管理員]畫面
3. [執行]->[taskmgr.exe],[Enter]後沒[工作管理員]畫面
4. [檔案總管]->找到[taskmgr.exe],雙擊後沒[工作管理員]畫面

以上點擊後都會感覺到有執行,但最後就是沒[工作管理員]畫面
進安全模式
一樣可點擊但沒[工作管理員]畫面

試過
a.
開始→執行→輸入gpedit.msc→進入群組原則→使用者設定→
系統管理範本→系統→Ctrl+Alt+Del選項→移除工作管理員→
改成「尚未設定」或「已停用」
(結果無改善)
b.
查過register Table
HKEY_CURRENT_USER\Software\Microsoft\Windows|CurrentVersion\Policies\System
DicsableTaskMgr設為0
(結果無改善)

甚至我想改安裝 ProcessExplorer 來查原因
download ProcessExplorer.zip 並解壓縮後
想執行procexp.exe進行安裝
居然執行procexp.exe也是感覺到有執行,但最後就是沒畫面

如果是病毒
這病毒也真強

google過也有些人發生過這情形
最後都是重灌收場
我想試試看各種方法,儘量不重灌

希望這篇可以討論出個解決方法
讓後來發生一樣情況的人可以不用重灌

不久前遇過一例，
我是下載卡巴KAV2009，用一個月的試用啟動
可以解決這個問題

你應該regedit也打不開吧
試了各種網路上找到的方法
我最後也是....重灌

網路上找到大陸那邊的修正方法，您參考看看

引用:

註冊表、任務管理器打不開，硬盤佔用變大，
只有那個該死的任務管理器還是打不開，
現象是滑鼠只輕輕地「忙」一下就沒任何反應了
（並非那種彈出個管理器的外觀馬上就消失）。

具體症狀如下：

用regedit,或gpedit.msc設定任務管理器的方法無效；

拷貝新的taskmgr.exe到system32,dllcache同樣無效；

安全模式下同樣，（沒有可用的系統還原點可用來還原）；

winXP修復安裝無效。

上網下載一個新的taskmgr.exe覆蓋過去也沒用。

筆者後來發現，其實只要一個可以正常運行的exe文件，
把它改名為taskmgr.exe後，就同樣變成這個現象了。
只要把taskmgr.exe改個名字abc.exe就可以運行了，
但是把另一個文件比如notepad.exe改成taskmgr.exe就執行不了。

這是典型的影像劫持，解決方法：

執行regedit 找到HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options

把Image File Execution Options 下面的項目全部清除然後更新病毒碼或者找可以掃木馬的軟體掃一遍電腦

另外說明原理：

木馬病毒做了影像劫持（鎖定？），把很多可執行程序複製到了ntsd.exe這個文件上，所以打不開ntsd.exe是windows系統自動執行命令，可能是你中了病毒後被病毒用這個命令終止了進階程序。

PS.我有稍微翻譯過怕你看不懂大陸文法 :jolin:
那個「劫持」我真的不知道要翻譯成什麼才適當
因為大陸那邊是把英文直接翻譯過去的詞

另外再貼其他解決方法
您也可以參考看看

引用:

下下面虛線中的文字，貼到記事本，存成fix_cmdregedit.zip.vbs就可以使用了喔

-----------------------------------------------------------------------------------------------

Set WshShell = WScript.CreateObject("WScript.Shell")
With WScript.CreateObject("WScript.Shell")

On Error Resume Next

.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
.RegDelete "HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD"
.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
.RegDelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr"

End With

Mybox = MsgBox(jobfunc & enab & vbCR & "Finished!", 4096, t)

---------------------------------------------------------------------------------------------

另一個網友用日本網友方法解的

引用:

原文摘錄如下：

引用:

……
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
の"Debugger" = "ntsd -d"の値を削除したところCtrl+Alt+Deleteで起動するように戻りました。
同じ要領で、regedit.exe　procexp.exeの"Debugger" = "ntsd -d"の値を削除してみたところ起動するように戻りました。　
（http://okwave.jp/qa4069654.html）

我刪除了Debugger的值（ntsd -d），taskmgr竟然馬上好了。真是感謝這位朋友。
僅在此提供經驗，以供參考。
PS:　另一個病毒遺蹟是輸入法不見了。依某篇之建議，把遺失的c:\windows\system32\ctfmon.exe從別台補回去，執行之，就好了。

引用:

作者edjc

另外再貼其他解決方法
您也可以參考看看

另一個網友用日本網友方法解的

這招好
主要都是因為Debugger值裡面路徑是病毒路徑
我的是C:\WINDOWS\System32\mevase.exe
砍了mevase.exe後一值沒辦法開taskmgr跟regedit
總算解決了

引用:

作者野貓的天空

這招好
主要都是因為Debugger值裡面路徑是病毒路徑
我的是C:\WINDOWS\System32\mevase.exe
砍了mevase.exe後一值沒辦法開taskmgr跟regedit
總算解決了

恭喜你囉
終於解決了問題
提醒你把防毒更新後斷開網路再重掃一次系統
也順便把木馬也掃一掃
讓系統乾淨一下

感謝各位的回應
我的regedit 是可以打開的
gpedit.msc 也可以打開
只有 taskmgr.exe 點擊無效

跟edjc兄轉貼的第一篇一模一樣
因為出狀況的電腦是公司電腦
等上班會試看看 edjc兄轉貼的方法
再把結果貼出來

從edjc兄轉貼的這些描述
發現是windows另一個少見的功能(Image File Execution Options)
被木馬利用來達成讓使用者沒工具清理他們

果然我也是 Image File Execution Options 被寫入設定的問題
今天在Image File Execution Options下看到有60~70個子目錄
(Image File Execution Options本身只有一個簡單內容)
每個子目錄內容都差不多
裡面有2/3個子目錄內容都是 debugger = ntsd -d

把全部的子目錄都直接殺掉
重開機後
現在taskmgr 可以開啟成功了

edjc兄真是利害
太感謝了

同時希望這一篇能讓以後有相同困擾的人google到
就免去重灌的的麻煩了

今天我也遇到者問題了
別分公司的老電腦，中毒N多年
之前裝的人把ERP跟FTP都放在同一台，然後也沒裝防毒...
好啦，討論這種腦殘裝法不是重點

今天遇到的是工作管理員無法顯示+MMC不正常，使用者管理介面出不來
工作管理員照上面的做法可以解決
MMC那個要去regedit
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC
只留預設值，其他刪掉，就好了 :jolin: