很多人打开任务管理器查看发现有多个与系统同名的进程，因技术有限，无法判断哪个是伪装的，又不知道得从哪里下手。下面有个批处理，可以结束伪装成系统进程名的进程，有兴趣的朋友可以去试试，同时想学批处理的网友也可以借鉴借鉴里面的写法。步骤/方法1/6分步阅读

在桌面空白处鼠标右键单击“新建”——“文本文档”

2/6

打开新建文本文档，将下面的内容复制进去

@echo offtitle 清理伪装系统进程名的进程 - 小瑞clsrem 在下面输入需要防止伪装的进程名和正确路径remrem 格式：:::进程名=正常的进程路径:::EXPLORER.EXE=%SYSTEMROOT%\EXPLORER.EXE:::SVCHOST.EXE=%SYSTEMROOT%\SYSTEM32\SVCHOST.EXE:::CTFMON.EXE=%SYSTEMROOT%\SYSTEM32\CTFMON.EXE:::LSASS.EXE=%SYSTEMROOT%\SYSTEM32\LSASS.EXE:::WINLOGON.EXE=%SYSTEMROOT%\SYSTEM32\WINLOGON.EXE:::SMSS.EXE=%SYSTEMROOT%\SYSTEM32\SMSS.EXE:::CSRSS.EXE=%SYSTEMROOT%\SYSTEM32\CSRSS.EXE:::SERVICES.EXE=%SYSTEMROOT%\SYSTEM32\SERVICES.EXE:::CMD.EXE=%SYSTEMROOT%\SYSTEM32\CMD.EXE:::CONIME.EXE=%SYSTEMROOT%\SYSTEM32\CONIME.EXE:::ALG.EXE=%SYSTEMROOT%\SYSTEM32\ALG.EXE:::IEXPLORE.EXE=%PROGRAMFILES%\Internet Explorer\IEXPLORE.EXE:::REGEDIT.EXE=%SYSTEMROOT%\REGEDIT.EXE:::MMC.EXE=%SYSTEMROOT%\SYSTEM32\MMC.EXEcolor 0Afor /f tokens=1* delims== %%a in (findstr /b ::: %~nx0) do (call :DoIt %%a %%b)goto end:endexit:DoItset pname=%1set pname=%pname::::=%set pname=%pname:=%set ppath=%2set ppath=%ppath:\=\\%set ppath=%ppath:=%echo 正在检查进程名: %pname:=%wmic process where name=%pname% and executablepath%ppath% call terminatenul

3/6

单击“文件”菜单中的“保存”命令

4/6

打开我的电脑，单击“工具”菜单中的“文件夹选项”

5/6

在“查看”选项卡的高级设置列表框中去掉“隐藏已知文件类型的扩展名”的复选框，单击“确定”按钮

6/6

然后将文件命名为“任意名称.bat”，最后双击执行该批处理文件

进程批处理