详解任务管理器2

㈦、打开任务管理器

 

1，鼠标右键点任务栏，单击“任务管理器”。

2，在“开始”——“运行”中键入“taskmgr”或“taskmgr.exe”。

3，同时按下键盘上的“Ctrl+Alt+Del”组合键。

4，同时按下键盘上的“Ctrl+Shift+Esc”组合键。

5，文件路径： %SystemRoot%\System32\taskmgr.exe

 

说明：关于“Ctrl+Alt+Del”组合键和“Ctrl+Shift+Esc”组合键的区别。

　　在Windows 9X/2000/XP中我们大都采用按下“Alt+Ctrl+Del”组合键的方法来打开任务管理器，在Windows 2000/XP中我们还多了个选择：“Shift+Ctrl+Esc”。不过在Windows XP中，这两个组合热键的功能是不一样的：
(1)不管什么情况，使用“Shift+Ctrl+Esc”组合键都是直接打开任务管理器。
(2)如果你在“用户账户”设置中开启了“使用欢迎屏幕”功能，按下“Alt+Ctrl+Del”同样是直接打开任务管理器，不过在其菜单中会多出“关机”一项，这里提供了“待机”、“休眠”、“注销”、“锁定计算机”等功能。如果在“用户帐户”设置中开启了“使用快速用户切换”功能，在任务管理器中的标签中会多出“用户”一项，这里可以断开或注销当前用户的登录。如果禁用“使用欢迎屏幕”，按下“Alt+Ctrl+Del”则会打开“Windows安全”对话框，要打开任务管理器还需要单击“任务管理器”按钮或者按下“T”键，且任务管理器中不会出现“关机”菜单和“用户”标签。

 

㈧、无法正常打开任务管理器怎么办？

 

1，如果使用上面介绍的方法中的1∽4，没有任何反应。则应执行第5中方法，找到taskmgr.exe所在文件夹。

　　双击taskmgr.exe。如果没有任何反应，且无任何提示，一般情况下是taskmgr.exe被映像劫持。

　　如果想要进一步确认是否被劫持，可以复制taskmgr.exe，并将新taskmgr.exe重命名为taskmgr123.exe。如果双击taskmgr123.exe，即可打开任务管理器，那么就可以认定taskmgr.exe被映像劫持。

 

解决方法：

①，在“开始”——“运行”中键入“regedit”，打开注册表编辑器，并定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，然后在其分支中找到taskmgr.exe，直接删除即可。

②，运行“cmd /k reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f”（不含“”）即可。

 

2，在C:\WINDOWS\system32\中taskmgr.exe不存在，或者运行taskmgr.exe出现图象名称无效提示。

 

原因：一般是taskmgr.exe可能损坏，或因感染病毒并被杀毒软件删除。

 

解决方法：应复制正常文件到%SystemRoot%\System32\目录下。

 

3，如果在上述“1”的检查过程中，双击后提示“windows 无法访问指定的设备、路径或文件。你可能没有合适的权限访问这个项目”

 

原因：权限设置的问题。

 

解决方法：

①，确认当前用户帐户的权限没有问题。

②，右键点“taskmgr.exe”文件，选择“安全”，为其追加用户及帐户。

 

4，如果在上述“1”的检查过程中，仅将taskmgr.exe复制到其他文件夹，在未重命名的情况下，即可正常运行。

 

原因：一般情况下，是因为taskmgr.exe被组策略的“软件限制策略”中“路径规则”所限制。

 

解决方法：在“开始”——“运行”中键入“gpedit.msc”，以打开组策略，依次展开“计算机配置”——“windows 设置”——“安全设置”——“软件限制策略”——“其他规则”，在其中找到包含taskmgr的路径和文件名的一项（如“%SystemRoot%\System32\taskmgr.exe”或“C:\windows\System32\taskmgr.exe”）删除即可。

 

