文章总结： 本文针对无法安装杀软的工控机及专用设备，提供Windows手工应急处置方案。内容涵盖利用命令行查找恶意进程，使用taskkill强制结束进程，通过takeown和icacls夺权删除顽固文件。重点介绍了Sysinternals工具集如procexp强杀进程、handle解除占用及movefile重启删除技巧，方案实操性强，解决特殊环境清理难题。 综合评分： 92 文章分类： 应急响应,实战经验,安全工具,终端安全,解决方案

Windows无杀软手工应急处置方案(工控机/专用设备)

原创

SharkJ0001 SharkJ0001

Neon-X Sec

2026年3月12日 09:00 河北

文章的情况适用于工控机 / 服务器 / 专用设备，无法安装杀软，无法重装系统，甚至无法升级系统和无法打补丁的情况

一、命令行解决

步骤 1：文件查找

使用everything搜索文件位置

文件夹下若看不到文件，则检查隐藏文件有否

dir /a

显示被隐藏的文件

attrib -h -s /s /d

已知文件名及文件路径的情况下找对应的pid

步骤 2：按文件路径找进程 PID

打开管理员CMD，运行以下命令（把目标文件路径换成你要杀的文件，比如

wmic process where “ExecutablePath=’C:\Windows\SysWOW64\drivers\svchost.exe'” get ProcessId,Name,ExecutablePath

示例（杀 wmiex.exe）：

wmic process where “ExecutablePath=’C:\Windows\SysWOW64\wmiex.exe'” get ProcessId,Name

会输出类似这样的结果，ProcessId就是进程 PID（比如 7476）：

Name      ProcessIdwmiex.exe 7476

进程名伪装成svchost.exe，但是路径是恶意的，就能精准揪出来。

步骤 3：强制结束该 PID 的进程（无视 “进程保护”）

用taskkill加/f /t参数（/f强制结束，/t结束子进程），替换 PID：

taskkill /f /t /pid 7476

备用方案（如果上面杀不掉）：

wmic process where ProcessId=7476 delete

步骤 4：删除恶意文件

进程结束后，立刻删除文件（加/f /q强制删除、静默删除）：

del /f /q “C:\Windows\SysWOW64\wmiex.exe”

若提示 “文件正在使用”（还有残留）：

用rd /s /q删除目录（如果是文件夹里的恶意文件），或进安全模式删；也可以用下面的命令标记 “重启后删除”：

move /y “C:\Windows\SysWOW64\wmiex.exe” “C:\Windows\Temp\tmpdel.exe”reg add “HKLM\SYSTEM\CurrentControlSet\Control\Session Manager” /v PendingFileRenameOperations /t REGMULTISZ /d “\??\C:\Windows\Temp\tmpdel.exe\0\??\C:\Windows\Temp\tmp_del.exe\0″ /f

二、针对文件夹的解除占用

夺回文件夹的所有权 + 给管理员账户分配「完全控制」权限

takeown /f “C:\Windows\NetworkDistribution” /r /d yicacls “C:\Windows\NetworkDistribution” /grant administrators:F /t

强制删除

rmdir /s /q “C:\Windows\NetworkDistribution”

解释：
rmdir = 删除文件夹
/s = 连里面所有东西一起删
/q = 安静强制删，不弹确认

三、Sysinternals工具

1. procexp.exe

强制杀任何进程（无视保护）

1. 以管理员运行 procexp.exe
2. 找到进程 → 右键 → Kill Process
3. 杀不掉就用：Kill ProcessTree

命令行强制杀-1234 换成 PID

方式1：按PID杀单个进程（常用）procexp -accepteula -kill 7476方式2：按PID杀进程+子进程（彻底断根）procexp -accepteula -kill 7476 -t方式3：按进程名杀（慎用，可能杀错同名系统进程）procexp -accepteula -kill wmiex.exe

2. 删文件/删文件夹：handle.exe + movefile.exe

这两个是 Sysinternals 官方神器，专门解决：

• 文件被占用
• 文件夹被占用
• 删不掉、正在使用

① 先查谁在占用（handle）会告诉你：哪个进程、哪个PID 锁住了文件/文件夹。

handle -nobanner “C:\恶意文件夹”

② 直接关闭句柄（不用杀进程也能删）

handle -c 句柄ID -p PID

③ 终极：强制删除（写到注册表中的重启时自动删除，无视任何占用/保护）

movefile “C:\恶意文件夹” “”

3. 常用组合命令

步骤1：切换到Sysinternals目录cd /d C:\Sysinternals步骤2：查占用进程handle -nobanner “C:\Windows\SysWOW64\wmiex.exe”步骤3：杀进程（假设PID是7476）procexp -accepteula -kill 7476步骤4：尝试直接删除删文件：del /f /q “C:\Windows\SysWOW64\wmiex.exe”删文件夹：rmdir /s /q “C:\Windows\NetworkDistribution”步骤5：删不掉就标记重启删除删文件：movefile “C:\Windows\SysWOW64\wmiex.exe” “”删文件夹：movefile “C:\恶意文件夹” “”

4.总结

• procexp = 最强杀进程
• handle = 查谁占用
• movefile = 最强删除（无视占用，重启必删）

文章中涉及工具获取，后台回复0311

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Neon-X Sec SharkJ0001 SharkJ0001《Windows无杀软手工应急处置方案(工控机/专用设备)》