闲来无事写个批处理玩玩，可以结束伪装成系统进程名的进程，家庭版的用户就不要用了，因为不支持，呵呵。

    很多朋友打开任务管理器查看进程的时候发现有多个和系统进程同名的进程，但是又无法判断那个是伪装的，不知道从那里下手结束掉，所以就写了这么个批处理，双击执行就可以自动筛选出伪装的进程并且结束掉进程。

    可以自己添加过滤条件，在批处理代码里我都标注了。   

    下面那是代码，保存为一个BAT文件，双击就可以执行。

@echo off
title 清理伪装系统进程名的进程 - 佛爱我羊
cls
rem 在下面输入需要防止伪装的进程名和正确路径
rem
rem 格式：:::进程名=正常的进程路径

:::EXPLORER.EXE=%SYSTEMROOT%\EXPLORER.EXE
:::SVCHOST.EXE=%SYSTEMROOT%\SYSTEM32\SVCHOST.EXE
:::CTFMON.EXE=%SYSTEMROOT%\SYSTEM32\CTFMON.EXE
:::LSASS.EXE=%SYSTEMROOT%\SYSTEM32\LSASS.EXE
:::WINLOGON.EXE=%SYSTEMROOT%\SYSTEM32\WINLOGON.EXE
:::SMSS.EXE=%SYSTEMROOT%\SYSTEM32\SMSS.EXE
:::CSRSS.EXE=%SYSTEMROOT%\SYSTEM32\CSRSS.EXE
:::SERVICES.EXE=%SYSTEMROOT%\SYSTEM32\SERVICES.EXE
:::CMD.EXE=%SYSTEMROOT%\SYSTEM32\CMD.EXE
:::CONIME.EXE=%SYSTEMROOT%\SYSTEM32\CONIME.EXE
:::ALG.EXE=%SYSTEMROOT%\SYSTEM32\ALG.EXE
:::IEXPLORE.EXE=%PROGRAMFILES%\Internet Explorer\IEXPLORE.EXE
:::REGEDIT.EXE=%SYSTEMROOT%\REGEDIT.EXE
:::MMC.EXE=%SYSTEMROOT%\SYSTEM32\MMC.EXE

color 0A
for /f "tokens=1* delims==" %%a in ('findstr /b ":::" "%~nx0"') do (
call :DoIt "%%a" "%%b"
)
goto end

:end
echo.&echo.&echo 检查完毕，按任意键退出...
pause>nul
exit

:DoIt
set pname=%1
set pname=%pname::::=%
set pname=%pname:"='%
set ppath=%2
set ppath=%ppath:"='%
echo 正在检查进程名: %pname:'=%
wmic process where "name=%pname% and executablepath<>%ppath:\=\\%" call terminate>nul