说明：我们可以在事件查看器中看到系统对taskmgr的限制记录。过程是在“开始”——“运行”中键入“eventvwr.msc”，以打开“事件查看器”，展开“应用程序”。找到类型为“警告”、时间为点任务管理器无反应的时间、来源为“Software Restriction Policies”，事件为“866”的记录，即可看到“对 C:\WINDOWS\system32\taskmgr.exe 的访问被您的管理员根据位置用路径 C:\windows\System32\taskmgr.exe 上的策略规则 {d508aaf9-27c8-4280-a696-1886cdc6c704} 限制了”的描述。

 

5，如果在上述“1”的检查过程中，将taskmgr.exe复制到其他文件夹，并重命名，taskmgr.exe依然无法运行，并无任何提示。

 

原因：一般情况下，是因为taskmgr.exe被组策略的“软件限制策略”中“散列规则”所限制。

 

解决方法：在“开始”——“运行”中键入“gpedit.msc”，以打开组策略，依次展开“计算机配置”——“windows 设置”——“安全设置”——“软件限制策略”——“其他规则”，在其中找到包含taskmgr的相关信息（如“Windows TaskManager……”）删除即可。

 

说明：我们可以在事件查看器中看到系统对taskmgr的限制记录。过程是在“开始”——“运行”中键入“eventvwr.msc”，以打开“事件查看器”，展开“应用程序”。找到类型为“警告”、时间为点任务管理器无反应的时间、来源为“Software Restriction Policies”，事件为“868”的记录，即可看到“您的管理员用策略规则 {8af5e11e-0c52-4ecb-b5d2-0df81af3e4f7} 限制了您对 C:\WINDOWS\system32\taskmgr.exe 的访问。”的描述。

 

技巧：在使用散列规则限制taskmgr.exe时，浏览选中taskmgr.exe，文件散列自动为“570d8194f898dac39dd071db0e9db75f:122880:32771”,文件信息自动为：

 

Windows TaskManager Microsoft(R) Windows(R) Operating System Microsoft Corporation taskmgr.exe (5.1.2600.5512)

 

6，执行打开任务管理器的过程中，鼠标右键点任务栏，“任务管理器”为灰色，不可点击。 在“运行”中键入“taskmgr”，提示“任务管理器已被系统管理员停用”。

 

原因：任务管理器被组策略禁用。

 

解决方法：

①，在“开始”——“运行”中键入“gpedit.msc”，以打开组策略，依次展开“用户配置”——“管理模板”——“系统”——“Ctrl+Alt+Del选项”，将“ 删除"任务管理器" ”设置为“未配置”（推荐）或“已禁用”即可。

 

②，在“开始”——“运行”中键入“regedit”，以打开注册表编辑器，依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”分支，在右边找到“DisableTaskMgr”项，其类型为REG_DWORD，其值设置为1则禁止，为0则启用。直接删除或将其值改为0就可以。

 

7，“任务管理器”的“进程”标签的“用户名”一列信息丢失（显示为空白）。

 

原因：Terminal Services服务被关闭。

 

服务名：TermServices 显示名：Terminal Services 启动路径：C:\WINDOWS\System32\svchost -k DComLaunch 推荐设置：手动或自动（推荐）。在手动类型下，系统一般依然会根据需要，多数情况下将其启动，但不推荐将其停止，甚至禁用。 描述：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。这是远程桌面(包括管理员的远程桌面)、快速用户转换、远程协助和终端服务器的基础结构。 依赖关系： 此服务的运行依赖服务：Remote Procedure Call (RPC) 其他服务的运行依赖于此服务：Fast User Switching Compatibility

 

解决方法：运行“services.msc”命令打开服务设置窗口，重新启动Terminal Services这项服务即可。

 

㈨、在任务管理器使用中的一些问题

 

1，选择性的窗口控制。

 

　　我们通过任务栏上右键菜单中的“层叠窗口”、“横向平铺窗口”等命令来对所有窗口进行布局控制，但如果是对其中几个窗口呢？一种方法是按下Ctrl，在任务栏中选择要控制的窗口，单击右键，选择相应命令。

　　另一种方法为：在任务管理器的“应用程序”标签下，同样按下Ctrl并选择要操作的程序，单击右键，选择相应命令即可，该方法比第一个方法的优势在于如果我们打开的窗口数量很多，常常不能在任务栏中看到该窗口究竟是什么，容易造成误操作，而在任务管理器中则不同。

 

2，无法立即结束应用程序“任务”。

 

快速处理方法：右键单击该应用程序名，选择并单击“转到进程”，这个时候，任务管理器自动由“应用程序”选项卡切换到“进程”选项卡，并将对应的进程映像名选蓝。此时，直接“结束进程”就可以。

 

警告：终止进程会导致不希望发生的结果，包括数据丢失和系统不稳定。在被终止前，进程没有机会保存其状态和数据。一般情况下，只有当该进程的任务无法被正常退出、无响应，或确认该进程为不需要的进程时，才这样做。尽量避免在任务假死的情况下结束进程。同时，具有恶意的进程可能采取与系统关键或常见进程同名或近似名的方法，所以，在操作过程中要注意区分他们。

 

3，无法立即结束应用程序“进程”。

 

快速处理方法：在“命令提示符”下运行“ntsd -c q -p PID”。或者在“运行”中运行“cmd /k ntsd -c q -p PID”。其中PID为进程标识符，可以在“进程”选项卡下，点“查看”——“选择列”勾选“PID （进程标识符）”，即可看到该进程对应的进程标识符。参数-p表示后面跟随的是进程PID， -c q表示执行退出Ntsd的调试命令，从命令行把以上参数传递过去。

 

警告：用户态调试工具Ntsd，它能够杀掉大部分进程，因为被调试器附着的进程会随调试器一起退出，所以只要你在命令行下使用Ntsd调出某进程，然后退出Ntsd即可终止该进程，而且使用Ntsd会自动获得Debug权限，因此Ntsd能杀掉大部分的进程。

　　所以，在使用Ntsd命令时，必须确认正确键入PID，必须确认该进程为非系统关键进程，该进程确实不需要或已不能正常响应。尽量避免在任务假死的情况下结束进程。同时，具有恶意的进程可能采取与系统关键或常见进程同名或近似名的方法，所以，在操作过程中要注意区分他们。

 

4，降低某个进程的优先级别。

 

　　这里为什么提出“降低”，而不使用“提高”呢？在实际的使用过程中，对于单核CPU的系统，提高应用程序的进程优先级，反而会造成这样那样的问题，一般推荐对过于耗用资源的应用程序降低其进程的优先级。

 

操作：单击要更改的应用程序进程，选择“设置优先级”，并选择“低于标准”（推荐）或“低”，以使得Windows为其他进程分配更多的资源。

 

5， 关于创建新任务。

 

　　在一些特殊的情况下，外壳程序Explorer没能正常启动，或者“运行”等功能不能正常使用（被屏蔽），我们可以按“Ctrl+Alt+Del”组合键，打开任务管理器。在其“文件”——“新建任务”中，即“创建新任务”中，我们可以尝试打开所需要的程序或运行命令。

 

说明：键入“Explorer”或“Explorer.exe”运行外壳程序。或使用“浏览”，找到该程序。如果是因为Explorer的启动项被修改而使得Explorer未能启动加载，则可以运行“cmd /k reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "%SystemRoot%\explorer.exe" /f & explorer.exe”，以重设其启动并运行。

 

6，快速关机。

 

　　调出“任务管理器”，按住“Ctrl”键同时点击窗口菜单“关机”——“关闭”，一秒钟后电脑关闭。

 

警告：使用该技巧至少有如下故障产生的可能，建议谨慎使用。
①，可能会出现第二次开机时系统请求进行磁盘扫描的情况，多次使用该技巧发现磁盘逻辑错误增多。
②，使用虚拟光驱的用户可能出现系统设置丢失的情况。
③，关机时对正在编辑的文档、尚未保存的程序无任何提示，导致数据损失。

 

7，“双击”。

 

　　很多朋友每天都要使用无数遍任务管理器，却未曾知道这里还有很多关于“双击”的技巧：
①，双击任务管理器的边框区域，可以以“Tiny Footprint mode”（精简模式，隐藏了菜单栏，Media Player也提供类似功能）显示任务管理器，再次双击切换为完整模式。
②，切换到“应用程序”标签，双击其中某个列表中某个程序，可以让该程序对应的窗口最靠前，该技巧对于Windows XP任务栏常常无响应的情况尤其有效，我们再不用在任务栏中单击切换窗口前置了。不过，使用该功能时请确保取消勾选“选项”——“前端显示”，否则技巧无效。
③，切换到“应用程序”标签，双击该窗口中的任何空白处，可以快速最小化任务管理器。
④，切换到“性能”、“联网”标签，双击窗口任意区域可以将其对应曲线图以全屏方式显示，便于察看。

 

8，关于意外出问题的进程。

 

　　有这样一个现象，我们连续双击QQ（其他程序也有类似的现象），结果QQ没有反应，再次点击，依然没有反应。问题出在哪里了呢？怎么解决呢？

 

原因：由于未知的原因，QQ在初始化的过程中出现问题，同时该进程没有从内存中被退出，导致后来的进程（我们后来点击的QQ）也跟着无法正常初始化。

 

解决方法：在任务管理器的“进程”里，结束所有的QQ进程，重新打开QQ一般就正常了。

 

说明：有时候我们在Outlook Express中的多用户之间进行切换时，会出现“不能切换”的示，导致OE崩溃，解决的方法是结束“Msimn.exe”进程；如果你运行QQ 2004 Beta版安装目录下的BugReport.exe来报告程序BUG，则会遇到系统无任何反应，且进程列表中出现多个BugReport.exe进程，结束掉它们。

 

9，常见系统进程说明。

 

说明：因为篇幅的原因，这里仅列出windows xp sp3（pro）下（NTFS文件系统），所必须的系统进程。

 

　　进程文件: [system process] or [system Idle Process]

　　进程名称: Windows内存处理系统进程
　　描　　述: Windows页面内存管理进程，拥有0级优先。　　
　　介　　绍：该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

 

　　进程文件: system or system
　　进程名称: Windows System Process
　　描　　述: Microsoft Windows系统进程。
　　介　　绍：在任务管理器中会看到这项进程，属于正常系统进程。主要用来加载如驱动等系统级文件用的。

 

　　进程文件: csrss or csrss.exe
　　进程名称: Client/Server Runtime Server Subsystem
　　描　　述: 客户端服务子系统，用以控制Windows图形相关子系统。
　　介　　绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。

 

　　进程文件: explorer or explorer.exe
　　进程名称: 程序管理（外壳程序）
　　描　　述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。
　　介　　绍：这是一个用户的shell，在我们看起来就像任务条，桌面等等。或者说它就是资源管理器。

 

　　进程文件: lsass or lsass.exe
　　进程名称: 本地安全权限服务
　　描　　述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
　　介　　绍：这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。

 

　　进程文件: services or services.exe
　　进程名称: Windows Service Controller
　　描　　述: 管理Windows服务。
　　介　　绍：大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务，可以看到有很多服务都是在调用%systemroot%\system32\service.exe

 

　　进程文件: smss or smss.exe
　　进程名称: Session Manager Subsystem
　　描　　述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。
　　简　　介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

 

　　进程文件: svchost or svchost.exe
　　进程名称: Service Host Process
　　描　　述: Service Host Process是一个标准的动态连接库主机处理服务.
　　介　　绍：Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的会话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2000一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，windows 2003 server中则更多。

 

　　进程文件: winlogon or winlogon.exe
　　进程名称: Windows Logon Process
　　描　　述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

 

　　进程文件: spoolsv or spoolsv.exe
　　进程名称: Printer Spooler Service
　　描　　述: Windows打印任务控制程序，用以打印机就绪。
　　介　　绍：缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

　　说　　明：如果不使用打印机，可以停止或禁用Print Spooler服务。这个进程不是必须的。但他却是打印机所必须的……